Professional Documents
Culture Documents
Aviso legal
Copyright 2011 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comerciales registradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com.mx
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol principal del soporte tcnico es responder a las consultas especficas sobre funciones del producto y funcionalidad. El grupo de soporte tcnico, adems, elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de soporte tcnico trabaja con otras reas funcionales dentro de Symantec para contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja con el Departamento de Ingeniera y Symantec Security Response para proporcionar servicios de alertas y actualizaciones de definiciones de virus. Las ofertas de soporte de Symantec incluyen lo siguiente:
Una gama de opciones de soporte que brindan flexibilidad para seleccionar la cantidad adecuada de servicio para organizaciones de cualquier tamao Soporte telefnico y basado en Web que proporciona respuesta rpida e informacin actualizada Garanta de actualizacin que entrega actualizaciones de software Soporte global comprado segn las horas laborables regionales o 24 horas al da, 7 das a la semana Ofertas de servicios superiores que incluyen servicios de administracin de cuentas
Para obtener informacin sobre las ofertas de soporte de Symantec, puede visitar el sitio web en la siguiente URL: http://www.symantec.com/es/mx/business/support/ Todos los servicios de asistencia se prestarn de acuerdo con su acuerdo de soporte y la poltica empresarial de soporte tcnico vigente en el momento.
Informacin de hardware Memoria disponible, espacio libre en el disco e informacin de la NIC Sistema operativo Nmero de versin y parche Topologa de red Router, gateway e informacin de la direccin IP Descripcin del problema:
Mensajes de error y archivos de registro Sesin de resolucin de problemas llevada a cabo antes de contactar a Symantec Cambios recientes en la configuracin del software y en la red
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL: http://www.symantec.com/es/mx/business/support/ El servicio al cliente est disponible para ayudar con preguntas no tcnicas, como los siguientes tipos de problemas:
Preguntas relacionadas con la concesin de licencias o la serializacin de productos Actualizaciones del registro del producto, como cambio de direccin o de nombre Informacin general de producto (funciones, disponibilidad de idioma, distribuidores locales) La informacin ms reciente sobre actualizaciones del producto Informacin sobre garanta de actualizacin y contratos de soporte Informacin sobre los Programas de compras de Symantec Sugerencia sobre las opciones de soporte tcnico de Symantec Preguntas no tcnicas previas a las ventas
Contenido
Seccin 1
Captulo 2
Contenido
Captulo 3
99
Cmo instalar el servidor de administracin y la consola ..................... 99 Cmo configurar el servidor de administracin durante la instalacin .......................................................................... 101 Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager ............................................................................. 102 Cmo desinstalar Symantec Endpoint Protection Manager ................. 102 Inicio de sesin en la consola de Symantec Endpoint Protection Manager ............................................................................. 104 Cmo aumentar el perodo de duracin de la sesin en la consola ............................................................................... 106 Qu se puede hacer desde la consola ............................................... 107
Captulo 4
Captulo 5
Contenido
Captulo 6
Captulo 7
10
Contenido
Desinstalar y eliminar servidores de informes ................................. Cmo desbloquear grupos de servidores en Symantec System Center ................................................................................ Acerca de la actualizacin del software de cliente ............................. Cmo actualizar clientes mediante AutoUpgrade .............................. Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate ...................................................................... Cmo migrar los proveedores de actualizaciones de grupo .................
Captulo 8
Captulo 9
Seccin 2
Captulo 10
Contenido
11
Cmo asignar clientes a los grupos antes de instalar el software de cliente ................................................................................ Desactivar y activar la herencia de un grupo .................................... Bloquear clientes para que no se agreguen a grupos .......................... Visualizacin de equipos asignados ................................................ Mover un equipo cliente a otro grupo .............................................
Captulo 11
Captulo 12
12
Contenido
Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos ................................................................ Configurar las opciones de configuracin para una ubicacin ............. Acerca de consolidar las polticas de seguridad para los clientes remotos .............................................................................. Prcticas recomendadas para la configuracin de las polticas de firewall ..................................................................... Acerca de las prcticas recomendadas para la configuracin de la poltica de LiveUpdate .................................................. Acerca de activar las notificaciones para los clientes remotos ............. Cmo personalizar configuraciones de administracin de registros para clientes remotos ............................................................ Cmo administrar el balanceo de carga y el uso mvil para clientes remotos .............................................................................. Acerca de la supervisin de clientes remotos ...................................
Captulo 13
Contenido
13
Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan .............................................................................. 279 Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos ............................................................................... 281 Guardar los resultados de una bsqueda de aplicaciones .................... 283
Captulo 14
304 308 309 310 314 316 317 318 319 323 326 331
14
Contenido
Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection .............................................................. Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response ................................................................ Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas ....................................................... Cmo administrar la cuarentena ................................................... Cmo especificar una carpeta de cuarentena local ...................... Especifique cuando los archivos en cuarentena se eliminan automticamente ........................................................... Cmo configurar clientes para enviar elementos en cuarentena a un servidor de Cuarentena central o a Symantec Security Response ...................................................................... Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones ........................................................ Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente ...................................... Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente ............................................................
343
Captulo 15
Contenido
15
Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin .................................................. Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis ................................................. Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows ........................................................... Cmo administrar Symantec Endpoint Protection en entornos virtuales ............................................................................. Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight ............................. Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base ......................................................... Cmo omitir el anlisis de archivos de imagen de base .................
Captulo 16
Captulo 17
Captulo 18
16
Contenido
Creacin de polticas de firewall .................................................... Cmo habilitar y deshabilitar una poltica de firewall .................. Permitir automticamente las comunicaciones para los servicios de red esenciales ............................................................ Configuracin del firewall para el control mixto ......................... Bloquear automticamente las conexiones a un equipo atacante ....................................................................... Cmo detectar ataques potenciales e intentos de falsificacin ................................................................... Cmo evitar la deteccin de ocultacin ..................................... Cmo deshabilitar el firewall de Windows ................................. Configurar la autenticacin punto a punto ................................ Acerca de las reglas de firewall ..................................................... Acerca de las reglas del servidor de firewall y las reglas de clientes ......................................................................... Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones .................................................................... Acerca de reglas de firewall heredadas ..................................... Cmo cambiar el orden de las reglas de firewall .......................... Cmo el firewall usa la inspeccin de estado .............................. Acerca de las activaciones de la aplicacin de reglas de firewall ......................................................................... Acerca de las activaciones del host de la regla de firewall ............. Acerca de las activaciones de los servicios de red de la regla de firewall ......................................................................... Acerca de las activaciones del adaptador de red de la regla de firewall ......................................................................... Cmo configurar reglas de firewall ................................................ Adicin de una nueva regla de firewall ..................................... Cmo importar y exportar reglas de firewall .............................. Cmo copiar y pegar reglas de firewall ...................................... Cmo personalizar reglas de firewall ........................................
403 406 407 408 409 410 411 412 414 415 417
418 419 421 422 422 428 431 433 435 436 438 439 439
Captulo 19
Contenido
17
Cmo crear las excepciones para las firmas IPS ................................ Configurar una lista de equipos excluidos ....................................... Configuracin de notificaciones de la prevencin de intrusiones del cliente ................................................................................ Cmo administrar firmas de prevencin de intrusiones personalizadas ..................................................................... Cmo crear una biblioteca IPS personalizada ............................. Cmo agregar firmas a una biblioteca IPS personalizada .............. Asignar varias bibliotecas IPS personalizadas a un grupo ............. Cmo cambiar el pedido de firmas IPS personalizadas ................. Cmo copiar y pegar firmas IPS personalizadas .......................... Definicin de las variables para las firmas IPS personalizadas ............................................................... Prueba de firmas IPS personalizadas ........................................
461 463 464 465 468 468 470 470 471 472 473
Captulo 20
18
Contenido
Cmo probar y eliminar elementos de bloqueo del sistema ........... Cmo administrar el control de dispositivos .................................... Acerca de la lista de dispositivos de hardware ............................ Obtencin de un ID de clase o un ID de dispositivo ...................... Agregar un dispositivo de hardware a la lista Dispositivos de hardware ...................................................................... Configuracin de control de dispositivos ...................................
Captulo 21
Captulo 22
Contenido
19
Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager .............................................................. Cmo comprobar la actividad del servidor de LiveUpdate ................... Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet ............................... Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate .......................................................................... Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente ..................................................................... Cmo configurar los tipos de contenido usados para actualizar los equipos cliente ..................................................................... Configurar la programacin de descarga de LiveUpdate para equipos cliente ................................................................................ Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate .......................................................................... Cmo controlar las revisiones de contenido que usan los clientes ............................................................................... Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate ...................................................................... Acerca del clculo aleatorio de descargas de contenido simultneas ......................................................................... Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo ........................................................ Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate ...................................................................... Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos ................................................ Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado ....................................................................... Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido ............................................................. Acerca de los tipos de proveedores de actualizaciones de grupo ........................................................................... Acerca de los proveedores de actualizaciones de grupo y las versiones anteriores del software ...................................... Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo .................................................. Configuracin de un Proveedor de actualizaciones grupales ......... Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo ..................................................
20
Contenido
Cmo configurar un servidor externo de LiveUpdate ......................... Cmo configurar un servidor interno de LiveUpdate ......................... Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente ....................... Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente .................................................. Configuracin de la poltica de configuracin de LiveUpdate para permitir la distribucin de contenido de otro fabricante a los clientes administrados ................................................ Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante ..................................................................... Distribucin del contenido usando herramientas de distribucin de otro fabricante ...........................................................
586
587 589
Captulo 23
Contenido
21
Captulo 24
Captulo 25
Captulo 26
22
Contenido
Cmo permitir a los administradores restablecer contraseas olvidadas ............................................................................ Restablecer una contrasea olvidada .............................................. Restablecimiento de la contrasea y el nombre de usuario del administrador a admin .......................................................... Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin .....................................................
Seccin 3
Captulo 27
Captulo 28
Contenido
23
Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager ................................. Buscar usuarios en un servidor de directorios LDAP .......................... Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP .................................................. Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP .............................................................. Agregar servidores de directorios ..................................................
Captulo 29
Captulo 30
24
Contenido
Captulo 31
Seccin 4
Administracin del cumplimiento de la red con Symantec Network Access Control ........................................................................ 733
Introduccin de Symantec Network Access Control ........................................................................... 735
Acerca de Symantec Network Access Control ................................... Acerca de los tipos de aplicacin en Symantec Network Access Control ............................................................................... Cmo funciona Symantec Network Access Control ............................ Cmo funciona la aplicacin automtica ......................................... Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host ............................. Comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager ........................................................ Comunicacin entre el dispositivo Enforcer y los clientes ............. Cmo funciona el dispositivo Gateway Enforcer ............................... Cmo funciona el dispositivo LAN Enforcer ..................................... Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft ............................................................................ Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS) .................................................................... Cmo funciona On-Demand Client ................................................. 735 736 738 739 741 742 743 744 745 747
Captulo 32
749 749
Captulo 33
Contenido
25
Captulo 34
Captulo 35
26
Contenido
Acerca de la instruccin IF, THEN y ENDIF ................................ Acerca de la instruccin ELSE ................................................. Acerca de la palabra clave NOT ............................................... Acerca de las palabras clave AND y OR ..................................... Escribir un script de requisito personalizado ................................... Agregar una instruccin IF THEN ............................................ Alternar entre la instruccin IF e IF NOT .................................. Adicin de una instruccin ELSE ............................................. Agregar un comentario .......................................................... Copiar y pegar instrucciones IF, condiciones, funciones y comentarios .................................................................. Eliminar una instruccin, una condicin o una funcin ................ Mostrar un cuadro de dilogo de mensaje ........................................ Descargar un archivo .................................................................. Cmo configurar un valor del registro ............................................ Incremento de un valor DWORD del registro ................................... Ejecutar un programa .................................................................. Ejecutar un script ....................................................................... Configurar la marca de hora de un archivo ...................................... Cmo especificar un tiempo de espera para el script de requisito personalizado ......................................................................
787 787 788 788 789 790 791 791 791 792 792 792 793 794 795 795 796 797 798
Captulo 36
Introduccin de los dispositivos Symantec Network Access Control Enforcer ............................................. 799
Acerca de los dispositivos Symantec Network Access Control Enforcer ............................................................................. 799 Soporte para soluciones de aplicacin de otros fabricantes ................. 800
Captulo 37
Contenido
27
Captulo 38
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer ........................... 809
Acerca de actualizar y crear nuevas imgenes del dispositivo Enforcer ............................................................................. Matriz de compatibilidad de hardware de Enforcer ........................... Determinar la versin actual de una imagen del dispositivo Enforcer ............................................................................. Cmo actualizar la imagen de dispositivo Enforcer ........................... Crear una imagen de un dispositivo Enforcer ................................... 809 810 811 811 812
Captulo 39
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer ............................ 815
Acerca de realizar tareas bsicas en la consola de un dispositivo Enforcer ............................................................................. Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager ................................................. Configuracin de SPM ........................................................... Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer ........................................................... Acceso remoto a un dispositivo Enforcer ......................................... 815 816 818 819 819
Captulo 40
28
Contenido
Planificacin conmutacin por error de dispositivos Gateway Enforcer ............................................................................. Cmo funciona la conmutacin por error con los dispositivos Gateway Enforcer en la red .............................................. Dnde colocar dispositivos Gateway Enforcer para la conmutacin por error en una red con una o ms VLAN ........................................................................... Configurar dispositivos Gateway Enforcer para conmutacin por error ............................................................................ Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer .................................................................
830 830
Captulo 41
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager ......................................................................... 837
Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager ................. Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager ............................... Acerca de la configuracin general en un dispositivo Gateway ............ Agregar o editar la descripcin de un grupo de dispositivos Gateway Enforcer ........................................................... Agregar o editar la descripcin de un dispositivo Gateway Enforcer ....................................................................... Agregar o editar la direccin IP o el nombre de host del dispositivo Gateway Enforcer ........................................... Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties .............................................................. Acerca de la configuracin de la autenticacin en un dispositivo Gateway ............................................................................. Configuracin de la autenticacin en un dispositivo Gateway ....................................................................... Acerca de las sesiones de autenticacin en Gateway Enforcer dispositivo .................................................................... Acerca de la autenticacin de clientes en Gateway Enforcer dispositivo .................................................................... Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin .............................................. Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes ..................................................... 838 839 842 843 843 844
Contenido
29
Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin .................................. Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin ................. Permitir todos los clientes con el registro continuo de clientes no autenticados .............................................................. Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin ................................................. Cmo comprobar el nmero de serie de la poltica en un cliente .......................................................................... Enviar un mensaje del dispositivo Gateway Enforcer a un cliente sobre incumplimiento ..................................................... Redireccin de solicitudes HTTP a una pgina web ..................... Configuracin del intervalo de autenticacin ................................... Intervalos de direcciones IP de clientes comparados con las direcciones IP externas de confianza .................................. Cundo utilizar intervalos de direcciones IP de clientes ............... Acerca de las direcciones IP de confianza .................................. Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin ............................. Editar intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin ............................. Eliminar intervalos de direcciones IP de clientes de la lista de direcciones que necesitan autenticacin ............................. Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin ...................................... Especificar direcciones IP externas de confianza ........................ Editar una direccin IP de confianza interna o externa ................ Eliminacin de una direccin IP interna de confianza o una direccin IP externa de confianza ...................................... Orden de comprobacin del intervalo de direcciones IP ............... Acerca de la configuracin avanzada del dispositivo Gateway Enforcer ............................................................................. Especificar tipos de paquetes y protocolos ................................. Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer ............................ Habilitar la autenticacin local en un dispositivo Gateway Enforcer ....................................................................... Habilitar las actualizaciones de hora del sistema para el dispositivo Gateway Enforcer usando el protocolo de tiempo de redes ........................................................................ Cmo usar el dispositivo Gateway Enforcer como servidor web ..............................................................................
854 855 855 857 858 859 860 861 862 863 864 866 867 868 869 870 870 871 872 873 873 875 875
876 877
30
Contenido
Captulo 42
Captulo 43
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager ................ 887
Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager ................................... Acerca de configurar servidores RADIUS en un dispositivo LAN Enforcer ............................................................................. Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer ................................................... Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager .............................................................. Cmo usar la Configuracin general ............................................... Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer .............................................. Cmo especificar un puerto de escucha para la comunicacin entre un conmutador VLAN y un LAN Enforcer .................... Agregar o editar la descripcin de un grupo de Enforcer con LAN Enforcer ....................................................................... Agregar o editar la direccin IP o el nombre de host de LAN Enforcer ....................................................................... Agregar o editar la descripcin de LAN Enforcer ........................ Cmo conectar LAN Enforcer a Symantec Endpoint Protection Manager ....................................................................... Usar la configuracin del grupo de servidores RADIUS ...................... Agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS ........................................................................ Editar el nombre de un grupo de servidores RADIUS ................... Editar el nombre descriptivo de un servidor RADIUS .................. Editar el nombre de host o la direccin IP de un servidor RADIUS ........................................................................ 888 888 889 891 893 893 894 895 895 895 896 897 898 900 900 901
Contenido
31
Editar el nmero de puerto de autenticacin de un servidor RADIUS ........................................................................ Editar el secreto compartido de un servidor RADIUS ................... Habilitacin de la compatibilidad con el servidor de polticas de red de Windows (NPS) en LAN Enforcer .............................. Eliminar el nombre de un grupo de servidores RADIUS ............... Eliminar un servidor RADIUS ................................................. Usar las opciones del conmutador ................................................. Configuracin de conmutador ................................................. Acerca de la compatibilidad con los atributos de los modelos de conmutador ................................................................... Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente .......................................... Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x ................................ Editar informacin sobre el conmutador compatible con 802.1x .......................................................................... Editar informacin de VLAN para la poltica de conmutador ......... Editar informacin de accin para la poltica de conmutador ................................................................... Usar la configuracin avanzada del dispositivo LAN Enforcer ............. Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer .................................. Habilitar la autenticacin local en el dispositivo LAN Enforcer ....................................................................... Habilitar las actualizaciones de hora del sistema para el dispositivo Enforcer usando el protocolo de tiempo de redes ............................................................................ Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer .............................................. Usar la autenticacin 802.1x ......................................................... Acerca de la reautenticacin en el equipo cliente ........................
901 902 903 904 904 905 905 906 909 918 924 926 928 933 934 934
Captulo 44
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager .......... 943
Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin ................................................ Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores ........................................................................... Acerca de los grupos de Enforcer ................................................... Cmo la consola determina el nombre de grupo de Enforcer ......... Acerca de los grupos de Enforcer de conmutacin por error .......... 944 945 945 945 945
32
Contenido
Acerca de la modificacin de un nombre de grupo ....................... Acerca de la creacin de un nuevo grupo de Enforcer .................. Acerca de la informacin de Enforcer que aparece en la consola de Enforcer ............................................................................. Visualizar informacin acerca de Enforcer en la consola de administracin ..................................................................... Modificar el nombre y la descripcin de un dispositivo Enforcer .......... Eliminar un mdulo de Enforcer o un grupo de Enforcer .................... Exportar e importar opciones de grupo de Enforcer .......................... Mensajes emergentes para los clientes bloqueados ........................... Mensajes para los equipos que ejecutan el cliente ....................... Mensajes para los equipos de Windows que no estn ejecutando un cliente (Gateway Enforcer solamente) ............................ Configurar los mensajes de Enforcer ........................................ Acerca de la configuracin de clientes y Enforcer ............................. Configurar clientes para utilizar una contrasea para detener el servicio del cliente ................................................................ Acerca de los informes y registros de Enforcer ................................. Configurar opciones de registro de Enforcer .................................... Cmo deshabilitar el registro de Enforcer en la consola de Symantec Endpoint Protection Manager ............................. Habilitar el envo de registros de Enforcer a Symantec Endpoint Protection Manager ........................................................ Configurar el tamao y la antigedad de los registros de Enforcer ....................................................................... Filtrar los registros de trfico para Enforcer ..............................
946 946 947 948 948 949 950 951 951 951 952 952 953 953 954 956 956 957 957
Captulo 45
Captulo 46
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft .......................................................................
961
Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft ............................. 962 Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft ........................................................................ 962
Contenido
33
Componentes para Integrated Enforcer para servidores DHCP de Microsoft ............................................................................ Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft ............................................................... Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft ................................................ Instalar Integrated Enforcer para servidores DHCP de Microsoft ......... Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft ....................... Actualizacin de Integrated Enforcer para servidores DHCP de Microsoft ......................................................................
Captulo 47
Captulo 48
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager ......................................................................... 989
Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager ................................... 990 Configuracin bsica de Symantec Network Access Control Integrated Enforcer ............................................................................. 990
34
Contenido
Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer ......... 991 Cmo agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer ....................................................................... 991 Cmo agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer .................................... 992 Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager .............. 992 Configuracin avanzada de Symantec Network Access Control Integrated Enforcer .............................................................. 994 Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin ............... 994 Habilitar la autenticacin local en Integrated Enforcer ................ 995 Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer .............................................................. 996 Acerca de usar las opciones de autenticacin ............................. 996 Acerca de las sesiones de autenticacin .................................... 998 Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin .............................................. 999 Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes ................................................... 1000 Permitir todos los clientes con el registro continuo de clientes no autenticados ............................................................ 1001 Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin ............................................... 1002 Cmo hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente .................................................................... 1003 Configurar registros para Symantec Network Access Control Integrated Enforcer ............................................................. 1004
Captulo 49
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection .................... 1005
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection ................................................... Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection .................. Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection ..................................... Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection ............................................................... 1005 1006 1007 1009
Contenido
35
Cmo instalar Integrated Enforcer para Microsoft Network Access Protection ......................................................................... 1010 Desinstalar Integrated Enforcer para Microsoft Network Access Protection ................................................................... 1011 Cmo detener e iniciar el servidor de Network Access Protection manualmente ............................................................... 1012
Captulo 50
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer ......... 1015
Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer ............................................................................ Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer ............................................................................ Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin ................................................................... Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection ......................................................................... Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection .........................................................................
1016
1017
1019
1020
1021
Captulo 51
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager ................................................... 1023
Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager ........................................................................... Habilitar la aplicacin de NAP para clientes ................................... Verificar que el servidor de administracin administre el cliente ....... Verificar las polticas de validador de mantenimiento de seguridad .......................................................................... Cmo verificar que los clientes pasen la comprobacin de integridad del host ............................................................................. Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection ............................................
36
Contenido
Captulo 52
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control ............................................ 1029
Acerca de los clientes de Symantec Network Access Control On-Demand ....................................................................... Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer .................. Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer ................... Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red ............................... Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand ....................................................................... Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control ................................................................... Cmo configurar la autenticacin de usuario con una base de datos local ................................................................... Cmo configurar la autenticacin de usuario con un Microsoft Windows 2003 Server Active Directory ............................. Cmo configurar la autenticacin de usuario con un servidor RADIUS ...................................................................... Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls ............................ Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-peap ......................... Comandos on-demand authentication ..................................... Editar el titular de la pgina Welcome (Bienvenido) ......................... 1030 1030 1033 1037 1040
Seccin 5
Solucin de problemas en Symantec Endpoint Protection y Symantec Network Access Control ................................. 1055
Ejecucin de recuperacin despus de un desastre .......................................................................
1057
Captulo 53
Ejecucin de recuperacin despus de un desastre .......................... 1057 Cmo restaurar la base de datos .................................................. 1058 Reinstalar o reconfigurar Symantec Endpoint Protection Manager ........................................................................... 1059
Contenido
37
Captulo 54
Captulo 55
38
Contenido
Captulo 56
1085 1085 1087 1088 1088 1088 1089 1089 1090 1091 1093
Apndice A
Apndice B
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante ....................................................................
Instalacin del software de cliente usando herramientas de otro fabricante .......................................................................... Acerca de las funciones y propiedades de instalacin del cliente ........ Acerca de la configuracin de cadenas de comando de MSI ......... Acerca de la configuracin de Setaid.ini .................................. Propiedades de la instalacin de clientes de Symantec Endpoint Protection ......................................................................... Funciones del cliente de Symantec Endpoint Protection ................... Parmetros de Windows Installer ................................................ Propiedades del Centro de seguridad de Windows ........................... Ejemplos de lnea de comandos para instalar el cliente ..................... Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent .........................................
1107 1108 1110 1111 1111 1113 1113 1115 1117 1118 1119
Contenido
39
Instalacin de clientes con Microsoft SMS 2003 .............................. Instalacin de clientes con el objeto de polticas de grupo de Active Directory ........................................................................... Crear la imagen de instalacin administrativa .......................... Crear una distribucin de software de objeto de poltica de grupo ......................................................................... Crear un script de inicio de Windows Installer 3.1 ..................... Adicin de equipos a la unidad organizativa y el software de instalacin .................................................................. Copia de un archivo Sylink.xml a los archivos de instalacin .................................................................. Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory .............................................................
Apndice C
1131 1131 1132 1135 1136 1137 1139 1139 1139 1140 1140 1141 1141 1142 1142 1142 1143 1144 1144 1144 1144
40
Contenido
Captulo
Acerca de Symantec Endpoint Protection Novedades de la versin 12.1 Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona Proteccin de su red con Symantec Endpoint Protection
42
Endpoint Protection reduce la carga de administracin, el tiempo y los costos, ya que ofrece una nica consola de administracin y un solo cliente. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51.
43
Descripcin
Las mejoras ms importantes incluyen las siguientes funciones de las polticas para proporcionar una mayor proteccin en los equipos cliente. La poltica de proteccin antivirus y antispyware detecta amenazas con mayor precisin, adems de reducir los falsos positivos y mejorar el rendimiento del anlisis con las siguientes tecnologas: SONAR reemplaza la tecnologa de TruScan para identificar la conducta maliciosa de amenazas desconocidas mediante los datos de reputacin y heurstica. Mientras que TruScan se ejecuta en una programacin, SONAR se ejecuta siempre. Ver "Cmo administrar SONAR" en la pgina 381. Auto-Protect brinda proteccin adicional con Diagnstico Insight de descargas, que examina los archivos que los usuarios intentan descargar por medio de navegadores web, clientes de mensajera de texto y otros portales. El Diagnstico Insight de descargas usa la informacin de reputacin de Symantec Insight para tomar decisiones sobre los archivos. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331. Insight permite que los anlisis omitan los archivos de confianza para la comunidad de Symantec, lo cual mejora el rendimiento del anlisis. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. La Bsqueda de Insight detecta los archivos de la aplicacin que no se pueden detectar tpicamente como riesgos y enva informacin de los archivos a Symantec para su evaluacin. Si Symantec determina que los archivos de la aplicacin constituyen un riesgo, el equipo cliente controla los archivos como riesgos. La bsqueda de Insight logra que la deteccin de software malicioso sea ms rpida y exacta. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Las polticas de firewall incluyen reglas de firewall para bloquear el trfico basado en IPv6. Ver "Cmo personalizar reglas de firewall" en la pgina 439. La poltica de prevencin de intrusiones incluye la prevencin de intrusiones del navegador, que usa firmas IPS para detectar ataques dirigidos a vulnerabilidades del navegador. Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461.
44
Funcin
Una administracin ms rpida y flexible
Descripcin
Symantec Endpoint Protection Manager ayuda a administrar los equipos cliente con mayor facilidad mediante las siguientes nuevas funciones:
La concesin de licencias centralizada le permite adquirir, activar y administrar licencias de productos desde la consola de administracin. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112. Symantec Endpoint Protection Manager se registra con la versin 2 de Protection Center, el cual permite centralizar los datos e integrar la administracin de los productos de seguridad de Symantec en un nico entorno. Es posible configurar algunos de los valores que Protection Center usa para trabajar con Symantec Endpoint Protection Manager. Ver "Acerca de Symantec Endpoint Protection y Protection Center" en la pgina 185. La pantalla de inicio de sesin de Symantec Endpoint Protection Manager permite que se enve su contrasea olvidada por correo electrnico. Ver "Inicio de sesin en la consola de Symantec Endpoint Protection Manager" en la pgina 104. Symantec Endpoint Protection Manager incluye una opcin para permitir a los administradores de un sitio restablecer la contrasea olvidada. Es posible configurar en qu momento y de qu manera Symantec Endpoint Protection Manager reinicia el equipo cliente, de modo que el reinicio no interfiera con la actividad del usuario. Ver "Cmo reiniciar equipos cliente" en la pgina 143. La pgina Supervisin incluye un conjunto de notificaciones de correo electrnico configuradas previamente que le informan los eventos usados con mayor frecuencia. Los eventos incluyen cuando el software de cliente est disponible, cundo una poltica cambia, los mensajes de la renovacin de la licencia y cundo el servidor de administracin localiza los equipos sin proteccin. Las notificaciones se habilitan de forma predeterminada y admiten Blackberry, iPhone y Android. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629. La pgina Inicio muestra los informes de alto nivel sobre los que se puede hacer clic, lo cual facilita y simplifica la lectura de la pgina Inicio. La pgina Inicio adems muestra un vnculo a las notificaciones sobre eventos de registro que an no se han ledo. Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635. Los informes de estado mejorados restablecen automticamente el Estado An infectado en un equipo cliente una vez que el equipo ya no est infectado. Es posible ahora configurar clientes de Linux para enviar eventos de registro a Symantec Endpoint Protection Manager.
45
Funcin
Descripcin
Mayor rendimiento del Para aumentar la velocidad entre el servidor de administracin y la consola de servidor y del cliente administracin, la base de datos y los equipos cliente: El servidor de administracin realiza tareas de limpieza automtica de la base de datos para mejorar la escalabilidad y la capacidad de respuesta del servidor-cliente. Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708. Ver "Mantener la base de datos" en la pgina 703. Los anlisis en busca de virus y spyware usan Insight para permitir que los anlisis omitan los archivos seguros y se concentren en los archivos en riesgo. Los anlisis que usan Insight son ms rpidos y ms exactos, y reducen la carga del anlisis hasta el 70%. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. LiveUpdate puede ejecutarse cuando el equipo cliente est inactivo, tiene contenido desactualizado o se ha desconectado, lo que usa menos memoria. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566. Ver "Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado" en la pgina 567.
Ver "Mejora del rendimiento del cliente y del servidor" en la pgina 678.
46
Funcin
Soporte para los entornos virtuales
Descripcin
Mejorado para ayudar a proteger la infraestructura virtual, Symantec Endpoint Protection incluye las siguientes nuevas funciones: El servidor de la memoria cach compartida de Insight permite a los clientes compartir resultados de anlisis, de modo que los archivos idnticos solo se deban analizar una vez en todos equipos cliente. La memoria cach compartida de Insight puede reducir el efecto de los anlisis completos en hasta un 80%. Ver "Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight" en la pgina 373. La herramienta Virtual Image Exclusion reduce el efecto de analizar cada archivo en una imagen base de confianza. En lugar de analizar continuamente los archivos del sistema en busca de virus, la herramienta Virtual Image Exclusion le permite colocar en una lista blanca los archivos de imagen de lnea base en mquinas virtuales. Ver "Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base" en la pgina 375. Symantec Endpoint Protection Manager usa la deteccin del hipervisor para detectar de forma automtica qu clientes se ejecutan en una plataforma virtual. Es posible crear polticas para grupos de clientes en las plataformas virtuales. El analizador de imgenes fuera de lnea de Symantec puede analizar los archivos .vmdk de VMware fuera de lnea para asegurarse de que no haya amenazas en la imagen.
Ver "Cmo administrar Symantec Endpoint Protection en entornos virtuales" en la pgina 372. Soporte para clientes Mac En Symantec Enterprise Protection, se pueden configurar las polticas para los clientes Mac en funcin de una ubicacin as como de un grupo. Ver "Cmo administrar clientes remotos" en la pgina 234.
47
Funcin
Descripcin
Proceso de instalacin Es posible instalar el producto con mayor rapidez y facilidad que antes con las nuevas mejorado funciones de instalacin que se detallan a continuacin:
El asistente para la instalacin de Symantec Endpoint Protection Manager le permite importar un archivo de recuperacin guardado previamente que incluya informacin de conexin del servidor cliente. El archivo de recuperacin permite al servidor de administracin reinstalar las copias de seguridad de los certificados existentes y la restauracin automtica de la comunicacin a los clientes existentes. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. El servicio web del servidor de administracin usa Apache en lugar de IIS. No es necesario instalar IIS, primero, como usted hizo en versiones anteriores. El Asistente de implementacin del cliente localiza rpidamente los equipos sin proteccin en los cuales es necesario instalar el software de cliente. El asistente adems proporciona un vnculo de implementacin de correo electrnico, de modo que los usuarios puedan descargar el software de cliente mediante la Web. El asistente acelera y simplifica la implementacin del software de cliente. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Es posible actualizar a la versin actual del producto mientras los clientes de una versin anterior permanecen conectados y protegidos. Un nuevo informe rpido para implementacin muestra que los equipos han instalado correctamente el software de cliente. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610.
48
Funcin
Descripcin
Compatibilidad con los Symantec Endpoint Protection Manager ahora admite los siguientes sistemas operativos sistemas operativos adicionales: adicionales VMware Workstation 7.0 o posterior
VMware ESXi 4.0.x o una versin posterior VMware ESX 4.0.x o una versin posterior VMware Server 2.0.1 Citrix XenServer 5.1 o una versin posterior
Symantec Endpoint Protection Manager ahora admite los navegadores web siguientes:
Symantec AntiVirus para el cliente Linux ahora admite los siguientes sistemas operativos adicionales:
Servidor empresarial de Linux de SUSE y equipo de escritorio empresarial 11.x (incluye compatibilidad con OES 2) Ubuntu 11.x
Fedora 14.x, 15.x Debian 6.x Para obtener informacin sobre cmo usar el cliente de Symantec AntiVirus en Linux, consulte la Gua del cliente de Symantec AntiVirus para Linux.
49
Funcin
Descripcin
Una mejor Es posible administrar Enforcers con mayor facilidad mediante la configuracin de los administracin de siguientes valores de Enforcer en Symantec Endpoint Protection Manager: Enforcer en Symantec Capacidad para que los clientes en un grupo de Enforcers sincronicen su tiempo de Endpoint Protection sistema constantemente usando el servidor del protocolo de tiempo de redes. Manager Ver "Habilitar las actualizaciones de hora del sistema para el dispositivo Enforcer usando el protocolo de tiempo de redes" en la pgina 935. Es posible actualizar ms fcilmente la lista de direcciones MAC con las mejoras siguientes: Para DHCP Integrated Enforcer, se puede importar un archivo de texto que contenga las excepciones de las direcciones MAC que definen los hosts de confianza. Para LAN Enforcer, se pueden agregar, editar y eliminar las direcciones MAC que las comprobaciones de Integridad del host omiten usando las siguientes funciones: MAC Authentication Bypass(ASIGNACIN) omite la comprobacin de Integridad del host para los clientes que no son 802.1x o los dispositivos que no tienen el cliente de Symantec Network Access Control instalado. Omitir comprobacin de cliente NAC de Symantec omite la comprobacin de Integridad del host para los suplicantes de 802.1x que no tienen el cliente de Symantec Network Access Control instalado. Es posible agregar direcciones MAC individuales o usar comodines para representar cadenas MAC del distribuidor. Es posible tambin importar las direcciones MAC desde un archivo de texto. Es posible agregar direcciones MAC con una VLAN asociada o sin ella que permite la compatibilidad de varias VLAN. Ver "Configuracin avanzada de Symantec Network Access Control Integrated Enforcer" en la pgina 994. Ver "Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager" en la pgina 982.
50
Funcin
Nuevas funciones de Network Access Control en Symantec Endpoint Protection Manager
Descripcin
Symantec Endpoint Protection Manager incluye la siguiente funcionalidad adicional para Symantec Network Access Control: Las listas de servidores de administracin de Enforcer pueden incluir servidores de administracin de partners de replicacin. Los Enforcers pueden conectarse a cualquier servidor de administracin en cualquier partner del sitio o partner de replicacin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719. Los registros del cumplimiento para el cliente Symantec Network Access Control proporcionan informacin adicional sobre eventos de registro y resultados de comprobacin de integridad del host. Es posible ahora consultar qu requisito provoc la falla en la comprobacin de integridad del host en un equipo cliente. Ver "Ver registros" en la pgina 616.
LiveUpdate descarga plantillas de integridad del host para servidores de administracin. Por lo tanto, los equipos cliente pueden obtener las polticas de Integridad del host que incluyen las plantillas actualizadas de Integridad del host. Ver "Adicin de un requisito de integridad del host desde una plantilla" en la pgina 768. Los grupos de Enforcer admiten cuentas de administrador limitado y de administrador as como cuentas de administrador del sistema. Para una compaa grande con varios sitios y dominios, probablemente se necesitaran varios administradores, algunos de los cuales deberan contar con ms derechos de acceso que otros. Ver "Acerca de los administradores" en la pgina 651. Ver "Agregar una cuenta de administrador" en la pgina 655.
Presentacin de Symantec Endpoint Protection Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
51
Funcin
Nuevas funciones de Enforcer
Descripcin
Symantec Network Access Control incluye las siguientes funciones:
Soporte de 64 bits para Integrated Enforcers. Ver "Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 962. Ver "Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection" en la pgina 1007. Soporte para Network Policy Server (NPS) con la implementacin de Microsoft Windows Server 2008 (Longhorn) de un servidor Radius y un proxy. Enforcer puede ahora autenticar los clientes que ejecutan Windows Vista o versiones posteriores y que usan la autenticacin 802.1x. Para DHCP Integrated Enforcer, se puede activar selectivamente la aplicacin basada en mbitos para los mbitos que se definen. Ver "Creacin de excepciones en el mbito DHCP" en la pgina 987. Ver "Configurar la cuarentena automtica" en la pgina 979. Gateway Enforcer admite el enlace 802.1q y clientes On-Demand al mismo tiempo. Es posible designar una nica VLAN en una VLAN de varios enlaces a los clientes On-Demand. Ver "Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls" en la pgina 1043. Soporte de modo de aplicacin invitada, lo que permite a Gateway Enforcer actuar como servidor de descarga para clientes On-Demand. Gateway Enforcer descarga clientes On-Demand a equipos invitados, lo que habilita a los clientes a comunicarse con Enforcer por medio de navegadores web de equipos invitados. En el modo de aplicacin invitada, Gateway Enforcer remite trfico en lnea. Ver "Acerca de los clientes de Symantec Network Access Control On-Demand" en la pgina 1030. Compatibilidad con la persistencia del cliente On-Demand: la funcionalidad de estar en vivo por un perodo designado. Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037. El tamao de la base de datos local se ha aumentado a 32 MB para incorporar un nmero ms grande de direcciones MAC.
Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
Symantec Endpoint Protection usa proteccin avanzada para integrar varios tipos de proteccin en cada equipo de la red. Ofrece defensa avanzada contra todos los tipos de ataques para los sistemas fsicos y los sistemas virtuales. Se necesitan combinaciones de todas las tecnologas de proteccin para proteger y personalizar
52
Presentacin de Symantec Endpoint Protection Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
completamente la seguridad del entorno. Symantec Endpoint Protection combina el anlisis tradicional, el anlisis de comportamiento, la prevencin de intrusiones y la inteligencia de la comunidad en un sistema de seguridad superior. Tabla 1-2 describe los tipos de proteccin que proporciona el producto y sus ventajas. Tabla 1-2 Tipo de proteccin
Proteccin antispyware y antivirus
Descripcin
La proteccin antispyware y antivirus protege a los equipos contra virus y riesgos para la seguridad y, en muchos casos, puede reparar los efectos secundarios. La proteccin incluye anlisis en tiempo real de archivos y del correo electrnico, as como anlisis programados y anlisis manuales. El anlisis de virus y spyware detecta los virus y los riesgos para la seguridad que pueden poner un equipo, as como una red, en peligro. Los riesgos para la seguridad incluyen spyware, publicidad no deseada y otros archivos maliciosos. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293.
Presentacin de Symantec Endpoint Protection Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
53
Tipo de proteccin
Descripcin
Ventaja
Proteccin La proteccin contra amenazas de red El motor del firewall basado en reglas contra amenazas proporciona proteccin de firewall y prevencin protege los equipos contra amenazas de red de intrusiones para evitar que los ataques de maliciosas antes de que aparezcan. intrusin y el contenido malicioso alcancen el El IPS analiza el trfico de red y los archivos equipo que ejecuta el software del cliente. para obtener indicaciones de intrusiones o intentos de intrusiones. El firewall permite o bloquea el trfico de red La prevencin contra intrusiones de segn diversos criterios que el administrador navegador realizar un anlisis en busca de configura. Si el administrador lo permite, los los ataques que se dirigen en las usuarios finales pueden adems configurar vulnerabilidades del navegador. polticas de firewall. La proteccin de descarga universal El sistema de prevencin de intrusiones (IPS) supervisa todas las descargas del navegador analiza toda la informacin entrante y saliente y valida las descargas que no son software de patrones de datos tpicos de un ataque. malicioso. Detecta y bloquea el trfico malintencionado y los intentos de ataque al equipo cliente por parte de usuarios externos. La prevencin de intrusiones tambin supervisa el trfico saliente y evita la propagacin de gusanos. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
54
Presentacin de Symantec Endpoint Protection Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
Tipo de proteccin
Descripcin
Ventaja
SONAR examina los programas mientras se ejecutan e identifica y detiene la conducta maliciosa de nuevas y previamente desconocidas amenazas. SONAR usa la heurstica as como los datos de reputacin para detectar amenazas emergentes y desconocidas. El control de aplicacin controla qu aplicaciones se permiten ejecutar o qu aplicaciones pueden acceder a recursos del sistema. El control de dispositivos administra los dispositivos perifricos que los usuarios pueden conectar a los equipos de escritorio.
Proteccin La proteccin proactiva contra amenazas usa proactiva contra SONAR para brindar proteccin contra amenazas vulnerabilidades de ataques de da cero en la red. Las vulnerabilidades de ataque de da cero son las nuevas vulnerabilidades que todava no son pblicamente conocidas. Las amenazas que aprovechan estos puntos vulnerables pueden evadir la deteccin basada en firmas (como definiciones de spyware). Los ataques de da cero se pueden usar en ataques dirigidos y en la propagacin de cdigo malicioso. SONAR proporciona proteccin de conductas en tiempo real mediante la supervisin de procesos y amenazas a medida que se ejecutan. El control de aplicaciones y dispositivos supervisa y controla el comportamiento de aplicaciones en los equipos cliente y administra los dispositivos de hardware que acceden a los equipos cliente. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 475. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479.
El servidor de administracin impone cada proteccin usando una poltica asociada que se descarga al cliente. Figura 1-1 muestra las categoras de amenazas que bloquea cada tipo de proteccin.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
55
Figura 1-1
Internet
Puertas traseras Ataques de DoS Anlisis de puertos Ataques de pila Troyanos Gusanos Vulnerabilidades de la aplicacin Puertas traseras Vulnerabilidades del SO Troyanos Gusanos Modificaciones de registro/ proceso/archivo
Red de la empresa
Amenazas de personas de confianza Registradores de pulsaciones Retro virus Spyware Ataques dirigidos Troyanos Gusanos Amenazas de da cero Cambios de archivo de host y DNS Publicidad no deseada Puertas treseras Amenazas mutantes Spyware Troyanos Gusanos Virus
Poltica de prevencin de intrusiones Tarjeta de interfaz de red Proteccin proactiva contra amenazas Polticas de control de aplicaciones y dispositivos Poltica de proteccin antivirus y antispyware (SONAR)
Endpoint
56
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Para Symantec Network Access Control, instale el cliente de Symantec Endpoint Protection Manager y Symantec Network Access Control. Tabla 1-3 resume las tareas de alto nivel principales que es necesario realizar para usar Symantec Endpoint Protection. Tabla 1-3 Pasos para instalar, configurar y administrar Symantec Endpoint Protection Descripcin
Es posible instalar el cliente de Symantec Endpoint Protection Manager y Symantec Endpoint Protection o el cliente de Symantec Network Access Control y proteger su red siguiendo algunos pasos fciles. Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57. Cmo administrar Symantec Symantec Endpoint Protection Manager viene con la Endpoint Protection configuracin y las polticas predeterminadas de modo que su red est protegida inmediatamente despus de la instalacin. Es posible modificar esta configuracin para adaptarla a su entorno de red. Ver "Cmo administrar la proteccin en los equipos cliente" en la pgina 64. Mantenimiento de un entorno de red seguro Es posible que sea necesario realizar cierto mantenimiento continuo para que el entorno de red siga ejecutndose sin problemas en momentos de rendimiento mximo. Por ejemplo, es necesario hacer copia de seguridad de la base de datos en el caso de que se necesite realizar recuperacin despus de un desastre. Ver "Mantener la seguridad de su entorno" en la pgina 67. Solucionar problemas en Symantec Endpoint Protection y Symantec Network Access Control Si tiene problemas para instalar o usar el producto, Symantec Endpoint Protection Manager incluye varios recursos para ayudar a reparar problemas comunes, como de comunicacin del servidor y el cliente y los ataques de virus. Ver "Cmo solucionar problemas de Symantec Endpoint Protection" en la pgina 68.
Tarea
Configuracin de Symantec Endpoint Protection
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
57
Planear la arquitectura Antes de instalar el producto, realice las siguientes tareas: de la red Asegrese de que el equipo en el cual instala el servidor de administracin cuente con los requisitos mnimos del sistema. Ver "Requisitos del sistema" en la pgina 84. Si instala o actualiza a la base de datos de Microsoft SQL Server, asegrese de que tenga la informacin del nombre de usuario y la contrasea. Ver "Acerca de la configuracin de SQL Server" en la pgina 92. En las redes con ms de 500 clientes, defina los requisitos de determinacin de tamao. Es necesario evaluar varios factores para asegurar el buen rendimiento de la red y la base de datos. Por ejemplo, es necesario identificar cuntos equipos necesitan proteccin y cuntas veces se deben programar actualizaciones de contenido. Para que la informacin le ayude a planificar instalaciones de mediana escala a gran escala, consulte el white paper de Symantec Recomendaciones de determinacin de tamao y escalabilidad para Symantec Endpoint Protection. Instalar o migrar al servidor de administracin Si instala el producto por primera vez, realiza una actualizacin desde una versin previa o migra desde otro producto, instale primero Symantec Endpoint Protection Manager. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Aumente el tiempo que La consola cierra la sesin despus de una hora. Es posible aumentar este perodo. la consola permite que Ver "Cmo aumentar el perodo de duracin de la sesin en la consola" en la pgina 106. la sesin se mantenga iniciada
58
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Accin
Crear grupos y ubicaciones
Descripcin
Es posible agregar los grupos que contienen equipos segn el nivel de seguridad o la funcin que los equipos realizan. Por ejemplo, es necesario colocar equipos con un de alto nivel de seguridad en un grupo o un grupo de equipos Mac en otro grupo. Use la siguiente estructura de grupo como base:
Ver "Cmo se pueden estructurar los grupos" en la pgina 195. Ver "Adicin de un grupo" en la pgina 198. Es posible migrar los grupos existentes de Active Directory cuando instala Symantec Endpoint Protection Manager. Si est ejecutando la proteccin de versin anterior de Symantec, se actualiza generalmente la configuracin de la poltica y del grupo de la versin anterior. Ver "Importacin de una estructura de organizacin existente" en la pgina 197. Es posible aplicar otro nivel de seguridad a los equipos dependiendo de si estn dentro de la red de la compaa o fuera de ella. Para usar este mtodo, cree ubicaciones independientes y aplique diversas polticas de seguridad a cada ubicacin. Generalmente los equipos que se conectan a la red desde fuera del firewall deben contar con mayor nivel de seguridad que los que estn dentro del firewall. Es posible configurar una ubicacin que permita que los equipos mviles que no estn en la oficina actualicen las definiciones automticamente desde los servidores de Symantec. Ver "Cmo agregar una ubicacin a un grupo" en la pgina 239. Deshabilitar la herencia De forma predeterminada, los grupos heredan la configuracin de seguridad y de polticas en grupos especiales del grupo principal predeterminado, "Mi empresa". Es necesario deshabilitar la herencia antes de cambiar la configuracin de seguridad y de polticas para cualquier nuevo grupo que cree. Ver "Desactivar y activar la herencia de un grupo" en la pgina 200.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
59
Accin
Cambiar la configuracin de comunicacin para aumentar el rendimiento
Descripcin
Es posible mejorar el rendimiento de la red al cambiar la configuracin de comunicacin del servidor cliente en cada grupo mediante la modificacin de la configuracin siguiente: Use el modo de obtencin en lugar del modo de transferencia para controlar cuando los clientes usan recursos de red para descargar polticas y actualizaciones de contenido. Aumente el intervalo de latidos y el intervalo de clculo aleatorio. Para los casos con menos de 100 clientes por servidor, aumente el latido entre 15 y 30 minutos. Para casos de 100 a 1000 clientes, aumente el latido entre 30 y 60 minutos. Entornos ms grandes podran necesitar un intervalo de latidos ms largo. Aumente el clculo aleatorio de descarga entre una y tres veces el intervalo de latidos.
Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Para obtener ms informacin, consulte el White paper de escalabilidad y determinacin de tamao de Symantec Endpoint Protection. Modifique las polticas Incremente la seguridad de los equipos remotos garantizando que las reglas del firewall de firewall para el grupo predeterminadas de una ubicacin fuera del sitio permanezcan habilitadas: de equipos remotos y el Bloquear uso compartido de archivos locales a equipos externos grupo de servidores Bloquear administracin remota
Disminuya la seguridad para el grupo de servidores asegurndose de que las siguientes reglas de firewall permanezcan habilitadas: Permitir uso compartido de archivos locales a equipos locales. Esta regla de firewall garantiza que solamente el trfico local est permitido.
Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235.
60
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Accin
Modificar la poltica de proteccin antivirus y antispyware
Descripcin
Cambie los siguientes valores de anlisis predeterminados: Para el grupo de servidores, cambie la hora de anlisis programado a una hora en que la mayora de los usuarios estn desconectados. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Habilite el buscador de riesgos en Auto-Protect. Para obtener ms informacin, consulte el artculo de la base de conocimientos del soporte tcnico de Symantec Qu es un buscador de riesgos? Buscador de riesgos tiene los requisitos previos siguientes: Buscador de riesgos necesita que Proteccin contra amenazas de red est habilitado. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Buscador de riesgos necesita que Compartir archivos e impresoras de Windows est activado. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
Activar la licencia del producto Preparar los equipos para la instalacin del cliente (opcional)
Adquiera una licencia y actvela dentro del plazo de 60 das de instalacin del producto. Ver "Cmo activar su licencia de producto" en la pgina 116. Antes de instalar el software de cliente, realice las siguientes tareas, si es necesario: Desinstale el software de proteccin contra virus de otro fabricante de los equipos. Para obtener ms informacin sobre una herramienta para desinstalar cualquier producto competitivo de forma automtica, consulte el artculo de la base de conocimientos Herramienta de desinstalacin de producto competitivo SEPprep. Si implementa el software de cliente remotamente, primero, modifique la configuracin del firewall en sus equipos cliente para permitir la comunicacin entre los equipos y el servidor de administracin.
Ver "Acerca de firewalls y puertos de comunicaciones" en la pgina 129. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
61
Accin
Descripcin
Instalar el software del Cree un paquete de instalacin de clientes e implemntelo en los equipos cliente. cliente con el Asistente Como prctica recomendada, cambie el nombre del paquete predeterminado de exportacin de implementacin del a un nombre que identifique exclusivamente el paquete en su sistema. cliente Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148. Ver "Exportar paquetes de instalacin de clientes" en la pgina 148. Para los componentes de Auto-Protect, anule la seleccin de Lotus Notes si tiene Microsoft Outlook. Si tiene Mail Security, anule la seleccin de Microsoft Outlook y Lotus Notes. Para ayudar a bloquear los remitentes de correo masivo, puede dejar POP/SMTP estndar habilitado, pero aun as deshabilitar Microsoft Outlook y Lotus Notes. Use Modo de equipo para la mayora de los entornos, en lugar de Modo de usuario Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216.
62
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Accin
Descripcin
Comprobar que los En la consola de administracin, en la pgina Clientes > Clientes : equipos estn detallados 1 Cambie la vista a Estado del cliente para asegurarse de que los equipos cliente en en los grupos que usted cada grupo se comuniquen con el servidor de administracin. esperaba y que el cliente Consulte la informacin en las columnas siguientes: se comunica con el La columna Nombre muestra un punto verde para los clientes que estn servidor de conectados al servidor de administracin. administracin Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. La columna ltimo cambio de estado muestra la hora en que el cliente se comunic por ltima vez con el servidor de administracin. La columna Debe reiniciar muestra qu equipos cliente es necesario reiniciar para habilitar la proteccin. Ver "Cmo reiniciar equipos cliente" en la pgina 143. La columna Nmero de serie de la poltica muestra el nmero de serie de la poltica ms actual. Es posible que la poltica no se actualice por uno a dos latidos. Ver "Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente" en la pgina 276.
Cambie a la vista Tecnologa de proteccin y asegrese de que las protecciones siguientes estn configuradas en Activado : Estado del antivirus
Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207.
En el cliente, compruebe que el cliente est conectado a un servidor y compruebe que el nmero de serie de la poltica sea el ms actual. Ver "Visualizacin del estado de conexin del cliente en el cliente" en la pgina 1064.
Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Convierta un equipo cliente en cada segmento de la red en un detector de endpoints sin proteccin Para cada segmento de la red, permita que un equipo cliente detecte cundo un equipo que no est protegido se agrega a la red. Estos equipos se denominan detectores no administrados y la opcin es Habilitar como detector no administrado. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 217.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
63
Accin
Descripcin
Configure las revisiones Configure el nmero de revisiones de contenido almacenado en el servidor para reducir de contenido disponible el uso del ancho de banda para los clientes. para los clientes a fin de Por lo general, se ofrecen tres actualizaciones de contenido por da. Configure el nmero reducir el ancho de de actualizaciones que se conservan en el servidor. Por lo general, se desean almacenar banda solamente las actualizaciones de contenido ms recientes. Un cliente que no se ha conectado durante el tiempo que el servidor tarda en acumular el nmero determinado de actualizaciones, descarga el paquete de contenido completo. Un paquete completo supera los 100 MB. El tamao de una actualizacin incremental es de 1 MB a 2 MB. Configure el nmero de actualizaciones almacenadas en una configuracin que minimice la cantidad de veces que un cliente debe descargar un paquete de actualizacin completo. En general, 10 revisiones de contenido ocupan aproximadamente 3,5 GB de espacio libre en disco en Symantec Endpoint Protection Manager. Para obtener ms informacin sobre las necesidades de almacenamiento y ancho de banda, consulte el White paper de escalabilidad y determinacin de tamao de Symantec Endpoint Protection. Comprobar la Asegrese de que las actualizaciones de contenido se descarguen a los equipos cliente en programacin de un momento que afecte a los usuarios lo menos posible. LiveUpdate y ajustarla, Ver "Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint si es necesario Protection Manager" en la pgina 553. Configurar Symantec Endpoint Protection Manager para enviar alertas por correo electrnico Las alertas y las notificaciones son crticas para mantener un entorno seguro y pueden adems ahorrar tiempo. Ver "Cmo administrar notificaciones" en la pgina 627.
Configure notificaciones Cree una notificacin para un Evento de riesgo simple y modifique la notificacin para para un nico ataque de Ataque de riesgo. riesgo y cuando se Para estas notificaciones, haga lo siguiente: detecta un nuevo riesgo 1 Cambie la Gravedad del riesgo a Categora 1 (Muy Bajo y superior) para evitar recibir correos electrnicos sobre cookies de seguimiento.
Tabla 1-5 muestra las tareas para realizar despus de instalar y configurar el producto para evaluar si los equipos cliente tienen el nivel correcto de proteccin.
64
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Descripcin
Es posible aumentar el rendimiento de modo que el cliente no analice ciertas carpetas y ciertos archivos. Por ejemplo, el cliente analiza el servidor de correo cada vez que se ejecuta un anlisis programado. Es posible mejorar el rendimiento excluyendo las carpetas y los archivos que son conocidos por causar problemas si se analizan. Por ejemplo, Symantec Endpoint Protection no debe analizar los archivos propietarios de Microsoft SQL Server. Para mejorar el rendimiento y evitar daar o bloquear los archivos cuando Microsoft SQL Server debe usarlos, debe crear excepciones para impedir el anlisis de las carpetas que contienen estos archivos de bases de datos. Para obtener ms informacin, consulte el artculo de la base de conocimientos Cmo excluir carpetas y archivos de MS SQL con excepciones centralizadas. Es posible tambin excluir archivos por extensin en anlisis de Auto-Protect. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355.
Ejecutar un informe Ejecute los siguientes informes rpidos e informes programados para ver si los equipos rpido y un informe cliente tienen el nivel de seguridad correcto. programado despus del Ver "Acerca de los tipos de informes" en la pgina 607. anlisis programado Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Ver "Creacin de informes programados" en la pgina 613. Comprobar para Revise los monitores, los registros y el estado de equipos cliente para asegurarse de tener asegurarse de que los el nivel correcto de proteccin para cada grupo. anlisis programados se Ver "Supervisin de proteccin de endpoints" en la pgina 595. hayan realizado correctamente y los clientes funcionen como se esperaba
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
65
Organizar y Se aplica la proteccin a los equipos cliente segn el grupo en el que coloca un equipo. Los administrar grupos equipos en cada grupo tienen el mismo nivel de seguridad. Es posible importar la estructura de grupo existente de su compaa. Es posible tambin crear nuevos grupos. Para determinar qu grupos agregar, primero considere la estructura de la red. O, si crea una nueva estructura de grupo, base su estructura de grupo en la funcin, el rol, la regin geogrfica o una combinacin de criterios. Por ejemplo, considere el nmero de equipos en el sitio o si los equipos son del mismo tipo, tal como equipos Windows o Mac. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Ver "Cmo administrar los equipos cliente" en la pgina 204. Agregando ubicaciones a un grupo, se puede cambiar qu poltica es asignada a un equipo cliente segn dnde se encuentra el equipo. Por ejemplo, puede ser recomendable tener una poltica distinta que se aplique a un equipo cliente en una oficina, un hogar u otra empresa. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Modificar la proteccin Symantec Endpoint Protection Manager incluye las polticas predeterminadas para cada tipo de proteccin. Las polticas equilibran la necesidad de proteccin con rendimiento. Inicialmente, las polticas predeterminadas proporcionan la configuracin apropiada para organizaciones grandes y pequeas. Es posible ajustar la configuracin a lo largo del tiempo segn lo que su compaa necesita. Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Cmo configurar la proteccin en entornos virtuales Administrar polticas Symantec Endpoint Protection proporciona las funciones que mejoran el rendimiento en entornos virtuales. Ver "Cmo administrar Symantec Endpoint Protection en entornos virtuales" en la pgina 372. Las polticas de seguridad se deben aplicar a un grupo antes de que los clientes apliquen las polticas al equipo cliente. Es posible crear polticas que sean compartidas por todos los grupos o que se apliquen a un grupo solamente. Symantec Endpoint Protection Manager facilita la tarea de agregar y modificar polticas para todas las necesidades de seguridad de su compaa. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
66
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Tarea
Programar y administrar actualizaciones
Descripcin
Los equipos cliente necesitan recibir actualizaciones peridicas de contenido de proteccin, como definiciones de virus, firmas de prevencin de intrusiones y software del producto. Es posible configurar el mtodo, el tipo de contenido y la programacin que Symantec Endpoint Protection usa para descargar el contenido a los equipos cliente. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Es posible configurar el cliente para que muestre diferentes funciones del cliente y funciones de proteccin. Cmo se configuran estas funciones depende de cunto control desee que los usuarios del equipo cliente tengan en cada grupo. Ver "Modificar el nivel de control del usuario" en la pgina 223. Ver "Configurar opciones de la interfaz de usuario" en la pgina 226.
Administrar la Symantec recomienda analizar qu tipo de seguridad necesitan los equipos. Si no implement implementacin del el paquete de instalacin de clientes en el momento en el que instal Symantec Endpoint cliente Protection Manager, se puede implementar el software de cliente ms tarde. Tiene la opcin de buscar equipos sin proteccin. Ver "Preparacin para la instalacin de clientes" en la pgina 127. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Supervisar y responder a los cambios de estado Se usan informes y registros para ver el estado de seguridad de los equipos cliente. Los informes y los registros le ayudan a manejar ataques de virus y a aumentar la seguridad y el rendimiento de la red de su compaa. Es posible tambin configurar notificaciones para alertar a los administradores y a los usuarios sobre problemas de seguridad potenciales. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ver "Cmo administrar notificaciones" en la pgina 627. Optimizar Symantec Es posible configurar Symantec Endpoint Protection para mejorar el rendimiento en el servidor Endpoint Protection de administracin y en los equipos cliente. Ver "Mejora del rendimiento del cliente y del servidor" en la pgina 678. Administrar dominios y administradores Administrar administradores Los dominios separan deberes administrativos para un conjunto de grupos. Se usan dominios para administrar los equipos cliente que se encuentran en diversas compaas o unidades de negocio. Es posible agregar cuentas de administrador, de modo que diversos administradores tengan diversos niveles de control sobre cmo administrar los grupos, las polticas, los comandos y los informes en Symantec Endpoint Protection Manager. Ver "Cmo administrar dominios y cuentas de administrador" en la pgina 650.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
67
Tarea
Administrar el cumplimiento del endpoint
Descripcin
Es posible instalar y administrar Symantec Network Access Control para asegurarse de que un equipo cliente cumple la poltica de seguridad de la compaa. Si el equipo la cumple, el equipo tiene permitido conectarse a la red de la compaa. Si el equipo cliente no la cumple, el equipo debe primero obtener y ejecutar el software que necesita para reparar automticamente los errores de cumplimiento antes de que el equipo pueda conectarse a la red. Ver "Acerca de los tipos de aplicacin en Symantec Network Access Control" en la pgina 736. Ver "Cmo implementar Symantec Network Access Control" en la pgina 754.
Tarea
Descripcin
Comprobar el estado Es necesario comprobar peridicamente la pgina principal para ver el estado de seguridad de seguridad de su total de su red. Es posible usar las notificaciones, los informes y los registros para proporcionar red detalles sobre el estado de seguridad. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ver "Cmo administrar notificaciones" en la pgina 627. Mantener la base de Symantec Endpoint Protection Manager admite la base de datos integrada y una base de datos datos de Microsoft SQL. La base de datos almacena informacin sobre la configuracin que defini en el servidor de administracin, como las polticas, los grupos, los paquetes de instalacin de clientes y las entradas de registro. Si el ancho de banda o el espacio en el disco duro es un problema, se puede reducir al mnimo la cantidad de datos almacenados y realizar otras tareas para aumentar el rendimiento de la base de datos. En caso de corrupcin de datos o error de hardware, es necesario hacer copia de seguridad de la base de datos regularmente. Ver "Mantener la base de datos" en la pgina 703.
68
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Tarea
Mantenimiento de licencias
Descripcin
Es posible comprobar si su licencia est a punto de caducar o si tiene demasiados clientes implementados para lo que cubre su licencia. Ver "Mantener sus licencias del producto" en la pgina 120.
Para ayudar a atenuar un caso de dao de datos o de un error de hardware, es necesario hacer copia de seguridad de la base de datos regularmente y hacer una copia de los archivos especficos del servidor de administracin. Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. A medida que agrega ms equipos cliente, puede ser recomendable instalar servidores de administracin adicionales y configurarlos. Puede ser recomendable configurar la conmutacin por error y el balanceo de carga. Es posible que adems necesite cambiar de una base de datos integrada a una base de datos de Microsoft SQL. Ver "Administrar servidores" en la pgina 673. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Ver "Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate" en la pgina 555. Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet" en la pgina 555.
Dentro de un sitio, se configura la conmutacin por error para mantener la comunicacin cuando los clientes no pueden comunicarse con un servidor de administracin. Se configura el balanceo de carga para distribuir la administracin de clientes entre los servidores de administracin. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
69
Descripcin
Es posible descargar y ejecutar la herramienta de soporte de Symantec Endpoint Protection para verificar que sus equipos estn listos para la instalacin. La herramienta de apoyo se proporciona con el servidor de administracin y el cliente. Tambin est disponible en el sitio web del soporte tcnico de Symantec. Ver "Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo" en la pgina 1061. Ver "Identificacin del punto de falla de una instalacin" en la pgina 1062.
Es posible evitar que amenazas ataquen los equipos en su red. Ver "Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente" en la pgina 286. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. Si una amenaza ataca un equipo cliente, puede identificar y responder a la amenaza. Consulte el siguiente artculo de la base de conocimientos: Prcticas recomendadas para la solucin de problemas de virus en una red.
Si las ltimas definiciones de virus no se actualizan correctamente en Symantec Endpoint Protection Manager o los clientes, consulte el artculo de la base de conocimientos siguiente: Symantec Endpoint Protection: solucin de problemas de LiveUpdate. Los canales de comunicaciones entre todos los componentes de Symantec Endpoint Protection deben estar abiertos. Estos canales incluyen de servidor a cliente, de servidor a base de datos, y de servidor y cliente a componente de entrega de contenido, tal como LiveUpdate. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Ver "Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos" en la pgina 1072. Consulte el siguiente artculo de la base de conocimientos: Solucin de problemas de comunicacin de Symantec Endpoint Protection Manager.
En caso de daos en la base de datos o de error de hardware, puede restaurar la ltima instantnea de la base de datos si tiene un archivo de copia de seguridad de base de datos. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057.
Reduccin del Es posible poner ms espacio a disposicin en la base de datos si el tamao de la base de datos espacio en la base de se vuelve demasiado grande. datos Ver "Mantener la base de datos" en la pgina 703.
70
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
Tarea
Solucin de problemas de elaboracin de informes
Descripcin
Es posible solucionar diversos problemas de informes y registros. Ver "Solucin de problemas de elaboracin de informes" en la pgina 1077.
Solucin de Es posible solucionar diversos problemas del dispositivo Enforcer. problemas con el Ver "Cmo solucionar problemas en un dispositivo Enforcer" en la pgina 1087. dispositivo Enforcer
Consulte el artculo de la base de conocimientosPrincipales artculos de Prcticas recomendadas para Symantec Endpoint Protection.
Seccin
Captulo 2. Planificacin de la instalacin Captulo 3. Instalacin de Symantec Endpoint Protection Manager Captulo 4. Administracin de licencias de productos Captulo 5. Preparacin para la instalacin de clientes Captulo 6. Instalacin del cliente de Symantec Endpoint Protection Captulo 7. Actualizacin y migracin a Symantec Endpoint Protection Captulo 8. Configuracin y administracin de sitios y replicacin Captulo 9. Administracin de Symantec Endpoint Protection en Protection Center
72
Captulo
Planificacin de la instalacin
En este captulo se incluyen los temas siguientes:
Planificacin de la instalacin Componentes de Symantec Endpoint Protection Componentes de Symantec Network Access Control Consideraciones de la arquitectura de red Requisitos de la licencia de producto Requisitos del sistema Instalaciones virtuales y productos de virtualizacin admitidos Acerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos Acerca de la eleccin de un tipo de base de datos Acerca de la configuracin de SQL Server Acerca de los modos de autenticacin de la base de datos de SQL Server
Planificacin de la instalacin
Tabla 2-1 resume los pasos de alto nivel para instalar Symantec Endpoint Protection.
74
Accin
Planificar la arquitectura Comprenda los requisitos de tamao para su red. Adems de identificar los de red endpoints que necesitan proteccin, la programacin de actualizaciones y otras variables se deben evaluar para asegurar un buen rendimiento de la red y de la base de datos. Ver "Consideraciones de la arquitectura de red" en la pgina 81. Para que la informacin le ayude a planificar instalaciones de mediana escala a gran escala, consulte el white paper de Symantec, Recomendaciones de tamao y elevacin para Symantec Endpoint Protection. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Paso 2
Revisar los requisitos del Asegrese de que sus equipos cumplan con los requisitos mnimos del sistema sistema y que se comprendan los requisitos de concesin de licencias del producto. Ver "Requisitos del sistema" en la pgina 84. Ver "Requisitos de la licencia de producto" en la pgina 82.
Paso 3
Desinstale el otro software de proteccin antivirus de sus equipos, asegrese de que el acceso a nivel del sistema est disponible y abra los firewalls para permitir la implementacin remota. Ver "Preparacin para la instalacin de clientes" en la pgina 127. Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131.
Paso 4
La implementacin remota del cliente necesita que ciertos puertos y protocolos estn abiertos y se permitan entre Symantec Endpoint Protection Manager y los equipos de endpoint. Ver "Acerca de firewalls y puertos de comunicaciones" en la pgina 129.
Paso 5
Identifique los nombres de usuario, las contraseas, las direcciones de correo electrnico y la configuracin de la otra instalacin. Tenga la informacin a mano durante la instalacin. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147.
75
Paso
Paso 6
Accin
Instale el servidor de administracin
Descripcin
Instale Symantec Endpoint Protection Manager. Si la red que admite su empresa es pequea y est ubicada en una ubicacin geogrfica, deber instalar solamente un Symantec Endpoint Protection Manager. Si la red est geogrficamente dispersa, es posible que sea necesario instalar servidores de administracin adicionales para el balanceo de carga y la distribucin del ancho de banda. Si la red es muy grande, se pueden instalar sitios adicionales con bases de datos adicionales y configurarlas para compartir datos con la replicacin. Para proporcionar redundancia adicional, se pueden instalar sitios adicionales para admitir la conmutacin por error. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
Paso 7
Migrar el software Si est ejecutando la proteccin de versin anterior de Symantec, se migra heredado de proteccin generalmente la configuracin de la poltica y del grupo de su versin anterior. contra virus de Symantec Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Preparar los equipos para la instalacin del cliente Preprese para la instalacin del cliente de la siguiente manera:
Paso 8
Identifique los mtodos que se deben usar para implementar el software de cliente en los equipos. Desinstale el software de proteccin contra virus de otro fabricante de los equipos. Modifique o deshabilite la configuracin del firewall en sus equipos de endpoint para permitir la comunicacin entre los endpoints y Symantec Endpoint Protection Manager. Instale los grupos de la consola del equipo para que coincidan con su estructura organizativa. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Paso 9
Instale el cliente de Symantec Endpoint Protection en los equipos de endpoint. Symantec recomienda que, adems, instale el cliente en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
Paso 10
Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57.
76
Base de datos
La base de datos que almacena las polticas de seguridad y los eventos. La base de datos est instalada en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Acerca de la eleccin de un tipo de base de datos" en la pgina 91.
El cliente de Symantec Endpoint Protection protege los equipos con anlisis antivirus y antispyware, SONAR, Diagnstico Insight de descargas, un firewall, un sistema de prevencin de intrusiones y otras tecnologas de proteccin. Se ejecuta en los servidores, los escritorios y los equipos porttiles que desea proteger. El cliente Mac de Symantec Endpoint Protection protege los equipos con anlisis en busca de virus y spyware. Para obtener ms informacin, consulte la Gua del cliente de Symantec Endpoint Protection y Symantec Network Access Control. Ver "Acerca de Symantec Endpoint Protection" en la pgina 41.
77
Componente
Descripcin
Symantec Protection Center Symantec Protection Center se instala cuando instala Symantec Endpoint Protection Manager. Protection Center le permite integrar las consolas de administracin de varios productos de seguridad de Symantec admitidos en un nico entorno de administracin. Ver "Acerca de Symantec Endpoint Protection y Protection Center" en la pgina 185. Administrador de LiveUpdate El Administrador de LiveUpdate descarga definiciones, (opcional) firmas y actualizaciones del producto del servidor de Symantec LiveUpdate y distribuye las actualizaciones a los equipos cliente. Para obtener ms informacin, consulte la Gua del usuario del Administrador de Symantec LiveUpdate. Cuarentena central (opcional) La Cuarentena central recibe los archivos sospechosos y los elementos infectados sin reparar de los clientes de Symantec Endpoint Protection. Cuarentena central remite una muestra a Symantec Security Response, que analiza la muestra. Si una amenaza es nueva, Symantec Security Response crea actualizaciones de seguridad. Para obtener ms informacin, consulte la Gua de implementacin de la Cuarentena central de Symantec.
78
Figura 2-1
Equipos que ejecutan el cliente Symantec Endpoint Protection, conectndose por un tnel a travs de la VPN
Internet
Firewall
Symantec Endpoint Protection Manager, con el cliente Symantec Endpoint Protection instalado
Ver "Componentes de Symantec Network Access Control" en la pgina 78. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51.
79
Base de datos
La base de datos que almacena las polticas de seguridad y los eventos. La base de datos est instalada en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Acerca de la eleccin de un tipo de base de datos" en la pgina 91.
Cliente de Symantec Network El cliente de Symantec Network Access Control aplica el Access Control cumplimiento de las polticas de seguridad en los equipos cliente usando comprobaciones de integridad del host y funcionalidades de aplicacin automtica. El cliente informa el estado del cumplimiento de la integridad del host a Symantec Enforcer. Para obtener ms informacin, consulte la Gua del cliente de Symantec Endpoint Protection y Symantec Network Access Control. Ver "Acerca de Symantec Network Access Control" en la pgina 735. Symantec Protection Center Symantec Protection Center se instala cuando instala Symantec Endpoint Protection Manager. Protection Center le permite integrar las consolas de administracin de varios productos de seguridad de Symantec admitidos en un nico entorno de administracin. Ver "Acerca de Symantec Endpoint Protection y Protection Center" en la pgina 185.
80
Componente
Descripcin
Administrador de LiveUpdate El Administrador de LiveUpdate descarga definiciones, (opcional) firmas y actualizaciones del producto del servidor de Symantec LiveUpdate y distribuye las actualizaciones a los equipos cliente. Para obtener ms informacin, consulte la Gua del usuario del Administrador de Symantec LiveUpdate. Symantec Enforcer (opcional) Un Enforcer garantiza que los clientes que intentan conectarse a la red cumplan con las polticas de seguridad configuradas. Es posible restringir el acceso a los equipos que no estn en cumplimiento a segmentos especficos de la red para su reparacin y es posible prohibir completamente el acceso a los equipos que no estn en cumplimiento. Symantec Network Access Control incluye los siguientes tipos de Enforcer: El dispositivo Gateway Enforcer proporciona aplicacin in line en los puntos de obstruccin de red. El dispositivo Enforcer del LAN 802.1x proporciona un enfoque basado en estndares fuera de banda para las redes LAN e inalmbricas. DHCP Integrated Enforcer proporciona un enfoque basado en DHCP para las redes LAN e inalmbricas en cualquier infraestructura. La Proteccin de acceso a la red de Microsoft Integrated Enforcer proporciona un enfoque basado en Microsoft NAP para las redes inalmbricas y LAN.
Ver Acerca de los dispositivos LAN Enforcer en la pgina 799. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 959. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection" en la pgina 960.
81
Componente
Clientes On-Demand para Windows y Macintosh (opcionales) de Symantec Network Access Control
Descripcin
Los clientes On-Demand son los clientes temporales que se proporcionan a los usuarios cuando no estn autorizados para acceder a su red. Los equipos cliente no autorizados no tienen el software que cumple con las polticas de seguridad. Una vez Enforcer ha instalado un cliente On-Demand, se conecta temporalmente a su red de empresa como invitado. Ver "Acerca de los clientes de Symantec Network Access Control On-Demand" en la pgina 1030.
Symantec Endpoint Protection Manager Los administradores usan Symantec Endpoint Protection Manager para administrar polticas de seguridad y equipos cliente. Es conveniente considerar la seguridad y la disponibilidad del equipo en el cual Symantec Endpoint Protection Manager est instalado. Consola remota Los administradores pueden usar un equipo remoto que ejecute el software de consola para acceder a Symantec Endpoint Protection Manager. Los administradores pueden usar un equipo remoto cuando estn lejos de la oficina. Debe asegurarse de que los equipos remotos cumplan los requisitos de la consola remota. Equipos locales y remotos Los equipos remotos pueden tener conexiones de red ms lentas. Es posible que desee utilizar un mtodo de instalacin diferente que el que se usa para instalar equipos locales.
82
Equipos portables, como equipo porttiles Es posible que los equipos portables no se conecten a la red en una programacin regular. Es conveniente hacer que los equipos portables se actualicen con el servidor de LiveUpdate en lugar de actualizarse con Symantec Endpoint Protection Manager. Equipos que se encuentran en reas seguras Los equipos que se encuentran en reas seguras pueden necesitar una configuracin de seguridad diferente que los equipos que no estn situados en reas seguras.
Debe identificar los equipos en los cuales se planea instalar el cliente. Symantec recomienda que se instale el software de cliente en todos los equipos desprotegidos, incluido el equipo que ejecuta Symantec Endpoint Protection Manager. Debe decidir cmo desea administrar los equipos. En la mayora de los casos, se administran desde la consola de Symantec Endpoint Protection Manager. Estos se llaman los equipos administrados. Puede ser recomendable administrar manualmente los equipos portables que se conectan a la red de la compaa intermitentemente, por ejemplo los dispositivos mviles como las computadoras porttiles. Un equipo manualmente administrado se llama un equipo no administrado. Los equipos que nunca se conectan a la red de la compaa son, por definicin, los equipos no administrados (porque nunca se conectan a Symantec Endpoint Protection Manager). Debe organizar los equipos con necesidades de seguridad similares en grupos. Por ejemplo, es posible que tenga que organizar los equipos del Departamento de Nmina de Pago en el grupo de Nmina de pago. La estructura del grupo que se define probablemente coincide con la estructura de su organizacin. Se crean los grupos usando Symantec Endpoint Protection Manager. Ajuste la configuracin de la poltica de seguridad para los grupos que necesitan restricciones adicionales. Se asignan los equipos a los grupos. Es posible asignar los equipos a los grupos durante la instalacin del cliente. Es posible tambin asignar los equipos a los grupos desde la consola despus de la instalacin del cliente.
83
Symantec Endpoint Protection acepta el archivo de licencia de su software heredado de proteccin contra virus de Symantec. Es necesario comprar una nueva licencia cuando la licencia de versin anterior caduca. Una licencia de prueba de 60 das se incluye con Symantec Endpoint Protection. Es necesario comprar una licencia cuando la licencia de prueba caduca.
Software de prueba
Activar
84
Software de prueba
El software de prueba hace referencia a una instalacin de funcionalidad completa de Symantec Endpoint Protection que funciona durante el perodo de prueba gratuito. El perodo de prueba es de 60 das desde la instalacin inicial de Symantec Endpoint Protection Manager. Si desea continuar usando Symantec Endpoint Protection ms all del perodo de prueba, es necesario comprar y activar una licencia para su instalacin. No es necesario desinstalar el software para pasar de software de prueba a una instalacin con licencia. Ver "Compra de licencias" en la pgina 114.
Sobreimplementada
Una licencia est sobreimplementada cuando el nmero de clientes implementados excede el nmero de puestos con licencia.
Una vez que haya determinado sus requisitos de licencia, haga las siguientes tareas:
Compre la licencia. Ver "Compra de licencias" en la pgina 114. Active la licencia. Ver "Cmo activar su licencia de producto" en la pgina 116.
Comprender los requisitos de la licencia es parte de planificar su instalacin de Symantec Endpoint Protection y, despus de la instalacin, administrar sus licencias de producto. Ver "Planificacin de la instalacin" en la pgina 73. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
85
Windows 7
Windows XP (de 32 bits, SP 3 o posterior; de 64 bits, todas las versiones SP) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior)
Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Small Business Server 2011 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits) Microsoft Internet Explorer 7, 8 o 9 Mozilla Firefox 3.6 o 4.0
Navegador web
Nota: Los clientes anteriores a la versin 12.1 se pueden administrar con esta versin de Symantec Endpoint Protection Manager, independientemente del sistema operativo del cliente. Symantec Endpoint Protection Manager tiene una base de datos integrada. Tambin puede usar una de las siguientes versiones de Microsoft SQL Server:
SQL Server 2000, SP 4 o posterior SQL Server 2005, SP 2 o posterior SQL Server 2008
Nota: Si instala Symantec Endpoint Protection Manager y base de datos SQL en el mismo equipo, se recomienda contar con un mnimo de 4 GB de RAM.
86
Tabla 2-6
Requisitos del sistema del cliente Windows y Mac de Symantec Endpoint Protection Requisitos
Procesador de 32 bits para Windows: Intel Pentium III de 1 GHz o mnimo equivalente (Intel Pentium 4 o equivalente recomendado) Procesador de 32 bits para Mac: Intel Core Solo, Intel Core Duo
Componente
Procesador
Procesador de 64 bits para Windows: Pentium 4 de 2 GHz con soporte para x86-64 o el mnimo equivalente. No se admiten procesadores Itanium. Procesador de 64 bits para Mac: Intel Core 2 Duo, Intel Quad-Core Xeon
512 MB de RAM o ms si lo requiere el sistema operativo Disco duro: 700 MB o ms de espacio libre 800 x 600 Windows XP (de 32 bits, SP 2 o posterior; de 64 bits, todas las versiones SP) Windows XP Embedded
Windows Vista (de 32 bits, de 64 bits) Windows 7 (de 32 bits, de 64 bits) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior) Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Small Business Server 2011 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits) Mac OS X 10.5 10.6 (de 32 bits, de 64 bits) Mac OS X Server 10.5 10.6 (de 32 bits, de 64 bits)
Para obtener informacin sobre los requisitos del sistema para el cliente de Symantec AntiVirus en Linux, consulte la Gua de implementacin de Symantec AntiVirus para Linux.
87
Tabla 2-7
Requisitos del sistema del cliente de Symantec Network Access Control Requisito
Procesador de 32 bits para Windows: Intel Pentium III de 1 GHz o mnimo equivalente (Intel Pentium 4 o equivalente recomendado) Procesador de 64 bits para Windows: Pentium 4 de 2 GHz con soporte para x86-64 o el mnimo equivalente. No se admiten procesadores Itanium.
Componente
Procesador
Sistema operativo
Windows XP (de 32 bits, XP 2 o posterior; de 64 bits, todas las versiones SP) Windows XP Embedded
Windows Vista (de 32 bits, de 64 bits) Windows 7 (de 32 bits, de 64 bits) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior) Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits)
512 MB de RAM o ms si lo requiere el sistema operativo 32 bits: 300 MB; 64 bits: 400 MB 800 x 600
Tabla 2-8
Requisitos del sistema del cliente On-Demand de Symantec Network Access Control Requisito
Windows: Intel Pentium II de 550 MHz (1 GHz para Windows Vista) o una versin superior Mac: Intel, PowerPC G5 o PowerPC G4 de 867 MHz o ms rpido
Componente
Procesador
Sistema operativo
Windows XP Home o Professional (de 32 bits, SP 2 y SP 3) Windows Vista (de 32 bits, de 64 bits) Windows 7 (de 32 bits, de 64 bits) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior) Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits) Mac OS X 10.4, 10.5 o 10.6
88
Componente
Espacio libre en disco y RAM fsica
Requisito
Tamao de la descarga: 9 MB. Cantidad de espacio libre en el disco que se necesita para ejecutar el cliente: 100 MB. RAM fsica para clientes On-Demand de Windows o Mac: 512 MB
Navegador web
Para clientes On-Demand de Windows: Microsoft Internet Explorer 6.0 o posterior; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3
Para clientes On-Demand de Mac: Apple Safari 4.0 y 5.0; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3
Monitor de video: Super VGA (1.024 x 768) o superior Al menos un adaptador de Ethernet (con TCP/IP instalado)
Ver "Instalaciones virtuales y productos de virtualizacin admitidos" en la pgina 89. Ver "Requisitos de internacionalizacin" en la pgina 88.
Requisitos de internacionalizacin
Ciertas restricciones se aplicarn cuando se instale Symantec Endpoint Protection Manager en un entorno que no sea en ingls o que tenga idiomas mezclados. Tabla 2-9 Componente Requisitos Requisitos de internacionalizacin
Nombres del equipo, Los caracteres que no pertenecen al ingls se admiten con las limitaciones siguientes: nombres del servidor La auditora de red puede no funcionar para hosts o usuarios que utilicen un juego de y nombres del grupo de caracteres de doble byte o un juego de caracteres high-ASCII. trabajo Es posible que los nombres del juego de caracteres de doble byte o los nombres del juego de caracteres high-ASCII no aparezcan correctamente en la consola de Symantec Endpoint Protection Manager o en la interfaz de usuario del cliente. Los nombres del host con juegos de caracteres high-ASCII o de doble byte largos no pueden ser ms largos que lo permitido por NetBIOS. Si el nombre de host es ms largo de lo que NetBIOS permite, las pginas Inicio, Supervisin e Informes no aparecen en la consola de Symantec Endpoint Protection Manager.
89
Componente
Caracteres en ingls
Requisitos
Los caracteres del alfabeto ingls son obligatorios en las situaciones siguientes:
Para definir la carpeta de datos del servidor en el Asistente para la configuracin del servidor de administracin. Para definir la ruta de instalacin de Symantec Endpoint Protection Manager.
Para definir un nombre de grupo. Es posible crear un paquete cliente para un nombre de grupo que contenga caracteres que no pertenecen al alfabeto ingls. Es posible que no pueda implementar el paquete cliente usando el Asistente de implementacin mediante transferencia cuando el nombre de grupo contiene caracteres que no pertenecen al alfabeto ingls. Para transferir caracteres que no pertenecen al alfabeto ingls a los equipos cliente. Es posible que algunos caracteres que no pertenecen al alfabeto ingls que se generan en el servidor no aparezcan correctamente en la interfaz de usuario del cliente. Por ejemplo, un nombre de ubicacin de juego de caracteres de doble byte no aparece correctamente en equipos cliente con nombres que no tienen caracteres de doble byte. Cuadro de dilogo del equipo cliente Informacin del usuario No utilice caracteres de doble byte ni high-ASCII al incluir comentarios en el cuadro de dilogo del equipo cliente Informacin del usuario una vez que instala el paquete exportado. Ver "Recopilacin de informacin de usuarios" en la pgina 229.
Asistente para la No use los caracteres de doble byte en los campos siguientes: activacin de licencias Nombre
90
Planificacin de la instalacin Acerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos
Ver "Requisitos del sistema" en la pgina 84. Tabla 2-10 enumera los productos de virtualizacin admitidos. Tabla 2-10 Productos de virtualizacin admitidos Producto de virtualizacin
Software de Symantec
Symantec Endpoint Protection VMware WS 5.0 (estacin de trabajo) o Manager, consola y componentes de la posterior base de datos integrada VMware GSX 3.2 (empresa) o posterior VMware ESX 2.5 (estacin de trabajo) o posterior VMware VMotion
Microsoft Virtual Server 2005 Windows Server 2008 Hyper-V Novell Xen
VMware WS 5.0 (estacin de trabajo) o posterior VMware GSX 3.2 (empresa) o posterior
Microsoft Virtual Server 2005 Windows Server 2008 Hyper-V Novell Xen
Ver "Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados" en la pgina 360. Para obtener informacin sobre las funciones de Symantec Endpoint Protection que mejoran el rendimiento en entornos virtuales, consulte la Gua de implementacin de memoria cach de conocimientos compartida de Symantec Endpoint Protection y la Gua de implementacin de Exlusin de imgenes virtuales de Symantec Endpoint Protection.
91
instalacin de Symantec Endpoint Protection Manager si uno o ms de los productos siguientes est instalado en el mismo servidor:
Symantec Backup Exec 10, 10D u 11D Symantec Brightmail Symantec Enterprise Vault Symantec Ghost Solution Suite 2.0 Symantec Mail Security for Exchange Symantec NetBackup Microsoft Outlook Web Access Microsoft SharePoint Microsoft Windows Update Services
En la mayora de los casos, son necesarios cambios en el puerto para permitir que estos programas se ejecuten simultneamente con Symantec Endpoint Protection. Para obtener informacin sobre los cambios de configuracin, consulte el artculo de la base de conocimientos del soporte tcnico de Symantec, Cmo resolver los problemas de compatibilidad con Symantec Endpoint Protection. Ver "Requisitos del sistema" en la pgina 84.
92
Descripcin
Si eligi usar esta opcin, deber instalar Microsoft SQL Server antes de instalar Symantec Endpoint Protection Manager. Adems, las herramientas del cliente de SQL Server se deben instalar en el mismo equipo donde se instala Symantec Endpoint Protection Manager. Sera recomendable considerar la posibilidad de comprar e instalar Microsoft SQL Server por los siguientes motivos: Es necesario admitir ms de 5000 clientes. Cada servidor de administracin que usa Microsoft SQL Server puede admitir hasta 50.000 clientes. Si su organizacin tiene ms de 50.000 clientes, se puede instalar otro servidor de administracin. Desear admitir la conmutacin por error y el balanceo de carga. Se desean configurar los servidores de administracin adicionales como partners del sitio. Ver "Determinacin de los sitios que necesita" en la pgina 176.
Si crea una base de datos de Microsoft SQL Server, debe primero instalar una sesin del servidor de Microsoft SQL y configurarla para la comunicacin con el servidor de administracin. Si planea configurar servidores de administracin adicionales como partners del sitio, es necesario usar una base de datos de SQL Server para el servidor de administracin. Ver "Acerca de la configuracin de SQL Server" en la pgina 92.
93
Advertencia: Symantec Endpoint Protection Manager autentica a Microsoft SQL Server con un nombre de usuario y una contrasea de propietario de la base de datos de texto en blanco. Para maximizar la seguridad de las comunicaciones remotas de Microsoft SQL Server, coloque ambos servidores en una subred segura. Tabla 2-12 Configuracin
Nombre de sesin
Configuracin de la autenticacin
Modo mixto o Modo de autenticacin de Windows Ver "Acerca de los modos de autenticacin de la base de datos de SQL Server" en la pgina 96.
contrasea del sa
Configure esta contrasea cuando configure la autenticacin del Modo mixto. TCP/IP
Protocolo habilitado
Direcciones IP para TCP/IP (SQL Server Habilitar IP1 e IP2 2005 y 2008 solamente) Nmeros de puerto TCP/IP para IP1, IP2 y IPALL (SQL Server 2005 y 2008 solamente) Configure los puertos dinmicos TCP para esconder y especifique un nmero de puerto TCP. El puerto predeterminado tpicamente es 1433. Se especifica este nmero de puerto cuando se crea la base de datos. La base de datos de Symantec Endpoint Protection Manager no admite puertos dinmicos. Conexiones remotas (SQL Server 2005 Se las debe habilitar. Tambin se debe especificar y 2008 solamente) el protocolo TCP/IP.
Si la base de datos se encuentra en un servidor remoto, se deben instalar los componentes del cliente de SQL Server, incluido BCP.EXE, en el equipo que ejecuta Symantec Endpoint Protection Manager. Consulte la documentacin de Microsoft SQL Server para obtener las instrucciones de instalacin.
94
Durante la fase de configuracin de la base de datos de Symantec Endpoint Protection Manager de la instalacin, seleccione y especifique diferentes valores de base de datos. Comprenda las decisiones que debe tomar para configurar correctamente la base de datos. Tabla 2-13 muestra la configuracin que debe conocer antes de iniciar el proceso de instalacin. Tabla 2-13 Configuracin
Nombre del servidor
Predeterminado
nombre del host local
Nombre del Microsoft SQL Server y de la sesin opcional. Si el servidor de bases de datos se instal con la sesin predeterminada, que no tiene nombre, escriba nombre de host o direccin IP del host. Si el servidor de bases de datos fue instalado con una sesin con nombre, escriba el nombre de host\nombre_sesin o la direccin IP\nombre_sesin. El uso del nombre de host funciona solamente con una DNS correctamente configurada. Si instala en un servidor de base de datos remoto, debe primero instalar los componentes del cliente de SQL Server en el equipo que ejecuta Symantec Endpoint Protection Manager.
95
Configuracin
Puerto de SQL Server
Predeterminado
1433
Descripcin
El puerto usado para enviar trfico a SQL Server y recibir trfico de l. No se admite el puerto 0, que se utiliza para especificar un puerto negociado al azar.
sem5
sem5
Nombre de la cuenta de usuario de la base de datos creada. La cuenta de usuario tiene un rol estndar con acceso de lectura y escritura. El nombre puede ser una combinacin de valores alfanumricos y de los caracteres especiales ~#%_+=|:./. No se admiten los caracteres especiales `!@$^&*()-{}[]\\<;>,?. Los nombres siguientes tampoco se permiten: sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin. La contrasea que se debe asociar a la cuenta de usuario de la base de datos. El nombre puede ser una combinacin de valores alfanumricos y de los caracteres especiales ~#%_+=|:./. Los caracteres especiales !@*(){}[];,? no estn permitidos. Ubicacin del directorio de la utilidad del cliente de SQL local que contiene bcp.exe.
Contrasea
Ninguno
SQL Server 2000: C:\Program Files\Microsoft SQL Server\80\Tools\Binn SQL Server 2005: C:\Program Files\Microsoft SQL Server\90\Tools\Binn SQL Server 2008: C:\Program Files\Microsoft SQL Server\100\Tools\Binn
Usuario administrador Ninguno de bases de datos Contrasea del Ninguno administrador de bases de datos
Nombre de la cuenta de administrador del servidor de bases de datos, que tpicamente es "sa". Contrasea que se asocia a la cuenta de usuario del administrador de bases de datos.
96
Planificacin de la instalacin Acerca de los modos de autenticacin de la base de datos de SQL Server
Configuracin
Predeterminado
Descripcin
Carpeta de datos de la Detectado automticamente al Ubicacin de la carpeta de datos de SQL Server. Si realiza base de datos hacer clic en Predeterminado. la instalacin en un servidor remoto, el identificador del volumen debe coincidir con el identificador en el servidor SQL Server 2000: C:\Program remoto. Files\Microsoft SQL Server\MSSQL\Data Si se instala una sesin con nombre en SQL Server 2000, el nombre de la sesin se aade al final de MSSQL con SQL Server 2005: C:\Program una muestra de dlar. Por ejemplo, \MSSQL$nombre Files\Microsoft SQL de sesin\Data. Server\MSSQL.1\MSSQL\Data Si se instala una sesin con nombre en SQL Server 2005, SQL Server 2008: C:\Program el nombre de la sesin se aade al final de MSSQL con Files\Microsoft SQL Server\ un identificador numrico. Por ejemplo, MSSQL10.MSSQLSERVER\ \MSSQL.1\nombre de sesin\Data. MSSQL\Data Si instala en una sesin con nombre en SQL Server 2008, el nombre de la sesin se aade al final de MSSQL10. Por ejemplo, \MSSQL10.nombre de sesin\Data.
Microsoft SQL Server se puede configurar para usar el Modo de autenticacin de Windows o el Modo mixto. La autenticacin de modo mixto permite el uso de credenciales de Windows o de SQL Server. Cuando SQL Server se configura para usar el Modo mixto, Symantec Endpoint Protection Manager se puede configurar para usar el Modo de autenticacin de Windows o el Modo mixto de autenticacin. Cuando SQL Server se configura para usar el modo de autenticacin de Windows, Symantec Endpoint Protection Manager debe tambin configurarse para usar el modo de autenticacin de Windows. Para las conexiones de bases de datos remotas que usan el modo de autenticacin de Windows, sea consciente de los siguientes requisitos:
Planificacin de la instalacin Acerca de los modos de autenticacin de la base de datos de SQL Server
97
Para las implementaciones en un entorno de Active Directory, Symantec Endpoint Protection Manager y SQL Server deben encontrarse en el mismo dominio de Windows. Para las implementaciones en un entorno de grupo de trabajo, las credenciales de cuenta de Windows deben ser las mismas para los equipos locales y los equipos remotos.
98
Planificacin de la instalacin Acerca de los modos de autenticacin de la base de datos de SQL Server
Captulo
Cmo instalar el servidor de administracin y la consola Cmo configurar el servidor de administracin durante la instalacin Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager Cmo desinstalar Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager Cmo aumentar el perodo de duracin de la sesin en la consola Qu se puede hacer desde la consola
100
Instalacin de Symantec Endpoint Protection Manager Cmo instalar el servidor de administracin y la consola
Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57. Para instalar el servidor de administracin y la consola
Inserte y visualice el disco del producto. La instalacin debe iniciarse automticamente. Si no se inicia, haga doble clic en Setup.exe. Si descarg el producto, descomprima la carpeta y extraiga la imagen entera del disco del producto en un disco fsico, como un disco duro. Ejecute Setup.exe del disco fsico.
2 3 4 5 6 7 8
En el cuadro de dilogo Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection. Haga clic en InstalarSymantec Endpoint Protection Manager. En el panel Bienvenido, haga clic en Siguiente. Revise la secuencia de eventos de instalacin y, luego, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente. En el panel Carpeta de destino, acepte la carpeta de destino predeterminada o especifique otra carpeta de destino y despus haga clic en Siguiente. Haga clic en Instalar. El proceso de instalacin comienza con la instalacin de Symantec Endpoint Protection Manager y de la consola.
Instalacin de Symantec Endpoint Protection Manager Cmo configurar el servidor de administracin durante la instalacin
101
El tipo de configuracin: predeterminada o personalizada. El asistente proporciona la informacin sobre cada tipo. Si desea usar un archivo de recuperacin. Nota: Si esta es su primera instalacin de Symantec Endpoint Protection Manager, no hay archivo de recuperacin. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057.
102
Instalacin de Symantec Endpoint Protection Manager Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager
La direccin de correo electrnico que recibe notificaciones e informes importantes. El nombre y el nmero de puerto del servidor de correo electrnico. Es posible agregar opcionalmente la informacin del partner si tiene un partner de Ventas de Symantec que administre sus licencias de Symantec.
Cada tipo de configuracin tiene un proceso de configuracin aparte. Siga las instrucciones que se proporcionan en el Asistente para la configuracin del servidor para completar la configuracin. Ver "Planificacin de la instalacin" en la pgina 73.
Instalacin de Symantec Endpoint Protection Manager Cmo desinstalar Symantec Endpoint Protection Manager
103
Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161. Para desinstalar Symantec Endpoint Protection Manager
1 2
En el equipo servidor, en el men Inicio, haga clic en Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, seleccione Symantec Endpoint Protection Manager y despus haga clic en Quitar.
En algunos casos, es posible que deba desinstalar Symantec Endpoint Protection Manager o los clientes manualmente. Para obtener ms informacin, consulte los artculos de la base de conocimientos del Soporte tcnico de Symantec que tienen instrucciones para desinstalar manualmente Symantec Endpoint Protection Manager y los clientes. Tabla 3-1 Lista de artculos de la base de conocimientos sobre la desinstalacin manual Artculo
Versin
Symantec Endpoint Protection Manager 11.0 Cmo desinstalar manualmente Symantec Endpoint Protection Manager 11.0 Symantec Endpoint Protection Manager 12.0 Cmo desinstalar manualmente Symantec Endpoint Protection Manager 12.0 Cliente de Symantec Endpoint Protection en Cmo desinstalar manualmente el cliente Windows 2000, XP y 2003, ediciones de 32 de Symantec Endpoint Protection de las bits ediciones de 32 bits de Windows 2000, XP y 2003 Windows Vista, Windows 7 y Windows 2008, Cmo desinstalar manualmente el cliente ediciones de 32 bits de Symantec Endpoint Protection de las ediciones de 32 bits de Windows Vista, Windows 7 y Windows 2008
Nota: Busque la base de conocimientos del Soporte tcnico de Symantec para obtener las versiones que no se muestran aqu.
104
Instalacin de Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager
Localmente, desde el equipo en el cual el servidor de administracin est instalado. Remotamente, desde cualquier equipo que cumpla los requisitos del sistema para una consola remota y tenga conectividad de red al servidor de administracin. Es posible iniciar sesin en la consola web remota o la consola JAVA remota.
Para iniciar sesin remotamente, es necesario saber la direccin IP o el nombre de host del equipo en el cual el servidor de administracin est instalado. Debe adems asegurarse de que las opciones de Internet del navegador web permitan ver el contenido del servidor en el que inicia sesin. Cuando se inicia sesin remotamente, se puede realizar las mismas tareas que los administradores que inician sesin localmente. Qu es posible ver y hacer desde la consola depende del tipo de administrador que usted sea. La mayora de los administradores en organizaciones ms pequeas inician sesin como administrador del sistema. Ver "Acerca de los administradores" en la pgina 651. Es posible adems acceder a las funciones de elaboracin de informes desde un navegador web independiente que se conecte al servidor de administracin. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Ver "Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager" en la pgina 689. Nota: Si instal la consola JAVA remota con una versin anterior del producto, debe reinstalarlo cuando realiza una actualizacin a una versin posterior.
Instalacin de Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager
105
1 2
Vaya a Inicio > Programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager. En el cuadro de dilogo de inicio de sesin de Symantec Endpoint Protection Manager, escriba el nombre de usuario (administrador de forma predeterminada) y la contrasea que se configur durante la instalacin. Si la consola tiene ms de un dominio, haga clic en Opciones> y escriba el nombre de dominio. Haga clic en Iniciar sesin.
3 4
Abra Internet Explorer y escriba la direccin siguiente en el cuadro direccin: http://nombre del host:9090 donde nombre de host el nombre de host o la direccin IP del servidor de administracin.
En la pgina del acceso web de la consola de Symantec Endpoint Protection Manager, haga clic en el tipo consola deseado. Nota: Si selecciona la Consola de Symantec Endpoint Protection Manager, el equipo desde el que inicia sesin debe tener Java 2 Runtime Environment (JRE) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE.
Si aparece el mensaje de nombre del host, haga clic en S. Este mensaje significa que la URL de la consola remota que especific no coincide con el nombre de certificado de Symantec Endpoint Protection Manager. Este problema ocurre si se inicia sesin y se especifica una direccin IP en lugar del nombre del equipo del servidor de administracin. Si aparece la advertencia del certificado de seguridad de la pgina web, haga clic en Vaya a este sitio web (no recomendado) y agregue el certificado autofirmado a Internet Explorer. Para obtener instrucciones sobre cmo agregar el certificado de seguridad a Internet Explorer, consulte el artculo de la base de conocimientos de soporte tcnico de Symantec Cmo agregar a Internet Explorer un certificado autofirmado para Symantec Protection Center o Symantec Endpoint Protection Manager.
106
Instalacin de Symantec Endpoint Protection Manager Cmo aumentar el perodo de duracin de la sesin en la consola
Siga las indicaciones para completar el proceso de inicio de sesin. Dependiendo del mtodo de inicio de sesin, es posible que sea necesario proporcionar informacin adicional. Por ejemplo, si la red tiene varios dominios, debe proporcionar el nombre de dominio en el que desea iniciar sesin. Nota: Cundo inicie sesin por primera vez despus de la instalacin, use el administrador de nombre de cuenta
Haga clic en Iniciar sesin. Es posible recibir uno o ms mensajes de advertencia de seguridad al iniciar la consola remota. De ser as, haga clic en S, Ejecutar, Iniciar, o su equivalente y contine hasta que aparezca la consola. Es posible que deba aceptar el certificado autofirmado que requiere Symantec Endpoint Protection Manager. Ver "Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager" en la pgina 102.
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Haga clic en Sitio local o en un sitio remoto y haga clic en Editar propiedades del sitio. En la ficha General, haga clic en la lista desplegable Tiempo de espera de la consola y seleccione Nunca. Haga clic en Aceptar.
107
Obtener la cantidad de equipos que recibieron definiciones de virus y otras actualizaciones de contenido. Consultar el estado de la licencia.
Ajustar las preferencias de la consola. Obtener informacin sobre las ltimas amenazas de Internet y para la seguridad.
Ver "Configurar preferencias de la elaboracin de informes" en la pgina 605. Ver "Comprobar el estado de la licencia" en la pgina 120. Supervisin Supervise los registros de eventos relacionados con Symantec Endpoint Protection Manager y sus equipos administrados. Es posible hacer las siguientes tareas en la pgina Supervisin:
Ver grficos de distribucin de los riesgos. Ver registros de eventos. Consultar el estado de los comandos emitidos recientemente. Ver y crear notificaciones.
108
Pgina
Informes
Descripcin
Permite ejecutar informes para obtener informacin actualizada sobre la actividad de la red y el equipo. Es posible hacer las siguientes tareas en la pgina Informes:
Ejecutar informes rpidos. Ejecutar el informe de resumen diario. Ejecutar el informe de resumen semanal.
Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Polticas Muestra las polticas de seguridad que definen la configuracin de la tecnologa de proteccin. Es posible hacer las siguientes tareas en la pgina Polticas:
Ver y ajustar la configuracin de la proteccin. Crear, editar, copiar y eliminar polticas de seguridad. Asignar polticas de seguridad a grupos de equipos. Configurar equipos cliente para LiveUpdate.
Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Clientes Permite administrar los equipos y los grupos. Es posible realizar las siguientes tareas desde esta pgina:
Crear y eliminar grupos. Editar propiedades de grupos. Consultar las polticas de seguridad asignadas a grupos. Ejecutar comandos en los grupos. Implementar el software de cliente en los equipos de la red.
109
Pgina
Administrador
Descripcin
Administre la configuracin, las licencias y las cuentas de administrador de Symantec Endpoint Protection Manager Es posible hacer las siguientes tareas en la pgina Administrador:
Ver y editar la configuracin del correo electrnico y del servidor proxy. Importar y comprar licencias.
Ajustar la programacin de LiveUpdate. Descargar las actualizaciones de contenido de LiveUpdate. Consultar el estado de LiveUpdate y las descargas recientes.
Ver "Cmo administrar dominios y cuentas de administrador" en la pgina 650. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
110
Captulo
Concesin de licencias de Symantec Endpoint Protection Acerca de la licencia del software de prueba Compra de licencias Dnde comprar una licencia de producto de Symantec Cmo activar su licencia de producto Cmo usar el Asistente para la activacin de licencias Informacin de contacto necesaria para las licencias Acerca de actualizar desde software de prueba Acerca de renovar su licencia de Symantec Endpoint Protection Acerca del Portal de licencias de Symantec Mantener sus licencias del producto Comprobar el estado de la licencia Reglas de aplicacin de concesin de licencias Hacer copias de seguridad de los archivos de licencia Cmo recuperar una licencia eliminada Importacin de una licencia
112
Acerca de los clientes obsoletos y su impacto sobre las licencias Cmo depurar clientes obsoletos de la base de datos Acerca de licencias de varios aos
Desea comprar Symantec Endpoint Protection. Su licencia del software de prueba caduc. Su licencia paga caduc. Su licencia est sobreimplementada.
Ver "Comprobar el estado de la licencia" en la pgina 120. Ver "Compra de licencias" en la pgina 114. Ver "Acerca de actualizar desde software de prueba" en la pgina 118.
113
Tarea
Importar y activar su licencia
Descripcin
Se usa el Asistente para la activacin de licencias en Symantec Endpoint Protection Manager para importar y para activar su licencia de producto de Symantec. La activacin de licencias requiere:
Dependiendo del distribuidor de la licencia, se recibe un nmero de serie de la licencia de producto de o un archivo de licencia de Symantec. Los archivos de licencia se envan en un mensaje de correo electrnico o se descargan de un sitio web seguro. El archivo de licencia usa la extensin de archivo .SLF (archivo de licencia de Symantec). Cuando el archivo de licencia es enviado por correo electrnico, se adjunta al mensaje de correo electrnico como archivo .ZIP. Es necesario extraer el archivo .SLF del archivo .zip. Guarde el archivo de licencia en un equipo al que se pueda acceder desde la consola de Symantec Endpoint Protection Manager. Muchos usuarios guardan la licencia en el equipo que alberga Symantec Endpoint Protection Manager y adems guardan una copia de la licencia en otro equipo o en soportes de almacenamiento extrables para guardarlos con ms seguridad.
114
Advertencia: Para evitar que el archivo de licencia se dae, no abra ni altere los contenidos del archivo de ninguna manera. Es posible, sin embargo, copiar y almacenar la licencia segn lo desee.
Nota: En algunos casos, puede solamente tener un nmero de serie de la licencia. Este nmero de serie se puede usar para activar su licencia de producto de Symantec y para descargar el software del producto.
Symantec Endpoint Protection Manager Cliente de Symantec Endpoint Protection Base de datos integrada para almacenar polticas de seguridad y eventos Acceso al contenido de LiveUpdate
Es posible descargar Symantec Endpoint Protection del sitio web siguiente: http://www.symantec.com/es/mx/business/ products/downloads/index.jsp Una vez que la licencia del software de prueba caduca, es necesario activar una licencia paga para conservar toda la funcionalidad del producto. No es necesario desinstalar la versin de prueba con licencia para convertir su instalacin de Symantec Endpoint Protection en una instalacin completamente con licencia. La licencia del software de prueba caduca 60 das despus de que se instala el producto. Ver "Planificacin de la instalacin" en la pgina 73. Ver "Compra de licencias" en la pgina 114.
Compra de licencias
Symantec Endpoint Protection viene con una licencia de software de prueba que le permite instalar y evaluar el producto en su entorno. Si desea usar el producto ms all del perodo de prueba, deber comprar una licencia. Es necesario tambin comprar una licencia en las situaciones siguientes:
115
Su licencia actual caduc. Su licencia actual est sobreimplementada. Sobreimplementada significa que se han implementado ms sesiones del cliente o Symantec Endpoint Protection Manager de las que su licencia actual permite. Para actualizar a una versin ms reciente una vez que la prueba de actualizacin de versin caduca. Cuando se lanza una versin ms reciente de Symantec Endpoint Protection, se le enva un mensaje de correo electrnico con una oferta de actualizacin que incluye una prueba de actualizacin gratuita. Si decide conservar la versin ms reciente ms all del perodo de prueba de la actualizacin, es necesario comprar una licencia de la actualizacin.
Use los siguientes vnculos para obtener ms informacin sobre la compra de licencias:
Para determinar sus requisitos de concesin Ver "Requisitos de la licencia de producto" de licencias en la pgina 82. Para averiguar dnde comprar licencias del Ver "Compra de licencias" en la pgina 114. producto Para obtener ms informacin acerca de la Ver "Acerca de actualizar desde software de actualizacin desde la licencia del software prueba" en la pgina 118. de prueba que viene con Symantec Endpoint Protection Para obtener ayuda con la compra de http://customercare.symantec.com/ licencias o ms informacin sobre licencias
La tienda en lnea de Symantec: http://store.symantec.com/ Su distribuidor preferido de Symantec: Para encontrar un revendedor, use localizador de partners. Para obtener ms informacin sobre los partners de Symantec, vaya a http://www.symantec.com/es/mx/partners/index.jsp El equipo de ventas de Symantec:
116
Visite el sitio web de pedidos de Symantec para obtener informacin de contacto de ventas.
Es posible activar un archivo de licencia que usted recibi de los orgenes siguientes:
Portal de licencias de Symantec Partner o distribuidor preferido de Symantec Equipo de ventas de Symantec Almacn de Symantec Business
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para activar una licencia
1 2 3
En la consola, haga clic en Administrador y, luego, en Licencias. En Tareas, haga clic en Activar licencia. Siga las instrucciones en el Asistente para la activacin de licencias para completar el proceso de activacin. Ver "Cmo usar el Asistente para la activacin de licencias" en la pgina 116.
117
Se inicia el asistente desde la pantalla de bienvenida de Symantec Endpoint Protection o desde la pgina Administrador de la consola de Symantec Endpoint Protection Manager. En la consola, seleccione Licencias y, a continuacin, en Tareas, seleccione Activar licencia. El asistente contiene instrucciones e informacin adicional para ayudarle a completar el proceso de activacin. Nota: La primera vez que obtiene la licencia de Symantec Endpoint Protection, el Asistente para la activacin de licencias comienza pidindole que seleccione qu forma de informacin de para la licencia tiene. Despus de eso, cuando inicia el asistente, primero se le pregunta si desea activar licencias adicionales o renovar una licencia existente. El Asistente para la activacin de licencias le pide que elija de las siguientes opciones: Tabla 4-2 Opcin
Activar una licencia nueva
En muchos casos, una vez que compra una licencia, puede recibir solamente el nmero de serie de la licencia por parte del distribuidor. Use esta opcin para activar su licencia usando el nmero de serie de la licencia de producto.
Tengo un archivo de licencia Al completar su compra de la licencia, se le puede enviar un de Symantec (.slf) archivo de Licencia de Symantec. Los archivos de licencia de Symantec usan la extensin .SLF. Si recibi un archivo .SLF de Symantec o de un distribuidor de Symantec, use esta opcin para activar su licencia de producto.
En algunos casos, se le puede pedir que proporcione la informacin de contacto durante el proceso de activacin.
118
Ver "Informacin de contacto necesaria para las licencias" en la pgina 118. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Tipo de informacin
Contacto tcnico
Contacto principal
119
Se realiza la actualizacin de la licencia real usando el Asistente para la activacin de licencias. Ver "Cmo usar el Asistente para la activacin de licencias" en la pgina 116. Las licencias se pueden comprar en la tienda de Symantec, a travs de su partner de Symantec o de su revendedor preferido de Symantec. Para obtener informacin sobre la tienda de Symantec, visite el sitio web de la tienda de Symantec Ver "Acerca de la licencia del software de prueba" en la pgina 114. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
120
https://licensing.symantec.com Hay informacin adicional acerca de cmo usar el portal de licencias de Symantec para administrar licencias disponible en el sitio web del servicio al cliente de Symantec http://customercare.symantec.com/app/answers/list. Nota: Es necesario crear una cuenta antes de usar el portal de licencias. Si no tiene una cuenta del portal de licencias de Symantec, un vnculo se proporciona en la pgina principal para crear uno. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Hacer copia de seguridad de sus licencias del producto. Ver "Hacer copias de seguridad de los archivos de licencia" en la pgina 122. Realizar un seguimiento del estado de las licencias. Ver "Comprobar el estado de la licencia" en la pgina 120. Renovar su licencia. Ver "Acerca de renovar su licencia de Symantec Endpoint Protection" en la pgina 119. Recuperar una licencia eliminada. Ver "Cmo recuperar una licencia eliminada" en la pgina 123.
Tambin debe familiarizarse con las reglas que rigen cmo se implementan las licencias del producto. Ver "Reglas de aplicacin de concesin de licencias" en la pgina 121.
el nmero de serie de la licencia, cantidad total de puestos, fecha de vencimiento Nmero de puestos vlidos
121
Nmero de puestos implementados Nmero de puestos que caducan en 60 das y 30 das Nmero de puestos caducados Nmero de clientes sobreimplementados Nmeros de serie asociados de menor duracin(licencias de varios aos)
El estado de la licencia no est disponible para una licencia de software de prueba. Para determinar si la instalacin usa una licencia paga o una licencia de software de prueba
1 2
1 2
En la consola, haga clic en Pgina principal. En la pgina principal, haga clic en Detalles de la licencia.
Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112. Ver "Importacin de una licencia" en la pgina 123.
122
Dnde se aplica
Cobertura de la licencia de los componentes Symantec Endpoint Protection
Regla
Una licencia de Symantec Endpoint Protection se aplica a los clientes de Symantec Endpoint Protection. Por ejemplo, en una red con 50 endpoints, la licencia debe proporcionar un mnimo de 50 puestos. Las sesiones Symantec Endpoint Protection Manager no necesitan una licencia. Una licencia de producto de Symantec Endpoint Protection se aplica a una instalacin completa sin importar el nmero de sitios o de dominios reproducidos que componen la instalacin. Por ejemplo, una licencia para 100 puestos cubre una instalacin de dos sitios en donde cada sitio tiene 50 puestos. Los sitios que no se conectan a travs de la replicacin se consideran instalaciones independientes y necesitan licencias aparte.
Cobertura de la licencia de plataformas Los puestos de concesin de licencias se aplican sin importar la plataforma. Por ejemplo, la licencia no hace ninguna distincin entre un equipo que usa Windows y uno que usa Mac OS X. Cobertura de la licencia de productos y Los puestos de licencia se aplican igualmente a versiones travs de versiones del producto. Por ejemplo, una licencia cubre las instalaciones donde se implementan las versiones de clientes 11.x y 12.x dentro del mismo sitio.
123
Con Windows, copie los archivos de licencia .slf del directorio donde guard los archivos en otro equipo de su opcin. Consulte el procedimiento de su compaa para hacer copias de seguridad de los archivos.
En la pgina Administrador de la consola de Symantec Endpoint Protection Manager, haga clic en Licencias y, a continuacin, en Tareas, haga clic en Recuperar una licencia eliminada. En el panel Recuperacin de licencias, ponga una marca de verificacin al lado de la licencia eliminada que desee recuperar y despus haga clic en Enviar.
Licencia para una primera instalacin Licencia para actualizar software de prueba Renovacin de licencia Licencia para los clientes sobreimplementados Licencia de su software de proteccin contra virus de versin anterior de Symantec
Es posible importar un archivo de licencia que usted recibi de los orgenes siguientes:
124
Administracin de licencias de productos Acerca de los clientes obsoletos y su impacto sobre las licencias
Equipo de ventas de Symantec Almacn de Symantec Business Software heredado de proteccin contra virus de Symantec
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para importar una licencia
1 2 3
Guarde el archivo de licencia en un equipo o en una red que sea accesible desde el equipo de la consola. En la consola, haga clic en Administrador > Licencias y en Tareas, haga clic en Activar licencia. Siga las indicaciones en el Asistente para la activacin de licencias para importar y para activar su licencia. La informacin adicional sobre sus opciones se proporciona en el asistente.
125
1 2 3 4 5
En Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En el rbol Servidores, seleccione el servidor de la base de datos y despus haga clic en Editar propiedades de la base de datos. En la ficha Propiedades de base de datos > General, cambie el intervalo para eliminar los clientes que no se han conectado en X das a 1 da. Haga clic en Aceptar. Espere 24 horas y despus revierta la configuracin a 30 das o a otro intervalo que se adapte a sus requisitos.
Ver "Acerca de los clientes obsoletos y su impacto sobre las licencias" en la pgina 124.
126
Es posible ver los nmeros de serie de la licencia de una duracin ms corta que se asocian a la licencia activa. En la ficha Administrador, haga clic en Licencias y a continuacin haga clic con el botn derecho en la licencia activada y seleccione Detalles. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Captulo
Preparacin para la instalacin de clientes Acerca de firewalls y puertos de comunicaciones Cmo preparar los sistemas operativos Windows para la implementacin remota Administracin de los paquetes de instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes
Identificar los equipos cliente Identifique los equipos en los cuales desea instalar el software de cliente. Todos los equipos deben ejecutar un sistema operativo admitido. Ver "Requisitos del sistema" en la pgina 84. Ver "Acerca de clientes administrados y clientes no administrados" en la pgina 144.
Nota: Symantec recomienda que, adems, instale el cliente en el equipo que alberga
Symantec Endpoint Protection Manager.
128
Accin
Identifique los grupos del equipo
Descripcin
Identifique los grupos del equipo que se deben usar durante la instalacin del cliente. Es posible tambin importar una estructura del grupo existente tal como una estructura de Active Directory. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Ver "Importacin de una estructura de organizacin existente" en la pgina 197. Ver "Cmo asignar clientes a los grupos antes de instalar el software de cliente" en la pgina 199.
Elimine el software de proteccin contra virus de otro fabricante. Desinstale cualquier software heredado de proteccin antivirus de Symantec si no planea migrar la configuracin. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Consulte la documentacin de Symantec de su software de proteccin contra virus de versin anterior de Symantec para obtener informacin sobre la desinstalacin.
Modifique la configuracin del firewall para permitir la comunicacin entre los componentes de Symantec Endpoint Protection. Ver "Acerca de firewalls y puertos de comunicaciones" en la pgina 129. Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131. Configure los derechos de administrador para sus equipos cliente.
129
Componente
Servidor de administracin y cliente
Servidor de administracin y TCP 2967 en todos los dispositivos proveedor de actualizaciones de Nota: Es posible cambiar este puerto predeterminado. grupo Proveedor de actualizaciones de grupo y clientes
130
Funcin
Componente
Protocolo y puerto
Para los servidores de administracin y los clientes: TCP 8014 para los servidores de administracin, de forma predeterminada. Es posible cambiar TCP 8014 (HTTP) a TCP 443 (HTTPS). Puerto TCP efmero en clientes.
Para los servidores y las consolas de administracin remotos: TCP 8443 para los servidores y la consola de administracin remotos Puertos TCP efmeros y 9090 en las consolas
Sitio a sitio entre los servidores de bases de datos Servidor de administracin y consola remota del servidor de administracin
TCP 9090 en servidores de administracin remotos Puertos TCP efmeros en consolas remotas
Comunicacin de base Servidores remotos de Microsoft TCP 1433 en los servidores remotos de Microsoft SQL de datos externa SQL y servidor de administracin Puertos efmeros TCP en servidores de administracin
Symantec Endpoint Protection Manager y servidor de administracin de una versin anterior de Symantec
TCP 139, TCP 445, puertos TCP efmeros y UDP 137 en los servidores de administracin TCP 139, TCP 445, puertos TCP efmeros y UDP 137 en los servidores de administracin de Symantec de versiones anteriores
Preparacin para la instalacin de clientes Cmo preparar los sistemas operativos Windows para la implementacin remota
131
Funcin
LiveUpdate
Componente
Servidor y cliente LiveUpdate
Protocolo y puerto
Puertos TCP efmeros en clientes TCP 80 en los servidores de LiveUpdate
Windows Vista, Windows Server 2008 y Windows 7 contienen un firewall que est habilitado de forma predeterminada. Si se habilita el firewall, es posible que no pueda instalar o implementar el software de cliente remotamente. Si tiene problemas al implementar el cliente en los equipos que ejecutan estos sistemas operativos, configure sus firewalls para permitir el trfico necesario. Si tiene software de proteccin contra virus de versin anterior de Symantec en su entorno, abra el puerto UDP 2967. Si decide usar el Firewall de Windows despus de la implementacin, se debe configurar para permitir el uso compartido de archivos e impresoras (puerto 445).
Para obtener ms informacin acerca del establecimiento de la configuracin del Firewall de Windows, consulte la documentacin de Windows. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Sistema operativo
Prepare los equipos con Windows XP que estn instalados en grupos de trabajo
132
Sistema operativo
Preparar los equipos con Windows Vista, Windows Server 2008 o Windows 7
Tareas
El control de acceso de usuarios de Windows bloquea las cuentas administrativas locales remotamente de modo que no puedan acceder a los recursos compartidos administrativos remotos, tales como C$ y Admin$. Para transferir el software de cliente a los equipos, es necesario usar una cuenta de administrador del dominio si el equipo cliente es parte de un dominio de Active Directory. La implementacin remota, adems, necesita privilegios de administrador para poder instalarse. Realice las siguientes tareas: Deshabilitar el asistente para el uso compartido de archivos. Habilitar la deteccin de redes mediante el Centro de redes y recursos compartidos. Habilite la cuenta de administrador incorporada y asigne una contrasea a la cuenta. Verifique que la cuenta tenga privilegios de administrador.
Preparar los equipos con Windows Server 2003 para la instalacin usando una conexin de escritorio remoto
Symantec Endpoint Protection Manager necesita acceso al registro del sistema para la instalacin y la operacin normal. Para preparar un equipo para instalar Symantec Endpoint Protection Manager usando una conexin de escritorio remoto, realice las siguientes tareas: Configure un servidor que ejecute Windows Server 2003 para permitir el control remoto. Conctese al servidor de un equipo remoto usando una sesin de consola remota o una sombra de la sesin de consola.
Consulte la documentacin de Windows para obtener ms informacin. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
133
de administracin en el sitio. Despus de exportar el paquete de instalacin de clientes, se instalan los archivos del paquete en los equipos cliente. Es posible exportar paquetes para clientes administrados por Symantec, clientes administrados por terceros y clientes no administrados. Es posible exportar estos paquetes como nico archivo ejecutable o como una serie de archivos en un directorio. El mtodo que se elige depende del mtodo de implementacin y de si desea actualizar el software de cliente en grupos. Tpicamente, si utiliza un objeto de polticas de grupo de Active Directory, elige no exportar a un solo archivo ejecutable. Symantec proporciona de vez en cuando paquetes actualizados de archivos de instalacin. Cuando el software de cliente se instala en los equipos cliente, es posible actualizar automticamente el software de cliente en todos los clientes de un grupo con la funcin de actualizacin automtica. No es necesario volver a distribuir el software con las herramientas de implementacin de instalacin. Tabla 5-4 Tarea
Configurar paquetes de instalacin de clientes
Es posible exportar paquetes para clientes administrados por Symantec, clientes administrados por terceros y clientes no administrados. Ver "Exportar paquetes de instalacin de clientes" en la pgina 148.
Cuando recibe las actualizaciones de paquetes de instalacin de clientes de Symantec, se agregan a la base de datos para ponerlas a disposicin para la distribucin de Symantec Endpoint Protection Manager. Es posible exportar los paquetes durante este procedimiento para poner el paquete a disposicin para su implementacin en equipos que no ejecutan el software de cliente. Ver "Agregar actualizaciones de paquetes de instalacin de clientes" en la pgina 134.
134
Tarea
Descripcin
Actualizar clientes en uno o Es posible instalar los paquetes exportados en equipos uno ms grupos a la vez o implementar los archivos exportados en varios equipos simultneamente. Cuando Symantec proporciona actualizaciones para los paquetes de instalacin de clientes, usted primero los aade a Symantec Endpoint Protection Manager y los hace disponibles para exportar. Sin embargo, no es necesario reinstalarlos con herramientas de distribucin de clientes. La manera ms fcil de actualizar los clientes en los grupos con el ltimo software es utilizar la consola para actualizar el grupo que contiene los clientes. Se debe primero actualizar un grupo con una pequea cantidad de equipos de prueba. Es posible adems actualizar clientes con LiveUpdate si se permite que los clientes ejecuten LiveUpdate y si la poltica de configuracin de LiveUpdate permite actualizaciones. Eliminar paquetes de instalacin de clientes Es posible eliminar paquetes de instalacin de clientes ms viejos para ahorrar espacio en disco.
1 2
Copie el paquete a un directorio en el equipo que ejecuta Symantec Endpoint Protection Manager. En la consola, haga clic en Administrador y, a continuacin, en el margen inferior izquierdo, haga clic en Paquetes de instalacin.
135
3 4 5 6
En Tareas, haga clic en Agregar paquete de instalacin de clientes. En el cuadro de dilogo Agregar un paquete de instalacin de clientes, escriba un nombre y una descripcin para el paquete. Haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta, localice y seleccione el archivo nombre_producto.info para el nuevo paquete y, despus, haga clic en Seleccionar. Cuando se indica que se complet correctamente, realice una de las siguientes acciones:
Si no desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Cerrar. Se ha terminado con este procedimiento. Si desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Exportar este paquete y despus finalice este procedimiento.
8 9
En el cuadro de dilogo Exportar paquete, haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta de exportacin, vaya al directorio que contendr el paquete exportado y seleccinelo, y despus haga clic en Aceptar. configure las otras opciones segn sus objetivos de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda.
136
Captulo
Acerca de los mtodos de implementacin del cliente Cmo reiniciar equipos cliente Acerca de clientes administrados y clientes no administrados Instalar un cliente no administrado Desinstalacin del cliente Acerca de la configuracin de la instalacin del cliente Configuracin de funciones de paquetes de instalacin de clientes Exportar paquetes de instalacin de clientes Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal
138
Instalacin del cliente de Symantec Endpoint Protection Acerca de los mtodos de implementacin del cliente
Ver "Preparacin para la instalacin de clientes" en la pgina 127. Tabla 6-1 muestra los mtodos de implementacin del cliente que se pueden usar. Tabla 6-1 Opciones Opciones de implementacin del cliente Descripcin
Correo electrnico y vnculos Los usuarios reciben un mensaje de correo electrnico que web contiene un vnculo para descargar e instalar el software de cliente. Los usuarios deben tener derechos de administrador locales para sus equipos. El vnculo web y la instalacin de notificacin por correo electrnico es el mtodo de implementacin recomendado. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Transferencia remota La instalacin remota le permite controlar la instalacin de clientes. La instalacin remota transfiere el software de cliente a los equipos que se especifican. La instalacin comienza automticamente. Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131. Ver "Cmo implementar clientes usando transferencia remota " en la pgina 140. Guardar paquete La instalacin personalizada crea un paquete de instalacin ejecutable que se guarda en el servidor de administracin y despus se distribuye a los equipos cliente. Los usuarios ejecutan un archivo setup.exe para instalar el software de cliente. Ver "Cmo implementar clientes usando la funcin Guardar paquete" en la pgina 142.
Seleccione y configure los paquetes de instalacin de clientes. Los paquetes de instalacin de clientes se crean para equipos Windows de 32 bits y de 64
Instalacin del cliente de Symantec Endpoint Protection Acerca de los mtodos de implementacin del cliente
139
bits. Los paquetes de instalacin se almacenan en el equipo que ejecuta Symantec Endpoint Protection Manager.
Notifique a los usuarios del equipo sobre los paquetes de instalacin de clientes. Un mensaje de correo electrnico se enva a los usuarios del equipo seleccionados. El mensaje de correo electrnico contiene instrucciones para descargar y para instalar los paquetes de instalacin de clientes. Los usuarios siguen las instrucciones para instalar el software de cliente.
El paquete de instalacin de clientes de Mac se exporta automticamente como un archivo .zip. Para expandir el paquete al formato de instalacin .mpkg de Apple, es necesario usar la utilidad Archive de Mac o el comando ditto. No es posible usar el comando unzip de Mac ni ninguna aplicacin para descomprimir de Windows. Para implementar clientes usando un vnculo web y un correo electrnico
1 2
En la pgina Inicio, en el men Tareas comunes, seleccione Instalar el cliente de proteccin en los equipos. Seleccione el tipo de implementacin que desee usar y despus haga clic en Siguiente. La opcin Nueva implementacin del paquete usa los paquetes que estn almacenados en Symantec Endpoint Protection Manager. De forma predeterminada, dos paquetes estn disponibles. Es posible crear opcionalmente nuevos paquetes con configuracin y funciones personalizadas. La opcin Implementacin del paquete existente le permite usar los paquetes que se han exportado previamente.
Para un nuevo paquete, seleccione el paquete, el grupo, el conjunto de funciones de instalacin y las opciones de contenido y despus haga clic en Siguiente. El servidor de administracin incluye los paquetes configurados previamente. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148.
Haga clic en Correo electrnico y vnculos web y despus haga clic en Siguiente.
140
Instalacin del cliente de Symantec Endpoint Protection Acerca de los mtodos de implementacin del cliente
En el panel Destinatarios y mensaje de correo electrnico, especifique los destinatarios de correo electrnico y el asunto y despus haga clic en Siguiente. Es posible especificar quin recibe la URL por correo electrnico o copiar la URL y publicarla en una ubicacin en lnea conveniente. Para especificar varios destinatarios de correo electrnico, escriba una coma despus de cada direccin de correo electrnico.
Si desea enviar el vnculo por correo electrnico, acepte el asunto y el cuerpo predeterminados del correo electrnico o edite el texto y despus haga clic en Siguiente. Haga clic en Finalizar. Los usuarios del equipo o usted deben reiniciar los equipos cliente. Ver "Cmo reiniciar equipos cliente" en la pgina 143.
7 8
Confirme que los usuarios del equipo recibieron el mensaje de correo electrnico e instalaron el software de cliente. Ver "Visualizacin del inventario de clientes" en la pgina 603.
Seleccione un paquete de instalacin de clientes existente o cree un nuevo paquete de instalacin. Para los nuevos paquetes de instalacin, establezca la configuracin de la implementacin de paquetes Localice los equipos en su red. La transferencia remota localiza los equipos que se especifican o los equipos que se detectan para ser desprotegidos. Transfiera el software de cliente a los equipos que se especifican. Para transferir el software de cliente, es necesario usar una cuenta administrativa del dominio si el equipo cliente es parte de un dominio de Active Directory. La instalacin remota requiere privilegios elevados.
Instalacin del cliente de Symantec Endpoint Protection Acerca de los mtodos de implementacin del cliente
141
Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131.
Instale el software de cliente en los equipos. La instalacin comienza automticamente en los equipos.
Es posible iniciar la implementacin del cliente desde la consola. Para implementar clientes usando la transferencia remota
1 2
En la consola, haga clic en Pgina principal. En la pgina Inicio, en el men Tareas comunes, seleccione Instalar el cliente de proteccin en los equipos. Se inicia el Asistente de implementacin del cliente. En el panel Bienvenido al asistente de implementacin del cliente, seleccione si se usa un paquete nuevo o existente y haga clic en Siguiente. Para un nuevo paquete de instalacin, seleccione la versin del cliente, el conjunto de funciones, las opciones de contenido y el grupo de clientes y despus haga clic en Siguiente. Haga clic en Transferencia remota y despus haga clic en Siguiente. Localice los equipos para recibir el software de cliente y despus haga clic en >> para agregar los equipos a la lista. Para navegar la red de los equipos, haga clic en Examinar red. Para encontrar los equipos por direccin IP o nombre del equipo, haga clic en Buscar en la red y despus haga clic en Buscar equipos. Autentique con el dominio o el grupo de trabajo si se lo solicita. Nota: Es posible configurar un valor de tiempo de espera para definir la cantidad de tiempo que el servidor se aplica a una bsqueda.
3 4
5 6
7 8 9
Haga clic en Siguiente. Haga clic en Enviar para transferir el software de cliente a los equipos seleccionados. Espere mientras el software de cliente se transfiere a los equipos seleccionados.
142
Instalacin del cliente de Symantec Endpoint Protection Acerca de los mtodos de implementacin del cliente
Cree el paquete de instalacin ejecutable de 32 bits o de 64 bits. El paquete de instalacin puede abarcar un archivo setup.exe o una recopilacin de archivos que incluye un archivo setup.exe. A los usuarios de los equipos a menudo les resulta ms fcil usar un archivo setup.exe. Guarde el paquete de instalacin en el directorio predeterminado o un directorio de su eleccin. El directorio predeterminado es el siguiente: C:\temp\Symantec\ClientPackages Es necesario proporcionar el paquete de instalacin a los usuarios del equipo. Los usuarios ejecutan el archivo setup.exe para instalar el software de cliente. Los usuarios del equipo o usted deben reiniciar los equipos despus de la instalacin.
Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Es posible iniciar la implementacin del cliente desde la consola. Para implementar clientes usando la funcin Guardar paquete
1 2 3
En la consola, haga clic en Pgina principal. En la pgina Inicio, en el men Tareas comunes, seleccione Instalar el cliente de proteccin en los equipos. En el Asistente de implementacin del cliente, seleccione Nueva implementacin del paquete para seleccionar un paquete de instalacin que ya est en el servidor. Seleccione Implementacin del paquete existente para elegir un paquete que fue exportado previamente. Haga clic en Siguiente. Seleccione el paquete, el grupo, el conjunto de funciones de instalacin y las opciones de contenido, y despus haga clic en Siguiente. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147.
Instalacin del cliente de Symantec Endpoint Protection Cmo reiniciar equipos cliente
143
5 6
Haga clic en Examinar y especifique la carpeta para recibir el paquete. Seleccione nico archivo .exe o Archivos independientes. Nota: Si se implementan clientes con un objeto de poltica de grupo de Windows, no se usa un nico archivo ejecutable.
Si tiene clientes en ejecucin en los equipos que no son compatibles con Symantec Endpoint Protection 12.x, se puede elegir crear los paquetes compatibles con los sistemas de versin anterior. Para crear un paquete para los clientes de una versin anterior, haga clic en Cree un paquete para clientes con sistemas no admitidos por paquetes de la versin 12.x. En el cuadro Carpeta de exportacin, acepte el directorio predeterminado o especifique otro directorio y despus haga clic en Siguiente. Revise el resumen de la configuracin y despus haga clic en Siguiente. Finalizar.
8 9
10 Espere mientras se crea el paquete de instalacin y despus haga clic en 11 Guarde el paquete de instalacin en una red compartida o enve por correo
electrnico el paquete de instalacin a los usuarios del equipo.
13 Ver "Cmo reiniciar equipos cliente" en la pgina 143. 14 Confirme el estado de los clientes implementados.
Ver "Visualizacin del inventario de clientes" en la pgina 603.
144
Instalacin del cliente de Symantec Endpoint Protection Acerca de clientes administrados y clientes no administrados
Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Para configurar opciones de reinicio en los equipos cliente
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, seleccione un grupo y despus haga clic en Polticas. En la ficha Polticas, haga clic en Configuracin general. En el cuadro de dilogo Configuracin general, en la ficha Configuracin de reinicio, seleccione el mtodo de reinicio y la programacin. Es posible tambin agregar una notificacin que aparezca en el equipo cliente antes de que ocurra el reinicio.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, seleccione un grupo. En la ficha Clientes, seleccione un cliente, haga clic con el botn secundario en Ejecutar comando en el grupo y, despus, haga clic en Reiniciar equipos cliente.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, seleccione un grupo, haga clic en Ejecutar comando en el grupo y, despus, haga clic en Reiniciar equipos cliente. Haga clic en S y despus especifique las opciones de reinicio que se necesitan. Algunas opciones de reinicio son aplicables solamente a los clientes Windows. Para obtener informacin, consulte la ayuda contextual.
145
Cliente administrado
Cliente no administrado
El usuario del equipo principal debe administrar el equipo cliente. Un cliente no administrado no se puede administrar desde la consola. El usuario del equipo principal debe actualizar el software de cliente, las polticas de seguridad y las definiciones de virus en los equipos cliente no administrados. Se instala un cliente no administrado directamente desde el disco del producto. Ver "Instalar un cliente no administrado" en la pgina 145.
146
En el equipo, inserte el disco del producto. La instalacin se inicia automticamente. Si no se inicia automticamente, haga doble clic en Setup.exe.
2 3 4
Haga clic en Instalar un cliente no administrado y despus haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente. Confirme que el equipo no administrado est seleccionado y despus haga clic en Siguiente. Este panel aparece cuando se instala el software de cliente por primera vez en un equipo.
En el panel Opciones de proteccin, seleccione los tipos de proteccin y despus haga clic en Siguiente. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147.
6 7
En el panel Preparado para instalar el programa, haga clic en Instalar. En el panel de Asistente finalizado, haga clic en Finalizar.
1 2 3
En el equipo cliente, en el men Inicio, haga clic en Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, seleccione Symantec Endpoint Protection y despus haga clic en Quitar. Siga las indicaciones en pantalla para quitar el software de cliente.
Instalacin del cliente de Symantec Endpoint Protection Acerca de la configuracin de la instalacin del cliente
147
Valor predeterminado
Mi empresa >Grupo predeterminado
Tipo de proteccin
Las tecnologas de Las tecnologas de proteccin que desee instalar en los equipos proteccin cliente. predeterminadas Las tecnologas de proteccin son las siguientes: siguientes estn instaladas: Proteccin antivirus y antispyware Proteccin antivirus y Comprobar esta opcin instala Auto-Protect para el sistema antispyware de archivos y Proteccin proactiva contra amenazas. Proteccin contra La proteccin proactiva contra amenazas est deshabilitada amenazas de red en los equipos que ejecutan sistemas operativos admitidos por Windows Server. Incluir proteccin de correo electrnico Comprobar esta opcin instala Auto-Protect para Microsoft Outlook y Auto-Protect para correo electrnico de Internet. Por motivos de rendimiento, Auto-Protect para Microsoft Outlook no est instalado en los sistemas operativos admitidos por Microsoft Server. Proteccin contra amenazas de red Comprobar esta opcin instala la proteccin del firewall y la proteccin de prevencin de intrusiones. Despus de la instalacin, se pueden habilitar o deshabilitar las tecnologas de proteccin en las polticas de seguridad. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
148
Instalacin del cliente de Symantec Endpoint Protection Configuracin de funciones de paquetes de instalacin de clientes
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Paquetes de instalacin, haga clic en Conjunto de funciones de instalacin de clientes. En Tareas haga clic en Agregar conjunto de funciones de instalacin de clientes. En el cuadro de dilogo Agregar conjunto de funciones de instalacin de clientes, en el cuadro Nombre, escriba un nombre. En el cuadro Descripcin, escriba una descripcin del conjunto de funciones de instalacin de clientes. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda.
Instalacin del cliente de Symantec Endpoint Protection Exportar paquetes de instalacin de clientes
149
Por ejemplo, si se crea un paquete de instalacin para un grupo denominado Mi grupo debajo de Mi empresa, un directorio denominado Mi empresa_Mi grupo se crea. Este directorio contiene el paquete de instalacin exportado. Nota: Esta convencin de nomenclatura no hace una distincin entre los paquetes de instalacin de clientes para Symantec Endpoint Protection y Symantec Network Access Control. El nombre del paquete exportado para un solo ejecutable es Setup.exe para Symantec Endpoint Protection y Symantec Network Access Control. Por lo tanto, asegrese de crear una estructura de directorios que le permita distinguir entre los archivos de instalacin de Symantec Endpoint Protection y de Symantec Network Access Control. Tiene una decisin importante para tomar cuando se exportan los paquetes. Es necesario decidir si crear un paquete de instalacin para los clientes administrados o para los no administrados. Si crea un paquete para los clientes administrados, se puede administrarlos con la consola de Symantec Endpoint Protection Manager. Si crea un paquete para los clientes no administrados, no es posible administrarlos desde la consola. Nota: Si exporta los paquetes de instalacin de clientes de una consola remota, los paquetes se crean en el equipo desde el cual se ejecuta la consola remota. Adems, si se utilizan varios dominios, es necesario exportar los paquetes para cada dominio. Si no, no aparecen como disponibles para los grupos del dominio. Despus de exportar uno o ms paquetes de instalacin de archivos, implemente los archivos de instalacin en los equipos cliente. Nota: En los equipos que ejecutan Microsoft Windows Server 2008 o Microsoft Vista (x64), los paquetes de instalacin de clientes se deben implementar con la opcin silenciosa o sin intervencin del usuario. Use solamente la opcin silenciosa para los paquetes de instalacin que se implementan en equipos que ejecutan Microsoft Vista (x86). Cuando se usa una implementacin silenciosa, las aplicaciones que se conectan a Symantec Endpoint Protection, tal como Microsoft Outlook y Lotus Notes, se deben reiniciar. Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
150
Instalacin del cliente de Symantec Endpoint Protection Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, en Nombre del paquete, haga clic con el botn derecho en el paquete para exportar y, a continuacin, haga clic en Exportar. En Exportar paquete: el cuadro de dilogo, junto al cuadro de texto Carpeta de exportacin, vaya y seleccione el directorio que contiene el paquete exportado y, a continuacin, haga clic en Aceptar. Nota: Los directorios con caracteres de doble byte o high-ASCII no se admiten y se bloquean.
En Exportar paquete: el cuadro de dilogo, configura las otras opciones en funcin de los objetivos de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda.
Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal
Es posible crear los paquetes de instalacin de clientes que se pueden usar en los entornos que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal. Los componentes de proteccin antivirus y antispyware se han probado y se han certificado para el uso en entornos que cumplen con FDCC. De forma predeterminada, el paquete FDCC de la lnea base proporciona proteccin antivirus y antispyware. Es posible agregar proteccin adicional seleccionando otras funciones no certificadas. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148. Ver "Exportar paquetes de instalacin de clientes" en la pgina 148.
Captulo
Acerca de la migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin Cmo actualizar a una nueva versin Desactivar la replicacin antes de la migracin Cmo activar la replicacin despus de una migracin o actualizacin Migrar un servidor de administracin Cmo detener e iniciar el servicio del servidor de administracin Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente Desactivacin del servicio mvil Desinstalar y eliminar servidores de informes Cmo desbloquear grupos de servidores en Symantec System Center Acerca de la actualizacin del software de cliente
152
Actualizacin y migracin a Symantec Endpoint Protection Acerca de la migracin a Symantec Endpoint Protection
Cmo actualizar clientes mediante AutoUpgrade Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate Cmo migrar los proveedores de actualizaciones de grupo
Actualizacin y migracin a Symantec Endpoint Protection Acerca de la migracin a Symantec Endpoint Protection
153
Symantec AntiVirus Corporate Edition 9.x y 10.x. Symantec Client Security 2.x y 3.x
Symantec Endpoint Protection Small Business Edition 12.0 Symantec Endpoint Protection 11.x.
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Adems consulte la siguiente informacin: Sitio web sobre migracin Ver "Acerca de la implementacin y migracin del cliente" en la pgina 1097. Es posible omitir la migracin de la siguiente manera: Desinstale el software heredado de proteccin contra virus de Symantec de sus servidores y equipos cliente. Durante la instalacin de Symantec Endpoint Protection Manager, cancele la opcin de la migracin. Despus de la instalacin inicial del producto, use Symantec Endpoint Protection Manager para ajustar la configuracin del grupo y la configuracin de polticas. Instale el cliente de Symantec Endpoint Protection en los equipos de versin anterior desprotegidos.
La instalacin detecta y actualiza Symantec Endpoint Protection a una nueva versin de mantenimiento. Ver "Cmo actualizar a una nueva versin" en la pgina 159.
Es posible instalar el cliente de Symantec Endpoint Protection en los equipos que actualmente ejecutan el cliente de Symantec Endpoint Protection 11.x (Enterprise Edition) .y 12.0 (Small Business Edition) Ver "Preparacin para la instalacin de clientes" en la pgina 127.
154
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus
155
Resumen de la migracin
Accin
Descripcin
Prepare Symantec Prepare su instalacin de versin anterior para la migracin de la siguiente Client Security o el manera: antivirus de Symantec Deshabilite los anlisis programados. para la migracin La migracin puede fallar si un anlisis se est ejecutando durante la migracin. Ver "Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente" en la pgina 165. Deshabilite LiveUpdate. Pueden ocurrir conflictos si LiveUpdate se ejecuta en los equipos cliente durante la migracin. Ver "Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin" en la pgina 164. Desactive el servicio mvil. La migracin puede colgar y no completarse si el servicio mvil se est ejecutando en equipos cliente. Ver "Desactivacin del servicio mvil" en la pgina 166. Desbloquee los grupos de servidores. Si est migrando de Symantec AntiVirus, resultados imprevisibles pueden ocurrir si los grupos de servidores estn bloqueados. Ver "Cmo desbloquear grupos de servidores en Symantec System Center" en la pgina 167. Desactive la proteccin contra intervenciones. Proteccin contra intervenciones puede ocasionar resultados imprevisibles durante la migracin. Desinstale y elimine servidores de informes. Desinstale los servidores de elaboracin de informes y elimine opcionalmente los archivos de base de datos. Ver "Desinstalar y eliminar servidores de informes" en la pgina 166. Consulte la documentacin de software heredado de proteccin contra virus de Symantec para obtener ms informacin.
Migre la configuracin de polticas y grupos de versiones anteriores. Ver "Acerca de migrar los grupos del equipo" en la pgina 156. Ver "Cmo migrar configuraciones de grupo y de polticas" en la pgina 156. Ver "Cmo migrar los proveedores de actualizaciones de grupo" en la pgina 171.
Verifique y ajuste opcionalmente la configuracin de polticas y grupos migrados. Ver "Visualizacin de equipos asignados" en la pgina 201. Ver "Mover un equipo cliente a otro grupo" en la pgina 201.
156
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus
Paso
4
Accin
Descripcin
Importar la licencia de Importe el archivo de licencia de versin anterior en Symantec Endpoint versin anterior Protection. Ver "Importacin de una licencia" en la pgina 123.
Implemente el cliente en equipos de versin anterior. Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137.
Nota: Cuando se actualiza Symantec Endpoint Protection Small Business Edition, su licencia de actualizacin activa nuevas funciones en los clientes previamente instalados.
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus
157
Inicie el Asistente para migracin si es necesario. Para iniciar el Asistente de migracin desde el equipo de consola, en el men Inicio, haga clic en Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Herramientas > Asistente de migracin.
2 3
En el panel Asistente de migracin, haga clic en Siguiente. En el panel Asistente de migracin, especifique la siguiente configuracin:
Configuracin de la poltica del servidor Especifica dnde se establece la configuracin de la poltica del servidor. Seleccione una de las siguientes opciones:
Especifica dnde se establece la configuracin de la poltica de clientes. Seleccione una de las siguientes opciones:
4 5
Haga clic en Siguiente. En el panel Asistente de migracin, seleccione una de las siguientes opciones:
Detectar servidores automticamente Esta opcin importa la configuracin de todos los servidores. Escriba la direccin IP de un equipo que ejecute Symantec System Center. Esta opcin importa la configuracin de un servidor nico y de los clientes que administra. Escriba la direccin IP de un equipo que ejecute un servidor.
Agregar servidor
6 7
Haga clic en Siguiente. Siga las indicaciones que se muestran en la pantalla para completar la migracin.
158
Actualizacin y migracin a Symantec Endpoint Protection Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin tiene las implicaciones siguientes:
No se realiza conmutacin por error ni balanceo de carga porque la base de datos integrada no admite servidores de conmutacin por error o balanceo de carga. Los servidores de administracin estn configurados solamente para replicacin, porque no es posible instalar varios servidores de bases de datos integradas sin instalarlos como servidores de replicacin.
Todos los sitios tienen un equipo en el cual primero se instal el servidor de administracin. Solamente uno de estos servidores de administracin fue instalado con una licencia y un secreto previamente compartido. Es necesario migrar este servidor de administracin primero. A continuacin, migre los otros servidores de administracin instalados para la replicacin. Para migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
En todos los servidores de administracin, deshabilite la replicacin. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160.
Realice la autenticacin e inicie sesin en el equipo que contiene Symantec Endpoint Protection Manager instalado con la licencia y el secreto previamente compartido. No inicie sesin en Symantec Endpoint Protection Manager.
4 5
Migre todos los servidores de administracin adicionales uno por uno. Despus de migrar los servidores, habilite la replicacin en cada servidor. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161.
Actualizacin y migracin a Symantec Endpoint Protection Cmo actualizar a una nueva versin
159
Hacer copia de Haga una copia de seguridad de la base de datos usada por Symantec Endpoint Protection seguridad de la base de Manager para garantizar la integridad de la informacin del cliente. datos Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Desactivar replicacin Desactive la replicacin en todos los sitios configurados como partners de replicacin. Esto impide cualquier intento de actualizar la base de datos durante la instalacin. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Si tiene Symantec Network Access Control instalado, habilite la autenticacin local Los dispositivos de Enforcer no pueden autenticar clientes durante una actualizacin. Para evitar problemas con la autenticacin del cliente, Symantec recomienda que se habilite la autenticacin local antes de que se actualice. Una vez que la actualizacin haya terminado, se puede volver a la configuracin de autenticacin anterior. Ver "Habilitar la autenticacin local en Integrated Enforcer" en la pgina 995. Ver "Habilitar la autenticacin local en un dispositivo Gateway Enforcer" en la pgina 875. Ver "Habilitar la autenticacin local en el dispositivo LAN Enforcer" en la pgina 934. Detener el servicio de Symantec Endpoint Protection Manager Es necesario detener el servicio de Symantec Endpoint Protection Manager antes de la instalacin. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
Actualizar el software Instale la versin ms reciente de Symantec Endpoint Protection Manager en todos los de Symantec Endpoint sitios en su red. La versin existente se detecta automticamente y toda la configuracin Protection Manager se guarda durante la actualizacin. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Activar la replicacin despus de la actualizacin Active la replicacin cuando la instalacin haya finalizado para restaurar su configuracin. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161.
160
Accin
Descripcin
Actualizar el software Actualice su software de cliente a la ltima versin. de cliente de Symantec Ver "Acerca de la actualizacin del software de cliente" en la pgina 168. Cuando Symantec proporciona actualizaciones para los paquetes de instalacin de clientes, usted primero los aade a Symantec Endpoint Protection Manager y los pone a disposicin para exportar. Sin embargo, no es necesario reinstalar el cliente con herramientas de implementacin de clientes. La manera ms fcil de actualizar clientes en grupos con el ltimo software es usar AutoUpgrade. Se debe primero actualizar un grupo con una pequea cantidad de equipos de prueba antes de actualizar la red de produccin entera. Ver "Cmo actualizar clientes mediante AutoUpgrade" en la pgina 169. Es posible adems actualizar clientes con LiveUpdate si se permite que los clientes ejecuten LiveUpdate y si la poltica de configuracin de LiveUpdate lo permite. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
1 2 3 4 5
En la consola, haga clic en Administrador > Servidores. En Servidores, expanda Partners de replicacin y seleccione un sitio. Haga clic con el botn derecho en el sitio y, a continuacin, haga clic en Eliminar. Haga clic en S. Cierre sesin en la consola y repita este procedimiento en todos los sitios que repliquen datos.
Actualizacin y migracin a Symantec Endpoint Protection Cmo activar la replicacin despus de una migracin o actualizacin
161
1 2 3 4 5
En la consola, haga clic en Administrador > Servidores. En Servidores, expanda Partners de replicacin y seleccione un sitio. Haga clic con el botn derecho en el sitio y, a continuacin, en Agregar partner. En el panel Agregar partner de replicacin, haga clic en Siguiente. En el panel Informacin del sitio remoto, escriba la informacin que identifica al partner de replicacin, escriba la informacin de autenticacin y, luego, haga clic en Siguiente. En el panel Programar replicacin, configure la programacin para cuando ocurra la replicacin automticamente y haga clic en Siguiente. En el panel Replicacin de paquetes cliente y archivos de registro, active los elementos para replicar y haga clic en Siguiente. La replicacin de paquetes usa cantidades grandes de trfico y de espacio en el disco duro.
6 7
8 9
En el panel Completar el Asistente para agregar partners de replicacin, haga clic en Finalizar. Repita este paso para todos los equipos que replican datos con este equipo.
162
Advertencia: Es necesario seguir la situacin que aplica a su tipo de instalacin o su migracin puede fallar. El proceso de la migracin es similar a una instalacin completamente nueva. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Tabla 7-4 enumera las tareas para migrar Symantec Endpoint Protection Manager. Tabla 7-4 Tarea
Deshabilitar comunicacin segura entre el servidor y los clientes
Actualizacin y migracin a Symantec Endpoint Protection Cmo detener e iniciar el servicio del servidor de administracin
163
Tarea
(Opcional) Instale el servidor de administracin para Symantec Network Access Control
Descripcin
Cierre sesin en Symantec Endpoint Protection Manager. A continuacin, repita este proceso e instale Symantec Endpoint Protection Manager para Symantec Network Access Control desde el disco del producto Symantec Network Access Control.
Nota: No es necesario reiniciar el equipo despus de la migracin, pero puede notar mejoras en el rendimiento si lo reinicia y luego inicia sesin.
Nota: Si detiene el servicio del servidor de administracin, los clientes ya no pueden conectarse a l. Si los clientes deben comunicarse con el servidor de administracin para conectarse a la red, se les niega el acceso hasta que se reinicie el servicio del servidor de administracin. Por ejemplo, un cliente debe comunicarse con el servidor de administracin para aprobar una comprobacin de integridad del host. Ver "Cmo actualizar a una nueva versin" en la pgina 159. Para detener el servicio de Symantec Endpoint Protection Manager
1 2 3
Haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas > Servicios. En la ventana Servicios, en Nombre, desplcese hasta Symantec Endpoint Protection Manager y haga clic con el botn secundario en l. Haga clic en Detener.
164
Actualizacin y migracin a Symantec Endpoint Protection Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin
Cierre la ventana Servicios. Advertencia: Cierre la ventana Servicios o la actualizacin puede fallar.
Repita este procedimiento para todas las instalaciones de Symantec Endpoint Protection Manager.
Para iniciar el servicio de Symantec Endpoint Protection Manager usando la lnea de comandos
Para detener el servicio de Symantec Endpoint Protection Manager usando la lnea de comandos
1 2 3
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Administrador de definiciones de virus. En el cuadro de dilogo Administrador de definiciones de virus, marque Actualizar solamente el servidor principal de este grupo de servidores y despus haga clic en Configurar. En el cuadro de dilogo Configurar actualizaciones del servidor principal, desactive Programacin para actualizaciones automticas y haga clic en Aceptar.
Actualizacin y migracin a Symantec Endpoint Protection Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente
165
Actualizar definiciones de virus del servidor principal Programar actualizaciones automticas en los clientes con LiveUpdate Habilitar LiveUpdate continuo
6 7
Marque No permitir al cliente iniciar LiveUpdate manualmente y despus haga clic en Aceptar. Repita este procedimiento para todos los grupos de servidores, si tiene ms de uno.
Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente
Si un anlisis est programado para ejecutarse y se est ejecutando al tiempo que ocurre la migracin del cliente, la migracin puede fallar. Se recomienda deshabilitar los anlisis programados durante la migracin y habilitarlos despus de la migracin. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para deshabilitar anlisis programados
Haga clic con el botn secundario en un servidor de administracin. Haga clic con el botn secundario en un grupo de clientes.
2 3 4 5
Haga clic en Todas las tareas > Symantec AntiVirus > Anlisis programados. En el cuadro de dilogo Anlisis programados, en la ficha Anlisis de servidor, deje sin marcar todos los anlisis programados. En la ficha Anlisis de clientes, deje sin marcar todos los anlisis programados y haga clic en Aceptar. Repita este procedimiento para todos los servidores de administracin primarios, los servidores de administracin secundarios y todos los grupos de clientes.
166
1 2 3 4 5 6 7 8
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil para clientes. En el cuadro de dilogo Opciones de uso mvil para clientes, en el cuadro Validar el servidor principal cada X minutos, escriba 1. En el cuadro Buscar el servidor principal ms cercano cada X minutos, escriba 1 y presione Aceptar. Espere algunos minutos. En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil para clientes. En el cuadro de dilogo Opciones de uso mvil para clientes, anule la seleccin de Habilitar uso mvil en clientes con el servicio Symantec AntiVirus Roaming. Haga clic en Aceptar.
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
Actualizacin y migracin a Symantec Endpoint Protection Cmo desbloquear grupos de servidores en Symantec System Center
167
servidores de informes en la ayuda en pantalla de Symantec System Center. Las opciones de versiones anteriores se almacenaban en el registro de Windows. Toda la configuracin ahora se almacena en una base de datos, junto con los datos de informes. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para desinstalar servidores de informes
1 2 3 4 5
Inicie sesin en un equipo que ejecute el servidor de informes. Haga clic en Inicio > Configuracin > Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, haga clic en Servidor de informes de Symantec y despus haga clic en Quitar. Siga las indicaciones que se muestran en la pantalla hasta que se elimine el servidor de informes. Repita este paso para todos los servidores de informes.
1 2
En Symantec System Center, haga clic con el botn secundario y ample Informes. Haga clic con el botn secundario en cada servidor de informes y haga clic en Eliminar.
168
Actualizacin y migracin a Symantec Endpoint Protection Acerca de la actualizacin del software de cliente
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores bloqueado y despus haga clic en Desbloqueo de grupo de servidores. En el cuadro de dilogo Desbloqueo de grupo de servidores, escriba las credenciales de autenticacin, si es necesario, y haga clic en Aceptar.
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
Mtodo de la actualizacin
AutoUpgrade
Si el cliente de Symantec Network Access Control tambin est instalado, es necesario actualizar el cliente de Symantec Endpoint Protection y el cliente de Symantec Network Access Control. Es posible asignar el paquete de Symantec
Actualizacin y migracin a Symantec Endpoint Protection Cmo actualizar clientes mediante AutoUpgrade
169
Endpoint Protection y el paquete de Symantec Network Access Control al mismo grupo. En este caso, asegrese de que la opcin Conservar funciones est seleccionada. Ver "Cmo actualizar a una nueva versin" en la pgina 159.
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Paquetes de instalacin. En Tareas, haga clic en Actualizar clientes con paquetes. En el panel Asistente para actualizar grupos, haga clic en Siguiente. En el panel Seleccionar paquete de instalacin de clientes, seleccione el paquete de instalacin de clientes apropiado y, despus, haga clic en Siguiente. En el panel Especificar grupos, seleccione los grupos que contengan los equipos cliente que desea actualizar y, despus, haga clic en Siguiente. En el panel Configuracin de actualizacin de paquetes, seleccione Descargar del servidor de administracin. Es posible preparar y seleccionar opcionalmente un paquete en un servidor web.
170
Actualizacin y migracin a Symantec Endpoint Protection Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate
En la ficha de General, seleccione Conservar funciones existentes del cliente al actualizar. Es posible agregar o eliminar opcionalmente funciones al actualizar.
11 Haga clic en Aceptar. 12 En el panel Finaliz el Asistente para actualizar grupos, haga clic en
Siguiente.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En Polticas, haga clic en LiveUpdate.
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar los proveedores de actualizaciones de grupo
171
3 4 5 6
En el panel derecho, en la ficha Configuracin de LiveUpdate, haga clic en una poltica de LiveUpdate. En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la poltica. Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada. En el panel Configuracin avanzada, bajo Configuracin de actualizacin de productos, realice una de las siguientes acciones:
Para actualizar automticamente el software de cliente, seleccione Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate. Para actualizar manualmente el software de cliente con la funcin Actualizar los grupos con el paquete con la consola de Symantec Endpoint Protection Manager, anule la seleccin de la opcin Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate.
Haga clic en Aceptar y, luego, aplique la poltica a un grupo o una ubicacin en un grupo.
Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
1 2 3
Actualice el servidor de Symantec Endpoint Protection Manager a la versin ms reciente del software. Actualice los clientes que son proveedores de actualizaciones de grupo a la versin ms reciente del software de cliente. Actualice el resto de los clientes a la versin ms reciente del software de cliente.
172
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar los proveedores de actualizaciones de grupo
Captulo
Cmo administrar sitios y replicacin Determinacin de los sitios que necesita Cmo funciona la replicacin Adicin de un partner de replicacin Cmo cambiar la programacin de rplica automtica Replicar datos cuando lo necesite Cmo especificar qu datos reproducir Eliminar sitios remotos
174
Paso 2
Instale Symantec Cuando instala Symantec Endpoint Protection por primera Endpoint Protection vez, de forma predeterminada se instala el sitio 1 o el sitio Manager en el primer local. sitio. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Instale Symantec Es posible instalar el servidor de administracin en el Endpoint Protection segundo sitio mediante el asistente para la configuracin Manager en el del servidor de administracin. segundo sitio. Es posible configurar la replicacin de datos durante la instalacin inicial o en un momento posterior. Cuando se configura la replicacin durante la instalacin inicial, es posible adems configurar una programacin para la sincronizacin de los partners de replicacin. Inicialmente, se instala el primer sitio y despus se instala un segundo sitio como partner de replicacin. Un tercer sitio se puede instalar y configurarse para conectarse a cualquiera de los primeros dos sitios. Es posible agregar tantos sitios como sea necesario a la granja de sitios.
Paso 3
175
Pasos Tareas
Paso 4 Agregue el segundo sitio como partner.
Descripcin
Comprenda porqu es necesario duplicar los datos entre los sitios. Configure los partners de replicacin mediante el asistente para Agregar asociado de replicacin existente. Ver "Cmo funciona la replicacin" en la pgina 178. Ver "Adicin de un partner de replicacin" en la pgina 180. Es necesario eliminar partners de replicacin antes de migrar o actualizar a la ltima versin del servidor de administracin. Es posible agregar ms tarde ese partner de replicacin nuevamente para que las bases de datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161. Es posible tambin eliminar todos los sitios remotos totalmente. Ver "Eliminar sitios remotos" en la pgina 184.
Paso 5
De forma predeterminada, la replicacin se programa automticamente. Es posible modificar la programacin de replicacin en funcin de la cantidad de espacio disponible. Es posible tambin ejecutar la replicacin de forma inmediata. Ver "Cmo cambiar la programacin de rplica automtica" en la pgina 181. Ver "Replicar datos cuando lo necesite" en la pgina 182.
Paso 6
Haga copia de Una vez que configura Symantec Endpoint Protection, es seguridad de la base necesario hacer copia de seguridad de la base de datos que de datos en el primer contiene todos los cambios de configuracin. sitio. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729.
176
Pasos Tareas
Paso 7 Configure las propiedades para el primer sitio.
Descripcin
Es posible configurar los puntos siguientes para el sitio:
El perodo despus del cual la consola cierra sesin. Nombre y descripcin del sitio.
Independientemente de si elimina a los clientes que no se han conectado despus de cierto perodo. Minimice los tamaos del registro para ahorrar espacio. Ver "Cmo especificar qu datos reproducir" en la pgina 183.
Un gran nmero de clientes. El nmero de ubicaciones geogrficas y el tipo de enlaces de comunicaciones entre ellos. El nmero de divisiones funcionales o de grupos administrativos. El nmero de datacenters. La mejor prctica consiste en configurar un sitio de Symantec Endpoint Protection para cada centro de datos. Frecuencia con la que desea actualizar el contenido. Cantidad de datos de registro de clientes que necesita conservar, tiempo que necesita guardarlos y lugar donde debe almacenarlos. Un vnculo lento WAN entre dos ubicaciones fsicas. Si configura un segundo sitio con su propio servidor de administracin, puede minimizar el trfico del servidor cliente por medio de ese vnculo lento. Cualquier consideracin de administracin de seguridad de TI y de administracin corporativa general que es nica.
Use las instrucciones de tamao siguientes para decidir cuntos sitios debe instalar:
177
Instale la menor cantidad de sitios posible, hasta un mximo de 20 sitios. Conecte hasta 10 servidores de administracin a una base de datos. Conecte hasta 50 000 clientes a un servidor de administracin.
Una vez que agrega un sitio, debe duplicar la informacin del sitio por medio de varios sitios mediante la replicacin. La replicacin es el proceso de compartir informacin entre bases de datos para asegurarse de que el contenido sea coherente. Tabla 8-2 muestra los diseos de varios sitios que puede elegir. Tabla 8-2 Diseos de varios sitios
Nota: No agregue sitios para controlar clientes adicionales. En cambio, puede instalar dos o ms servidores de administracin y usar la lista de servidores de administracin. Ver "Cmo funciona la replicacin" en la pgina 178.
178
Los partners de replicacin pueden usar una base de datos integrada o una base de datos de Microsoft SQL Server. Los servidores de administracin no comparten la base de datos. Todos los partners de replicacin comparten una clave de licencia comn. Los partners del sitio comparten una nica base de datos de Microsoft SQL.
Todos los sitios tienen tpicamente el mismo tipo de base de datos. Sin embargo, puede configurar la replicacin entre un sitio que tiene una base de datos integrada y un segundo sitio que tiene una base de datos de Microsoft SQL Server. Si usa una base de datos integrada, puede conectar solamente un Symantec Endpoint Protection Manager. Si usa una base de datos de Microsoft SQL Server, se pueden conectar varios servidores de administracin o compartir una base de datos. Solamente el primer servidor de administracin necesita ser configurado como partner de replicacin. Ver "Determinacin de los sitios que necesita" en la pgina 176. Los cambios que se realizan en cualquier partner se duplican en el resto de los partners. Por ejemplo, es posible configurar un sitio en su oficina principal (sitio 1) y un segundo sitio (sitio 2). El sitio 2 es un partner para el sitio 1. Las bases de datos en el sitio 1 y el sitio 2 se reconcilian mediante la programacin de la replicacin. Si se realiza un cambio en el sitio 1, aparece automticamente en el sitio 2 despus de que ocurra la replicacin. Si se realiza un cambio en el sitio 2, aparece automticamente en el sitio 1 despus de que ocurra la replicacin. Es posible tambin instalar un tercer sitio (sitio 3) que puede reproducir datos desde sitio 1 o el sitio 2. Figura 8-1 ilustra cmo ocurre la replicacin de datos del sitio principal a otros dos sitios.
179
Figura 8-1
Base de datos de MS SQ
Base de datos de MS SQ
Siempre se replican grupos y polticas. Es posible elegir replicar registros, contenido actualizado y parches. Ver "Cmo especificar qu datos reproducir" en la pgina 183. Despus de que ocurra la replicacin, la base de datos en el sitio 1 y la base de datos en el sitio 2 son iguales. Solamente la informacin de identificacin del equipo para los servidores se diferencia. Si los administradores modifican la configuracin en los sitios de una granja de sitios, pueden ocurrir conflictos. Tabla 8-3 muestra las maneras en las que Symantec Endpoint Protection Manager controla los conflictos que surgen.
Replicacin
180
Tabla 8-3
Tipo de conflicto
No pueden coexistir dos diferencias juntas. El servidor de administracin conserva solamente el cambio realizado ms recientemente. Por ejemplo, los administradores para el sitio 1 y el sitio 2 configuran un valor idntico de Por ejemplo, se conserva el cambio del sitio 2. poltica de firewall. En el sitio 1, se habilita la configuracin. En el sitio 2, se deshabilita la configuracin. La misma variable se crea para ambos sitios. El servidor de administracin conserva ambos cambios, ya que agrega un tilde y el nmero 1 (~1) despus de la variable realizada ms Por ejemplo, los administradores en el sitio recientemente. 1 y el sitio 2 agregan un grupo con el mismo nombre. Por ejemplo, con dos grupos denominados Ventas, el grupo recientemente denominado Ventas se convierte en Ventas ~1. Los datos pueden combinarse sin conflicto. El servidor de administracin combina los cambios Por ejemplo, el administrador para el sitio 1 Por ejemplo, el servidor de administracin muestra las siete polticas agrega dos polticas de firewall y el de firewall en ambos sitios. administrador para el sitio 2 agrega cinco polticas de firewall.
Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729.
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, seleccione un sitio. En Tareas, haga clic en Agregar partner de replicacin existente.
181
4 5
En Agregar asistente de partner de replicacin existente, haga clic en Siguiente. En el panel Informacin del sitio remoto, escriba la direccin IP o el nombre de host y el nmero de puerto del servidor de administracin que desea convertir en un partner de replicacin. La configuracin predeterminada para el puerto del servidor remoto es 8443.
6 7
Escriba el nombre de usuario y la contrasea del administrador para el servidor de administracin remota y haga clic en Siguiente. En el panel Programar replicacin, especifique la programacin para la replicacin entre los dos partners haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. Para configurar una programacin personalizada para la replicacin, seleccione Replicar automticamente y especifique la programacin.
8 9
Haga clic en Siguiente. En el panel Replicacin de paquetes cliente y archivos de registro, seleccione o anule la seleccin de las opciones dependiendo de si desea replicar los registros. siguientes acciones:
182
nmero de ID ms pequeo inicia la replicacin programada. Cuando se ha establecido un partner de replicacin, es posible modificar la programacin de replicacin. Cuando se modifica la programacin en un partner de replicacin, la programacin en ambos lados es igual despus de la replicacin siguiente. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Para modificar frecuencias de replicacin
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic en Partners de replicacin. En Tareas, haga clic en Editar partner de replicacin. En el cuadro de dilogo Editar partner de replicacin, especifique la programacin para la replicacin entre los dos partners haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. Esta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin. Nota: La opcin Replicar automticamente realiza el proceso de replicacin cada dos horas. Las versiones anteriores del producto se replican de forma automtica cada cinco minutos. Desactive Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin.
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
183
Si utiliza una base de datos de Microsoft SQL Server con ms de un servidor, es posible iniciar solamente la replicacin desde el primer servidor en ese sitio. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Programar la replicacin manual
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, expanda Partners de replicacin y seleccione el partner cuya base de datos desea replicar de forma inmediata. En Tareas, haga clic en Replicar ahora. Haga clic en S. Haga clic en Aceptar.
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic en Partners de replicacin. Expanda Partners de replicacin y seleccione el partner de replicacin con el cual desee replicar los paquetes cliente. En Tareas, haga clic en Editar propiedades del partner de replicacin. En el cuadro de dilogo Propiedades del partner de replicacin, haga clic en Replicar paquetes cliente entre el sitio local y el sitio asociado. Haga clic en Aceptar.
184
1 2 3 4 5
En la consola, haga clic en Administrador. En Tareas, haga clic en Servidores. Expanda los Sitios remotos y seleccione el sitio que planea eliminar. En Tareas, haga clic en Eliminar sitio remoto. Haga clic en S.
Captulo
Acerca de Symantec Endpoint Protection y Protection Center Acerca de actualizar a la versin 2 de Protection Center Acerca de la configuracin de Symantec Endpoint Protection en Protection Center Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
186
Administracin de Symantec Endpoint Protection en Protection Center Acerca de actualizar a la versin 2 de Protection Center
Ejecute la consola de Symantec Endpoint Protection Manager desde Protection Center junto con otras consolas del producto de Symantec. La consola de Symantec Endpoint Protection Manager en Protection Center es casi idntica a la consola independiente. Las opciones de funcin principal que aparecen a la izquierda de la ventana de la consola en la versin independiente, sin embargo, aparecen en la parte superior en Protection Center. Ejecute los informes que contengan datos de Symantec Endpoint Protection y de otros productos, tales como Symantec Messaging Gateway. Los servicios web de la fuente de datos definen los datos de Symantec Endpoint Protection que se escriben en la base de datos de Protection Center. Para obtener ms informacin, consulte la datos de la Symantec Endpoint ProtectionGua de referencia de Protection Center, que est disponible en el Soporte tcnico de Symantec. Inicie los flujos de trabajo de Protection Center que incluyen tareas de Symantec Endpoint Protection. Protection Center proporciona los siguientes flujos de trabajo de Symantec Endpoint Protection:
Ponga en cuarentena el flujo de trabajo de endpoint Mueva el flujo de trabajo de endpoint Actualice las definiciones de virus en el flujo de trabajo de endpoint Actualice las definiciones de virus y el flujo de trabajo de endpoint
Otros productos pueden proporcionar tareas o conjuntos de integracin de puntos diferentes. Para obtener ms informacin sobre cmo los productos se pueden integrar con Protection Center, consulte la documentacin de Protection Center. Ver "Acerca de actualizar a la versin 2 de Protection Center" en la pgina 186. Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187.
Administracin de Symantec Endpoint Protection en Protection Center Acerca de la configuracin de Symantec Endpoint Protection en Protection Center
187
Sin embargo, las cuentas de usuario en Protection Center para acceder a los productos integrados se configuran de manera diferente. Para obtener ms informacin, consulte la documentacin de Protection Center.
Agregue el servidor de Symantec Endpoint Protection Manager a Protection Center y habilite el servidor. Cree las cuentas de Protection Center para acceder a Symantec Endpoint Protection y sus otros productos integrados. Asigne las cuentas de Protection Center a las cuentas correspondientes en Symantec Endpoint Protection y sus otros productos integrados.
Para obtener informacin detallada sobre cmo agregar productos y crear cuentas, consulte la documentacin de Protection Center. Es necesario configurar dominios varios individualmente. Si su Symantec Endpoint Protection Manager incluye solamente el dominio predeterminado, no es necesario especificar ninguna informacin del dominio en Protection Center. Ver "Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center" en la pgina 188. Nota: En la versin 1 de Protection Center, se puede agregar Symantec Endpoint Protection usando una cuenta de administrador limitado que tenga derechos de elaboracin de informes. En la versin 2, es necesario usar una cuenta de administrador del sistema o de administrador del dominio. Protection Center puede descubrir automticamente los servidores de Symantec Endpoint Protection Manager en su red. Esta deteccin de redes se habilita en Symantec Endpoint Protection Manager de forma predeterminada. Si la deshabilit, se puede agregar Symantec Endpoint Protection Manager manualmente. Para obtener ms informacin sobre cmo agregar un producto manualmente, consulte la documentacin de Protection Center. Ver "Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center" en la pgina 189.
188
Administracin de Symantec Endpoint Protection en Protection Center Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center
Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187. Ver "Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center" en la pgina 189.
Administracin de Symantec Endpoint Protection en Protection Center Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
189
1 2
En la consola, vaya a Administrador > Servidores > Nombre del servidor > Editar propiedades del sitio. En la ficha Servicios web, cambie cualquiera de las siguientes opciones de configuracin:
Fuentes de datos Si encuentra que las fuentes de datos de Protection Center consumen demasiado su ancho de banda de red, se puede cambiar esta configuracin.
Para obtener ms informacin detallada sobre esta configuracin, consulte la ayuda contextual para el panel Servicios web.
190
Administracin de Symantec Endpoint Protection en Protection Center Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187.
Seccin
Captulo 10. Administracin de grupos de equipos cliente Captulo 11. Administracin de clientes Captulo 12. Administracin de clientes remotos Captulo 13. Uso de polticas para administrar seguridad Captulo 14. Administracin de proteccin antivirus y antispyware Captulo 15. Personalizacin de anlisis Captulo 16. Administracin de SONAR Captulo 17. Administracin de proteccin contra intervenciones Captulo 18. Administracin de proteccin mediante firewall Captulo 19. Administracin de prevencin de intrusiones Captulo 20. Administracin del control de aplicaciones y dispositivos Captulo 21. Administracin de excepciones
192
Captulo 22. Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Captulo 23. Supervisin de proteccin con los informes y los registros Captulo 24. Administracin de notificaciones Captulo 25. Administracin de dominios Captulo 26. Administracin de cuentas de administrador
Captulo
10
Cmo administrar los grupos de clientes Cmo se pueden estructurar los grupos Importacin de una estructura de organizacin existente Adicin de un grupo Cmo asignar clientes a los grupos antes de instalar el software de cliente Desactivar y activar la herencia de un grupo Bloquear clientes para que no se agreguen a grupos Visualizacin de equipos asignados Mover un equipo cliente a otro grupo
194
El grupo Mi empresa es el grupo de nivel superior o grupo principal. Contiene un rbol plano de grupos secundarios. El Grupo predeterminado es un subgrupo de Mi empresa. Asignan los clientes primero al Grupo predeterminado cuando primero se registran en Symantec Endpoint Protection Manager, a menos que pertenezcan a un grupo predefinido. No es posible crear subgrupos en el Grupo predeterminado.
Nota: No es posible cambiar el nombre de los grupos predeterminados ni eliminarlos. Tabla 10-1 Tarea
Crear o eliminar grupos
195
Tarea
Realice el mantenimiento bsico
Descripcin
Es posible mover los grupos para una administracin ms fcil, mover clientes entre los grupos y revisar o cambiar cierta informacin bsica sobre los clientes. Es posible tambin bloquear clientes para que no sean agregados a un grupo determinado. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 200.
Crear ubicaciones dentro de Es posible configurar los clientes para que cambien los grupos automticamente a una poltica de seguridad diferente si la ubicacin fsica de los clientes cambia. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Algunas opciones de configuracin de seguridad son especficas del grupo y otras, de la ubicacin. Es posible personalizar cualquier configuracin especfica de la ubicacin. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Asignar clientes a los grupos Ver "Cmo asignar clientes a los grupos antes de instalar el antes de instalar el software software de cliente" en la pgina 199. de cliente Administrar polticas de seguridad para los grupos Es posible crear polticas de seguridad segn las necesidades de cada grupo. Luego, es posible asignar diferentes polticas a diferentes grupos o ubicaciones. Ver "Acerca de consolidar las polticas de seguridad para los clientes remotos" en la pgina 248. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
196
Rol
Regin geogrfica
Combinacin Es posible crear los grupos segn una combinacin de criterios. Por ejemplo, se puede usar la funcin y el rol. Es posible agregar un grupo principal por rol y agregar subgrupos secundarios por la funcin, como en la siguiente situacin:
Ventas, con los subgrupos de equipos porttiles, de escritorio y servidores. Ingeniera, con subgrupos de equipos porttiles, de escritorio y servidores.
Por ejemplo, supongamos que una empresa tiene departamentos de televenta y de contabilidad. Estos departamentos tienen empleados en las oficinas de Nueva York, Londres y Frankfurt de la compaa. Todos los equipos de ambos departamentos estn asignados al mismo grupo de modo que reciban las actualizaciones de las definiciones de virus y de riesgo para la seguridad de la misma fuente. Sin embargo, los informes de TI indican que el departamento de televenta es ms vulnerable a los riesgos que el departamento de contabilidad. Como resultado, el administrador del sistema crea los grupos de televenta y de contabilidad por separado. Los clientes de televenta comparten las opciones de configuracin que limitan terminantemente cmo los usuarios pueden interaccionar con la proteccin antivirus y contra riesgos para la seguridad. Si tiene instalados clientes de Symantec Endpoint Protection y de Symantec Network Access Control, mantenga los clientes de Symantec Endpoint Protection y de Symantec Network Access Control en grupos separados. Consulte el artculo de la base de conocimientos Prcticas recomendadas para la creacin de estructuras de grupos Ver "Cmo administrar los grupos de clientes" en la pgina 193.
197
No es posible filtrar los usuarios de un servidor de Active Directory antes de que importe datos. Con los servidores LDAP, es posible filtrar los usuarios antes de importar datos. Por lo tanto, es posible agregar un servidor de Active Directory compatible con LDAP como servidor LDAP si es necesario filtrar los datos. Ver "Agregar servidores de directorios" en la pgina 700.
198
Tarea
Sincronizar la informacin sobre cuentas de usuario y cuentas de equipo entre los servidores de directorios y Symantec Endpoint Protection Manager
Descripcin
Es posible importar y sincronizar la informacin sobre cuentas de usuario y cuentas de equipo entre los servidores de directorios y Symantec Endpoint Protection Manager. Ver "Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager" en la pgina 695.
Cuando se importa la informacin sobre los usuarios al servidor de administracin, es necesario buscar usuarios en un servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 696.
Importar usuarios de la lista de Es posible importar usuarios desde una lista de resultados de una bsqueda del servidor resultados de bsqueda de un servidor LDAP. de directorios LDAP Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 698. Importar las unidades organizativas de Es posible importar OU de un servidor de Active un servidor de Active Directory o de un Directory o de un servidor de directorios LDAP. servidor de directorios LDAP Ver "Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP" en la pgina 699. Importar la cuenta de usuario e informacin de cuenta de un equipo desde un servidor de LDAP Es posible importar la informacin de cuenta de usuario y de cuenta de equipo de un servidor de LDAP. Ver "Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP" en la pgina 694. Sincronizar las unidades organizativas Es posible sincronizar las OU. Ver "Acerca de la sincronizacin de unidades organizativas" en la pgina 694.
Adicin de un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su organizacin.
Administracin de grupos de equipos cliente Cmo asignar clientes a los grupos antes de instalar el software de cliente
199
Las descripciones de grupo pueden tener hasta 1024 caracteres. Los nombres de grupo pueden contener cualquier carcter excepto los caracteres siguientes: [/\*? < > | :] Las descripciones del grupo no estn restringidas. Nota: No es posible agregar grupos al grupo predeterminado. Ver "Cmo se pueden estructurar los grupos" en la pgina 195. Para agregar un grupo
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo al que desea agregar un nuevo subgrupo. En la ficha Clientes, bajo Tareas, haga clic en Agregar grupo. En el cuadro de dilogo Agregar grupo para nombre de grupo, escriba el nombre de grupo y una descripcin. Haga clic en Aceptar.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, ubique el grupo en el que desea agregar un cliente.
200
Para el modo de usuario, haga clic en Agregar cuenta de usuario. Escriba el nombre de usuario. Si el usuario es parte de un dominio de Windows, escriba el nombre de dominio. Si el usuario es parte de un grupo de trabajo, haga clic en Equipo local de inicio de sesin. Para el modo de equipo, haga clic en Agregar cuenta de equipo. Escriba el nombre del equipo y despus escriba el nombre de dominio o el grupo de trabajo de Windows.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desea habilitar o deshabilitar la herencia. Es posible seleccionar cualquier grupo excepto el grupo de nivel superior, Mi empresa.
En el panel nombre de grupo, en la ficha Polticas, realice una de las siguientes tareas:
Para desactivar la herencia, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Para activar la herencia, active Heredar polticas y configuracin del grupo principal " nombre de grupo" y despus haga clic en S cuando se le solicite para proceder.
201
automticamente al grupo apropiado. El cliente se agrega la primera vez que efecta una conexin con el servidor de administracin. Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132. Es posible activar el bloqueo si no desea que los clientes se agreguen automticamente a un grupo especfico cuando se conectan a la red. La opcin de bloqueo evita que se agreguen usuarios a un grupo automticamente. Es posible bloquear un nuevo cliente para que no se agregue al grupo al que fue asignado en el paquete de instalacin de clientes. En este caso, el cliente se agrega al grupo predeterminado. Es posible mover manualmente un equipo a un grupo bloqueado. Para bloquear clientes para que no se agreguen a grupos
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, haga clic con el botn derecho en un grupo y en Propiedades. En la ficha Detalles, en Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Propiedades de grupo para nombre de grupo, haga clic en Bloquear nuevos clientes. Haga clic en Aceptar.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Equipos, haga clic en un grupo.
1 2
En la consola, haga clic en Equipos. En la pgina Clientes, en la ficha Equipos, seleccione un grupo.
202
En la ficha Clientes, en el grupo seleccionado, seleccione el equipo y despus haga clic con el botn derecho en Mover. Use la tecla Mays o la tecla Ctrl para seleccionar varios equipos.
4 5
En el cuadro de dilogo Mover clientes, seleccione el nuevo grupo. Haga clic en Aceptar.
Captulo
11
Administracin de clientes
En este captulo se incluyen los temas siguientes:
Cmo administrar los equipos cliente Acerca de los iconos de estado de proteccin de los clientes Visualizar el estado de proteccin de los clientes y equipos cliente Cmo filtrar qu clientes se pueden ver en la ficha Clientes Bsqueda de informacin sobre equipos cliente Consulta de las propiedades de un cliente Acerca de cmo habilitar y deshabilitar la proteccin Acerca de los comandos que puede ejecutar en los equipos cliente Ejecucin de comandos en el equipo cliente desde la consola Alternar un cliente entre modo de usuario y modo de equipo Configuracin de un cliente para detectar dispositivos desconocidos Convertir un cliente no administrado en un cliente administrado Acerca del acceso a la interfaz del cliente Acerca del control mixto Modificar el nivel de control del usuario Configurar opciones de la interfaz de usuario Recopilacin de informacin de usuarios Proteger el cliente con contrasea
204
Configurar la conexin entre Una vez que se instalan los equipos cliente del software de cliente de forma automtica el cliente y el servidor se conectan al servidor de administracin en el latido siguiente. Es posible consultar el estado de la conexin y se puede solucionar cualquier problema de conexin que pueda presentarse. Ver "Cmo administrar la conexin entre el servidor de administracin y los equipos cliente" en la pgina 677. Comprobar que el software de cliente est instalado en sus endpoints Es posible configurar un equipo cliente para detectar que otros dispositivos no tienen el software de cliente instalado. Algunos de estos dispositivos pueden ser equipos sin proteccin. Es posible entonces instalar el software de cliente en estos equipos. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 217. Es posible mostrar los equipos en cada grupo que no tienen el software de cliente instalado an. Ver "Cmo filtrar qu clientes se pueden ver en la ficha Clientes " en la pgina 208. Es posible agregar un cliente a un grupo e instalar el software de cliente ms tarde.
Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Comprobar que los equipos Es posible comprobar si el software de cliente est instalado y si los clientes cliente tengan el nivel proporcionan el nivel correcto de proteccin. correcto de proteccin Es posible ver el estado de cada tecnologa de proteccin en sus equipos cliente. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Es posible ejecutar informes o ver registros para consultar si es necesario aumentar la proteccin o mejorar el rendimiento. Por ejemplo, los anlisis pueden causar falsos positivos. Es posible tambin identificar los equipos cliente que necesitan proteccin. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Es posible modificar la proteccin basada en los atributos especficos del software de cliente o de los equipos cliente. Ver "Bsqueda de informacin sobre equipos cliente" en la pgina 209.
205
Tarea
Descripcin
Ajustar la proteccin en los Es posible aumentar o disminuir cada tipo de proteccin segn los resultados en equipos cliente los informes y los registros. Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51. Es posible deshabilitar temporalmente la proteccin en los equipos cliente si es necesario diagnosticar un problema o mejorar el rendimiento. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Es posible que se requiera una contrasea en el cliente. Ver "Proteger el cliente con contrasea" en la pgina 230. Mover los endpoint de un Para cambiar el nivel de proteccin de un equipo cliente, se puede mover a un grupo grupo a otro para modificar que proporcione ms proteccin o menos proteccin. la proteccin (opcional) Ver "Mover un equipo cliente a otro grupo" en la pgina 201. Permitir que los usuarios controlen la proteccin del equipo (opcional) Es posible especificar la clase de control que los usuarios ejercen sobre la proteccin en los equipos cliente. Para la proteccin antivirus y antispyware, y la proteccin proactiva contra amenazas, se puede bloquear o desbloquear una casilla de seleccin para especificar si los usuarios pueden cambiar opciones de configuracin individuales. Ver "Cmo bloquear y desbloquear la configuracin de polticas" en la pgina 264. Para las polticas de firewall y la poltica IPS y para cierta configuracin de la interfaz de usuario del cliente, se puede cambiar el nivel de control del usuario ms generalmente. Ver "Modificar el nivel de control del usuario" en la pgina 223. Si los usuario necesitan pleno control del cliente, se puede instalar un cliente no administrado. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219.
Si ya no se usa un equipo y desea usar la licencia para otro equipo, se puede eliminar el cliente de la base de datos despus de algunos das. Al eliminar un cliente, usted adems ahorra espacio en la base de datos. Ver "Desinstalacin del cliente" en la pgina 146.
206
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
207
Icono
Descripcin
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de usuario.
Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207.
Una lista de equipos cliente administrados que no tienen el cliente instalado. Es posible ver el nombre del equipo, el nombre de dominio y el nombre del usuario que ha iniciado sesin. Qu protecciones se habilitan y se deshabilitan. Qu equipos cliente tienen las ltimas polticas y definiciones. El nmero de serie de las polticas del grupo y el nmero de versin del cliente. La informacin sobre los componentes de red del equipo cliente, como la direccin MAC de la tarjeta de red que usa el equipo. La informacin del sistema sobre el equipo cliente, como la cantidad de espacio libre en el disco disponible y el nmero de versin del sistema operativo.
208
Una vez que se conoce el estado de un cliente determinado, es posible resolver cualquier problema de seguridad de los equipos cliente. Es posible resolver muchos problemas mediante la ejecucin de comandos en los grupos. Por ejemplo, se puede actualizar el contenido o habilitar Auto-Protect. Nota: Si administra clientes de una versin anterior, algunas tecnologas de proteccin ms nuevas se pueden detallar como no informadas. Este es el comportamiento previsto. No significa que es necesario tomar medidas en estos clientes. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Ver "Consulta de las propiedades de un cliente" en la pgina 211. Ver "Cmo filtrar qu clientes se pueden ver en la ficha Clientes " en la pgina 208. Para visualizar el estado de proteccin de los clientes y equipos cliente
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, ubique el grupo que contiene los clientes de los cuales desea obtener informacin. En la ficha Clientes, haga clic en la lista desplegable Ver. A continuacin, seleccione una categora. Es posible ir directamente a una pgina determinada escribiendo el nmero de pgina en el cuadro de texto, en la esquina derecha inferior.
209
Nota: Es posible mostrar qu clientes en un grupo aparecen en la ficha Clientes, segn el tipo de sistema operativo o cuenta. Es posible mostrar u ocultar qu equipos estn conectados al servidor de administracin. Es posible tambin configurar cuntos clientes aparecen en cada pgina para que la lista sea ms fcil de administrar. Ahora hay una nueva configuracin de filtro de consultas del cliente que conserva el servidor de administracin y se almacena con el nombre de inicio de sesin del administrador individual o del administrador limitado. Si un administrador establece una condicin de filtrado, esa condicin se conserva para ese administrador. Varios administradores consultarn solamente los filtros que han configurado. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Para mostrar qu usuarios y equipos se pueden ver en la ficha Clientes
1 2 3 4
En la consola, haga clic en Clientes. En el panel Clientes, elija el grupo en el que desea realizar bsquedas. En la ficha Clientes, en Tareas, haga clic en Configurar filtro de pantalla. En el cuadro de dilogo Configurar filtro de pantalla, en Tipo de plataforma, seleccione si desea mostrar los equipos con Windows, los equipos con Mac o ambos. En Tipo de cliente, seleccione si desea mostrar los clientes en modo de usuario o en modo de equipo. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216.
6 7
Seleccione o anule la seleccin de Equipos o usuarios nuevos que no tienen el software de cliente instalado. Para acortar la lista, haga clic en Resultados por pgina y escriba el nmero de resultados para mostrar en cada pgina. Los valores vlidos van de 1 a 1000.
210
operativo. O es posible descubrir que es necesario instalar las definiciones antivirus ms recientes en los equipos cliente del grupo de finanzas. Es posible ver la informacin sobre cada cliente del grupo en la pgina Clientes. Es posible restringir la bsqueda si hay demasiados clientes. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Es posible exportar los datos de la consulta a un archivo de texto. Nota: Para buscar la mayor parte de la informacin sobre los usuarios, es necesario recopilar la informacin del usuario durante la instalacin del software de cliente o despus. Esta informacin de usuario tambin se visualiza en la ficha General y la ficha Informacin del usuario en el cuadro de dilogo Editar propiedades del cliente. Ver "Recopilacin de informacin de usuarios" en la pgina 229. Para buscar informacin sobre usuarios, clientes y equipos
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la ficha Clientes, en Ver clientes, elija el grupo que desea buscar. En Tareas, haga clic en Buscar clientes. En el cuadro de dilogo Buscar clientes, en la lista desplegable Buscar, haga clic en Equipos o Usuarios. Haga clic en Examinar para seleccionar un grupo que no sea el grupo predeterminado. En el cuadro de dilogo Seleccionar grupo, seleccione el grupo y haga clic en Aceptar. En Criterios de bsqueda, haga clic en la lista desplegable Campo de bsqueda y, a continuacin, seleccione los criterios mediante los cuales desea buscar. Haga clic en la lista desplegable Operador de comparacin y, luego, seleccione un operador de comparacin. Es posible utilizar operadores booleanos estndar en sus criterios de bsqueda.
211
General Visualiza la informacin sobre el grupo, el dominio, el nombre de inicio de sesin y la configuracin de hardware del equipo. Red Muestra la informacin sobre el servidor DNS, el servidor DHCP, el servidor WINS y la direccin IP del equipo. Clientes Visualiza la informacin que se recopila del equipo cliente. Esta informacin incluye el tipo de cliente que se ejecuta en el equipo. Adems, enumera informacin especfica del software y de las polticas. Esta informacin incluye la versin del software del cliente, el nmero de serie del perfil actual, el nmero de serie de la firma actual y la ltima vez que estuvo en lnea. Informacin del usuario Visualiza la informacin sobre la persona que inici sesin actualmente el equipo. Se completa esta informacin cuando el administrador elige habilitar la recopilacin de informacin del usuario.
Ver "Recopilacin de informacin de usuarios" en la pgina 229. Para consultar las propiedades de un equipo cliente
1 2 3 4 5
En la consola, haga clic en Clientes. Elija el grupo con los clientes cuyas propiedades desea consultar. En la ficha Clientes, haga clic con el botn derecho en el cliente y seleccione Editar propiedades. En el cuadro de dilogo nombre de cliente, es posible ver la informacin sobre el cliente. Haga clic en Aceptar.
212
el equipo cliente. Por ejemplo, si una aplicacin no se ejecuta o no se ejecuta correctamente, puede ser recomendable deshabilitar Proteccin contra amenazas de red. Si el problemas persiste una vez que se deshabilitan todas las tecnologas de proteccin, ya sabe que el problema no es el cliente. Advertencia: Asegrese de habilitar las protecciones cuando haya finalizado la solucin del problema para que su equipo permanezca protegido. La Tabla 11-3 describe los motivos por los que puede ser recomendable deshabilitar cada tecnologa de proteccin. Tabla 11-3 Tecnologa de proteccin Propsito de deshabilitar una tecnologa de proteccin
Proteccin antivirus y Si deshabilita esta proteccin, se deshabilita Auto-Protect solamente. antispyware Los anlisis programados o de inicio se ejecutan de todos modos si usted o el usuario as lo han establecido. Es posible que tenga que habilitar o deshabilitar Auto-Protect por los siguientes motivos: Auto-Protect puede impedir que abra un documento. Por ejemplo, si abre un documento de Microsoft Word que tiene una macro, es posible que Auto-Protect no permita que la abra. Si sabe que el documento es seguro, puede deshabilitar Auto-Protect. Auto-Protect puede alertar acerca de una actividad propia de virus que el usuario sepa con seguridad que no est ocasionada por un virus. Por ejemplo, es posible que se muestre un aviso cuando se instalan nuevas aplicaciones informticas. Si planea instalar ms aplicaciones y desea evitar el aviso, es posible deshabilitar temporalmente Auto-Protect. Auto-Protect puede interferir con el reemplazo de controladores de Windows.
Administracin de clientes Acerca de los comandos que puede ejecutar en los equipos cliente
213
Tecnologa de proteccin
Proteccin proactiva contra amenazas
Observa demasiadas advertencias sobre amenazas que sabe que no son amenazas. La Proteccin proactiva contra amenazas puede ralentizar el equipo cliente.
Ver "Cmo ajustar la configuracin de SONAR en los equipos cliente" en la pgina 386. Proteccin contra amenazas de red Puede ser recomendable deshabilitar la Proteccin contra amenazas de red por los siguientes motivos:
El firewall o el sistema de prevencin de intrusiones causa problemas relacionados con la conectividad de red. El firewall puede ralentizar el equipo cliente.
Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461. Si no est seguro de que Proteccin contra amenazas de red causa el problema, se recomienda deshabilitar todas las tecnologas de proteccin. Es posible configurar Proteccin contra amenazas de red de modo que los usuarios no puedan habilitarla ni deshabilitarla. Es posible tambin establecer los lmites siguientes para cundo y cunto tiempo se deshabilita la proteccin:
Si el cliente permite todo el trfico o todo el trfico saliente solamente. La duracin del perodo durante el que se deshabilita la proteccin. Cuntas veces es posible deshabilitar la proteccin antes de reiniciar el cliente.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 226. Proteccin contra intervenciones Tpicamente es necesario mantener Proteccin contra intervenciones habilitada. Es posible que desee deshabilitar temporalmente la Proteccin contra intervenciones si obtiene muchas detecciones de falsos positivos. Es posible crear excepciones para detecciones de falsos positivos. Ver "Cmo cambiar la configuracin de Proteccin contra intervenciones" en la pgina 396.
214
Administracin de clientes Acerca de los comandos que puede ejecutar en los equipos cliente
Es posible habilitar y deshabilitar la proteccin para solucionar problemas en el equipo cliente. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Tabla 11-4 Comandos
Analizar
Cancela todos los anlisis que estn en ejecucin en los equipos cliente.
Actualizar contenido Actualiza el contenido en clientes iniciando una sesin de LiveUpdate en los equipos cliente. Los clientes reciben el contenido ms reciente de Symantec LiveUpdate. Ver "Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager" en la pgina 553. Actualizar contenido Actualiza el contenido iniciando una sesin de LiveUpdate y y anlisis ejecuta un anlisis manual en los equipos cliente. Reiniciar equipos cliente Reinicia los equipos cliente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones de reinicio que el administrador configur para ese cliente. Es posible configurar opciones de reinicio de clientes en la ficha Configuracin general. Ver "Cmo reiniciar equipos cliente" en la pgina 143.
215
Comandos
Habilitar Auto-Protect
Descripcin
Habilita Auto-Protect para el sistema de archivos en los equipos cliente. De forma predeterminada, Auto-Protect para el sistema de archivos est habilitado. Es posible que necesite habilitar Auto-Protect desde la consola, si permite que los usuarios modifiquen esta opcin o si deshabilita Auto-Protect. Es posible bloquear la configuracin, de forma que los usuarios de los equipos cliente no puedan deshabilitar Auto-Protect. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355. Si desea habilitar o deshabilitar Auto-Protect para el correo electrnico, debe incluir la configuracin en la poltica de proteccin antivirus y antispyware.
Habilitar proteccin Habilita y deshabilita el firewall y la prevencin de intrusiones en contra amenazas de los equipos cliente. red y Deshab. protec. Nota: El equipo cliente Mac no procesa este comando. contra amen. red
Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Es posible configurar un administrador limitado para tener derechos a alguno o a ninguno de estos comandos. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
216
Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente" en la pgina 213. Para ejecutar comandos en el equipo cliente desde la consola
1 2
En la consola, haga clic en Clientes y a continuacin en Equipos, seleccione el grupo que incluye los equipos para los cuales desea ejecutar un comando. Realice una de las acciones siguientes:
En el panel izquierdo, en Equipos, haga clic con el botn derecho en el grupo para el cual desea ejecutar el comando. En el panel derecho, en la ficha Clientes, seleccione y haga clic con el botn derecho en los equipos o los usuarios para los cuales desea ejecutar el comando.
Ejecutar comando en el grupo > comando Ejecutar comando en los clientes > comando
Descripcin
El equipo cliente obtiene las polticas del grupo al que pertenece el equipo. El cliente protege el equipo con las mismas polticas, sin importar qu usuario ha iniciado sesin en el equipo. La poltica sigue el grupo en el que se incluye el equipo. El modo de equipo es la configuracin predeterminada. Muchas organizaciones configuran una mayora de clientes en modo de equipo. De acuerdo con su entorno de red, puede ser recomendable configurar algunos clientes con requisitos especiales como usuarios.
217
Modo
Modo de usuario
Descripcin
El equipo cliente obtiene las polticas del grupo al que pertenece el usuario. Las polticas cambian, segn qu usuario ha iniciado sesin en el cliente. La poltica depende del usuario.
Ver "Cmo asignar clientes a los grupos antes de instalar el software de cliente" en la pgina 199. No es posible alternar del modo de usuario al modo de equipo si el nombre del equipo ya est en otro grupo. La conmutacin al modo de equipo elimina el nombre de usuario del cliente del grupo y agrega el nombre del equipo del cliente en el grupo. No es posible alternar del modo de equipo al modo de usuario si el nombre de inicio de sesin del usuario y el nombre del equipo ya estn en algn grupo. La conmutacin al modo de usuario elimina el nombre del equipo del cliente del grupo. A continuacin agrega el nombre de usuario del cliente al grupo. Los clientes que se agregan en el modo de equipo se pueden habilitar como detectores no administrados y usar para detectar los dispositivos no autorizados. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 217. Para alternar un cliente entre modo de usuario y modo de equipo
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo que contiene al usuario o al equipo. En la ficha Clientes, haga clic con el botn secundario en el equipo o el nombre de usuario en la tabla y active Cambiar al modo de equipo o Cambiar al modo de usuario. Este modo es una configuracin que alterna entre una u otra opcin, as que siempre se visualiza una o la otra. La informacin de la tabla se modifica para reflejar la nueva configuracin.
218
dispositivos desconocidos son dispositivos no administrados que no ejecutan el software de cliente. Es necesario determinar si los dispositivos son seguros. Es posible activar cualquier cliente como detector no administrado para detectar dispositivos desconocidos. Cuando un dispositivo se inicia, su sistema operativo enva trfico ARP a la red para permitir a otros equipos saber de la presencia del dispositivo. Un cliente activado como detector no administrado recopila y enva informacin del paquete ARP al servidor de administracin. El servidor de administracin busca el paquete ARP a fin de detectar la direccin MAC y la direccin IP del dispositivo. El servidor compara estas direcciones con la lista de direcciones MAC y direcciones IP existentes de la base de datos de servidor. Si el servidor no puede encontrar una direccin que coincida, este registra el dispositivo como nuevo. De esta manera, es posible decidir si el dispositivo es seguro. Debido a que el cliente solo transmite informacin, no usa recursos adicionales. Es posible configurar el detector no administrado para ignorar ciertos dispositivos, como una impresora. Tambin es posible configurar notificaciones de correo electrnico para recibir notificaciones cuando el detector no administrado detecta un dispositivo desconocido. Para configurar el cliente como detector no administrado, realice las siguientes tareas:
Active la proteccin contra amenazas de red. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Cambie el cliente al modo de equipo. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216. Instale el cliente en un equipo que se ejecute todo el tiempo. Active solamente a clientes de Symantec Endpoint Protection como detectores no administrados. Un detector no administrado no puede ser cliente de Symantec Network Access Control.
1 2 3
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo que contiene el cliente que desea activar como detector no administrado. En la ficha Clientes, haga clic con el botn secundario en el cliente que desee activar como detector no administrado y, a continuacin, haga clic en Activar como detector no administrado.
219
4 5 6
Para especificar uno o ms dispositivos para exclusin de la deteccin por el detector no administrado, haga clic en Configurar detector no administrado. En el cuadro de dilogo Excepciones del detector no administrado para nombre del cliente, haga clic en Agregar. En el cuadro de dilogo Agregar excepcin de detector no administrado, haga clic en una de las siguientes opciones:
Excluir la deteccin de un intervalo de direcciones IP y, a continuacin, escriba el intervalo de direcciones IP para varios dispositivos. Excluir la deteccin de una direccin MAC y escriba la direccin MAC del dispositivo.
7 8
1 2 3 4
En la consola, haga clic en Pgina principal. En la Pgina principal, en la seccin Estado de seguridad, haga clic en Ms detalles. En el cuadro de dilogo Detalles del estado de seguridad, desplcese a la tabla Errores de dispositivos desconocidos. Cierre el cuadro de dilogo.
Instalar el cliente como equipo administrado. Este mtodo convierte un cliente no administrado en un cliente administrado reinstalando el software de cliente. Ver "Preparacin para la instalacin de clientes" en la pgina 127. Importar la configuracin de las comunicaciones del servidor. Este mtodo convierte un cliente no administrado en un cliente administrado al importar la configuracin de las comunicaciones del servidor.
220
Se exporta un archivo que incluye todas las opciones de comunicacin del grupo al que desea que pertenezca el cliente. El nombre predeterminado del archivo es nombre de grupo _sylink.xml. Se implementa el archivo en el equipo cliente. Es posible guardar el archivo en una ubicacin de red o enviarlo a un usuario individual en el equipo cliente. En el equipo cliente, usted o el usuario importa el archivo. No es necesario reiniciar el equipo cliente. El cliente se conecta de forma inmediata al servidor de administracin. El servidor de administracin coloca al cliente en el grupo especificado en el archivo de comunicacin. El cliente se actualiza mediante las polticas y la configuracin del grupo. Una vez que el cliente y el servidor de administracin se comunican, el icono del rea de notificacin con el punto verde aparece en la barra de tareas del equipo cliente.
Los clientes no administrados no estn protegidos por contrasea, as que el usuario no necesita una contrasea en el cliente. Sin embargo, si el usuario intenta importar un archivo en un cliente administrado que est protegido por contrasea, el usuario debe escribir una contrasea. La contrasea es la misma que se usa para importar o exportar una poltica. Ver "Proteger el cliente con contrasea" en la pgina 230. Tambin es posible que necesite redirigir un cliente administrado a otro servidor. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 1070. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 724. Para exportar la configuracin de las comunicaciones del servidor
1 2 3 4 5
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo donde desea que aparezca el cliente. Haga clic con el botn secundario en el grupo y, despus, haga clic en Exportar configuracin de comunicaciones. En el cuadro de dilogo Exportar configuracin de comunicaciones para nombre de grupo, haga clic en Examinar. En el cuadro de dilogo Seleccionar archivo de exportacin, ubique la carpeta donde desee exportar el archivo .xml y, luego, haga clic en Aceptar.
221
En el cuadro de dilogo Exportar configuracin de comunicaciones para nombre de grupo, seleccione una de las siguientes opciones:
Para aplicar las polticas del grupo del cual el equipo es miembro, haga clic en Modo de equipo. Para aplicar las polticas del grupo del cual el equipo es miembro, haga clic en Modo de usuario.
Haga clic en Exportar. Si ya existe el nombre de archivo, haga clic en Aceptar para sobrescribirlo o en Cancelar para guardar el archivo con un nuevo nombre. Para finalizar la conversin, usted o un usuario debe importar la configuracin de comunicaciones en el equipo cliente.
1 2 3 4 5
Abra Symantec Endpoint Protection en el equipo que desee convertir en cliente administrado. En el sector superior derecho, haga clic en Ayuda y soporte y despus haga clic en Solucin de problemas. En el cuadro de dilogo Solucin de problemas, en Configuracin de comunicaciones, haga clic en Importar. En el cuadro de dilogo Importar configuracin de comunicaciones, localice el archivo nombre de grupo_sylink.xml y despus haga clic en Abrir. Haga clic en Cerrar para cerrar el cuadro de dilogo Solucin de problemas. Una vez que se importa el archivo de comunicaciones y el cliente y el servidor de administracin se comunican, el icono del rea de notificacin con el punto verde aparece en la barra de tareas del equipo. El punto verde indica que el cliente y el servidor de administracin estn comunicados.
222
Para determinar el nivel de interaccin del usuario, es posible personalizar la interfaz de usuario de las siguientes maneras:
Para la configuracin de antivirus y antispyware, es posible bloquear o desbloquear las opciones. Para las opciones de firewall, las opciones de prevencin de intrusiones y algunas opciones de la interfaz de usuario del cliente, es posible configurar el nivel de control del usuario y configurar las opciones asociadas. Es posible proteger el cliente con contrasea. Ver "Proteger el cliente con contrasea" en la pgina 230.
Opciones de interfaz de usuario Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461. Opciones de proteccin general contra amenazas de red Ver "Configuracin del firewall para el control mixto" en la pgina 408. Configuracin de poltica de firewall Ver "Acerca del firewall de Symantec Endpoint Protection" en la pgina 402. Opciones de polticas de prevencin de intrusiones Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461.
223
En Control de servidores se pueden realizar cambios en la configuracin desbloqueada, pero se sobrescriben cuando se aplica la siguiente poltica. En Control de clientes, la configuracin modificada por el cliente toma precedencia sobre la configuracin del servidor. No se sobrescriben cuando se aplica la nueva poltica, a menos que la configuracin haya estado bloqueada en la nueva poltica.
Nota: El cliente de Symantec Network Access Control se ejecuta solamente en el control de servidores. Los usuarios no pueden configurar ninguna opcin de la interfaz de usuario.
224
Tabla 11-5
La configuracin que establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Cuando se crea una nueva ubicacin, se establece automticamente el control de servidores para ella. Control de clientes Proporciona a los usuarios el control ms alto sobre el cliente. El control de clientes desbloquea la configuracin administrada de modo que los usuarios puedan configurarla. El control de clientes tiene las caractersticas siguientes: Los usuarios pueden modificar o activar reglas de firewall, notificaciones de firewall, opciones de firewall, opciones especficas de la aplicacin, opciones de la prevencin de intrusiones y opciones de la interfaz de usuario del cliente. El cliente omite las reglas de firewall que usted configura para el cliente.
Es posible otorgar control de clientes a los equipos cliente que los empleados utilizan en una ubicacin remota o desde su casa.
225
Descripcin
Proporciona al usuario un control mixto sobre el cliente. El control mixto tiene las caractersticas siguientes: Los usuarios pueden modificar las reglas de firewall y la configuracin especfica a la aplicacin. Es posible configurar las reglas de firewall, que pueden o no pueden reemplazar las reglas que los usuarios configuran. La posicin de las reglas del servidor en la lista de reglas de las polticas de firewall determina si las reglas del servidor reemplazan las reglas del cliente. Es posible especificar ciertas opciones para que estn disponibles o no en el cliente para que los usuarios puedan activarlas y configurarlas. Estas opciones incluyen los registros de la proteccin contra amenazas de red, los registros de administracin de clientes, las opciones del firewall, las opciones de la prevencin de intrusiones y algunas opciones de la interfaz de usuario. Es posible configurar las opciones de antivirus y antispyware para que reemplacen la configuracin del cliente, incluso si la configuracin est desbloqueada. Por ejemplo, si usted desbloquea la funcin Auto-Protect y el usuario la deshabilita, es posible habilitar Auto-Protect.
La configuracin que se establece para el control de clientes est disponible para el usuario. La configuracin que establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 222.
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los usuarios pueden tener permiso para configurar reglas de firewall, pero no pueden acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso al cuadro de dilogo Configurar reglas de firewall, no pueden crear reglas. Es posible configurar un nivel de control de usuario distinto para cada ubicacin. Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al control de servidores cuando el servidor aplica una poltica de cuarentena.
226
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo cuya ubicacin desea modificar. Haga clic en la ficha Polticas. En Configuracin y polticas especficas de la ubicacin, en la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente, realice una de las siguientes opciones:
Haga clic en Control de servidores y despus haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Haga clic en Control de clientes. Haga clic en Control mixto y a continuacin haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Para el cliente de Symantec Network Access Control, es posible hacer clic en Mostrar el cliente y Mostrar el icono del rea de notificacin.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 226. Ver "Cmo bloquear y desbloquear la configuracin de polticas" en la pgina 264.
Configure el nivel de control del usuario del cliente en control del servidor. Configure el nivel de control del usuario del cliente en control mixto y configure la funcin principal en la ficha Configuracin de control de clientes y servidores en Servidor. Por ejemplo, es posible configurar la opcin Mostrar u ocultar icono del rea de notificacin en Cliente. El icono del rea de notificacin aparece en el cliente, y el usuario puede elegir mostrar u ocultar el icono. Si configura la opcin Mostrar u ocultar icono del rea de notificacin en Servidor, puede elegir si desea visualizar el icono del rea de notificacin en el cliente.
227
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 223.
2 3
En el cuadro de dilogo Config. de controles de interfaz de usuario del cliente para nombre de la ubicacin, junto a Control mixto, haga clic en Personalizar. En el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente, en la ficha Configuracin de control de clientes y servidores, realice una de las siguientes acciones:
Bloquee una opcin de modo que se pueda configurar solamente desde el servidor. Para la opcin que desee bloquear, haga clic en Servidor. Cualquier configuracin de la Proteccin antivirus y antispyware que establezca en Servidor anula la configuracin del cliente. Desbloquee una opcin de modo que el usuario pueda configurarla en el cliente. Para la opcin que desee, haga clic en Cliente. Cliente est seleccionado de forma predeterminada para todas las opciones, excepto para la configuracin antivirus y antispyware.
228
Para las siguientes opciones que configura en Servidor, haga clic en la ficha Configuracin de la interfaz de usuario del cliente para configurarlas:
Mostrar u ocultar icono del rea de notificacin Mostrar el icono del rea de notificacin
Habilitar y deshabilitar la Proteccin Permitir a los usuarios habilitar y contra amenazas de red deshabilitar la Proteccin contra amenazas de red Comando de men Prueba de seguridad de red Configurar las opciones de configuracin del trfico IP no coincidentes Mostrar/ocultar notificaciones de prevencin de intrusiones Permitir a los usuarios realizar prueba de seguridad. Permita el trfico IP o solamente el trfico de aplicaciones, y avise al usuario antes de permitir el trfico de aplicaciones Mostrar notificaciones de prevencin de intrusiones
Para obtener informacin sobre en qu parte de la consola se configuran las opciones restantes que usted establece en Servidor, haga clic en Ayuda. Para habilitar la configuracin del firewall y la configuracin de prevencin de intrusiones, configrelas en las polticas de firewall y de prevencin de intrusiones. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461.
En la ficha Configuracin de la interfaz de usuario del cliente, marque la casilla de seleccin de la opcin de modo que la opcin est disponible en el cliente. Haga clic en Aceptar. Haga clic en Aceptar.
6 7
229
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 223.
En el cuadro de dilogo Config. de controles de interfaz de usuario del cliente para nombre de la ubicacin, junto a Control de servidores, haga clic en Personalizar. En el cuadro de dilogo Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de una opcin de modo que la opcin aparezca en el cliente para que el usuario la utilice. Haga clic en Aceptar. Haga clic en Aceptar.
4 5
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Ver paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, haga clic en el paquete para el cual desee recopilar informacin de usuarios.
230
4 5 6 7
En Tareas, haga clic en Configurar la recopilacin de informacin de usuarios. En el cuadro de dilogo Configurar la recopilacin de informacin de usuarios, seleccione Recopilar informacin del usuario. En el cuadro de texto Mensaje emergente, escriba el mensaje que desea que los usuarios lean cuando se les pida informacin. Si desea que el usuario tenga la posibilidad de posponer la recopilacin de informacin del usuario, seleccione Habilitar Recordrmelo ms tarde y establezca un tiempo en minutos. En Seleccione los campos que se mostrarn para que el usuario proporcione informacin, elija el tipo de informacin para recopilar y, luego, haga clic en Agregar. Es posible seleccionar uno o ms campos simultneamente presionando la tecla Mays o la tecla Control.
En la columna Opcional, active la casilla de verificacin junto a cada campo que se desee definir como opcional para que el usuario complete.
Abra la interfaz de usuario del cliente. Detener el cliente. Importar y exportar la poltica de seguridad. Desinstalar el cliente.
Es posible modificar la configuracin de la proteccin mediante contrasea solamente para los subgrupos que no heredan de un grupo principal. Ver "Acerca del acceso a la interfaz del cliente" en la pgina 221. Para proteger el cliente con contrasea
1 2
En la consola, haga clic en Clientes. En Clientes, seleccione al grupo para el que desee configurar la proteccin mediante contrasea.
231
3 4 5
En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. Haga clic en Configuracin de seguridad. En la ficha Configuracin de seguridad, elija una de las siguientes casillas de verificacin:
Solicitar una contrasea para abrir la interfaz de usuario del cliente Solicitar una contrasea para detener el servicio de cliente Solicitar una contrasea para importar o exportar una poltica Solicitar una contrasea para desinstalar el cliente
7 8
En el cuadro de texto Confirmar contrasea, vuelva a escribir la contrasea. Haga clic en Aceptar.
232
Captulo
12
Cmo administrar clientes remotos Cmo administrar las ubicaciones para los clientes remotos Cmo habilitar el reconocimiento de la ubicacin para un cliente Cmo agregar una ubicacin a un grupo Cmo cambiar una ubicacin predeterminada Eliminar la ubicacin de un grupo Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos Configurar las opciones de configuracin para una ubicacin Acerca de consolidar las polticas de seguridad para los clientes remotos Acerca de activar las notificaciones para los clientes remotos Cmo personalizar configuraciones de administracin de registros para clientes remotos Cmo administrar el balanceo de carga y el uso mvil para clientes remotos Acerca de la supervisin de clientes remotos
234
Configurar grupos basados en la Ver "Cmo administrar los grupos de clientes" evaluacin del riesgo para la en la pgina 193. seguridad Configurar ubicaciones para grupos de clientes remotos Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235.
Administracin de clientes remotos Cmo administrar las ubicaciones para los clientes remotos
235
Tarea
Configurar la configuracin de comunicacin para las ubicaciones Reforzar sus polticas de seguridad
Descripcin
Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247.
Ver "Acerca de consolidar las polticas de seguridad para los clientes remotos" en la pgina 248.
Activar notificaciones del cliente Ver "Acerca de activar las notificaciones para los clientes remotos" en la pgina 250. Personalizar la configuracin de Ver "Cmo personalizar configuraciones de la administracin del registro del administracin de registros para clientes remotos" cliente en la pgina 251. Administrar el balanceo de carga Ver "Cmo administrar el balanceo de carga y el uso y el uso mvil mvil para clientes remotos" en la pgina 251. Supervisar a los clientes remotos Ver "Acerca de la supervisin de clientes remotos" en la pgina 252.
236
Administracin de clientes remotos Cmo administrar las ubicaciones para los clientes remotos
sin embargo, pueden necesitar ms grupos y ubicaciones. El nmero de diferentes opciones de configuracin de seguridad, de configuracin relacionada con los registros, de configuracin de las comunicaciones y de polticas que usted necesidad determina cuntos grupos y ubicaciones se crean. Algunas de las opciones de configuracin que es posible personalizar para sus clientes remotos son independientes de la ubicacin. Estas opciones se heredan del grupo principal o se configuran independientemente. Si crea un solo grupo para contener a todos los clientes remotos, esta configuracin independiente de la ubicacin es igual para todos los clientes del grupo. La configuracin siguiente es independiente de la ubicacin:
Firma de prevenciones personalizadas contra intrusiones Configuracin de bloqueo del sistema Configuracin de la supervisin de aplicaciones de red Configuracin de la poltica de contenido de LiveUpdate Configuracin de registros de clientes Configuracin de las comunicaciones del servidor-cliente Configuracin relacionada con la seguridad general, incluidos reconocimiento de la ubicacin y proteccin contra intervenciones
Para personalizar cualquiera de estas configuraciones independientes de la ubicacin; por ejemplo, cmo se manejan los registros de los clientes, es necesario crear grupos separados. Cierta configuracin es especfica a las ubicaciones. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Como prctica recomendada, no es necesario permitir que los usuarios desactiven las protecciones siguientes:
Auto-Protect SONAR Para los clientes de una versin anterior, anlisis de amenazas proactivos TruScan Proteccin contra intervenciones Las reglas de firewall que se han creado
Administracin de clientes remotos Cmo administrar las ubicaciones para los clientes remotos
237
Planear ubicaciones
Habilitar reconocimiento Para controlar las polticas que se asignan a los clientes segn de ubicacin la ubicacin desde la que se conectan los clientes, se puede activar el reconocimiento de la ubicacin. Ver "Cmo habilitar el reconocimiento de la ubicacin para un cliente" en la pgina 238. Agregar ubicaciones Es posible aadir ubicaciones a los grupos. Ver "Cmo agregar una ubicacin a un grupo" en la pgina 239. Asignar ubicaciones predeterminadas Todos los grupos deben tener una ubicacin predeterminada. Cuando se instala la consola, solamente hay una ubicacin, llamada Predeterminado. Cuando se crea un nuevo grupo, su ubicacin predeterminada es siempre Predeterminado. Es posible modificar la ubicacin predeterminada ms tarde despus de agregar otras ubicaciones. Se utiliza la ubicacin predeterminada si uno de los siguientes casos ocurren: Una de las varias ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
238
Tareas
Descripcin
Configurar la Es posible tambin configurar las opciones de comunicacin configuracin de entre un servidor de administracin y el cliente segn la comunicaciones para las ubicacin. ubicaciones Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Eliminar ubicaciones Es posible eliminar cualquier ubicacin que sea obsoleta o que ya no sea til en su red. Ver "Eliminar la ubicacin de un grupo" en la pgina 241.
Consulte el artculo de la base de conocimientos Prcticas recomendadas para el reconocimiento de la ubicacin de Symantec Endpoint Protection.
239
1 2 3 4 5
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desea implementar la conmutacin automtica de ubicaciones. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". En Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. En el cuadro de dilogo Configuracin general, en la ficha Configuracin general, en Configuracin de ubicacin, active Recordar la ltima ubicacin. De forma predeterminada, esta opcin est habilitada. Se asigna inicialmente el cliente a la poltica asociada con la ubicacin desde la que el cliente se conect por ltima vez a la red.
Active Activar reconocimiento de ubicacin. De forma predeterminada, se activa el reconocimiento de ubicacin. El cliente se asigna automticamente a la poltica asociada a la ubicacin desde la cual el usuario intenta conectarse a la red.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desea agregar una o ms ubicaciones.
240
En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible agregar ubicaciones solamente a los grupos que no heredan polticas del grupo principal. Es posible tambin hacer clic en Agregar ubicacin para ejecutar al asistente de Agregar ubicacin.
4 5 6 7 8
En la pgina Cliente, en Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, en Ubicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar ubicacin, escriba el nombre y la descripcin de la nueva ubicacin y despus haga clic en Aceptar. A la derecha del cuadro Pasar a esta ubicacin cuando, haga clic en Agregar. En la lista Tipo, seleccione una condicin y despus seleccione la definicin apropiada para la condicin. El equipo cliente pasa a la ubicacin si el equipo tiene los criterios especificados.
10 Para agregar ms condiciones, haga clic en Agregar y despus seleccione 11 Repita los pasos 8 y 9. 12 Haga clic en Aceptar.
241
Una de las varias ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, haga clic en el grupo al cual desee asignar una ubicacin predeterminada diferente. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". En Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, en Ubicaciones, seleccione la ubicacin que desea establecer como ubicacin predeterminada. En Descripcin, active Establecer esta ubicacin como ubicacin predeterminada en caso de conflicto. La ubicacin Predeterminada es siempre la ubicacin predeterminada hasta que se asigne otra al grupo.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo que contiene la ubicacin que desea eliminar. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible eliminar ubicaciones solamente de los grupos que no heredan polticas de sus grupos principales.
242
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno
En el cuadro de dilogo Administrar ubicaciones, en Ubicaciones, seleccione la ubicacin que desea eliminar y despus haga clic en Eliminar. No es posible eliminar la ubicacin configurada como ubicacin predeterminada.
Clientes de la oficina que inician sesin en la oficina. Los clientes remotos que inician sesin en la red corporativa remotamente por VPN. Los clientes remotos que inician sesin en Internet remotamente, pero no por VPN.
Como la ubicacin remota sin conexin VPN es la menos segura, se recomienda siempre hacer que esta ubicacin sea la ubicacin predeterminada. Nota: Si desactiva la herencia del grupo Mi empresa y a continuacin se agregan los grupos, los grupos agregados no heredan las ubicaciones que se configuran para el grupo Mi empresa. Las sugerencias siguientes representan las prcticas recomendadas para la situacin uno. Para configurar la ubicacin de oficina para los clientes situados en la oficina
1 2 3 4 5
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En la ficha Polticas, en Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, haga clic en El cliente puede conectarse con el servidor de administracin de la lista y a continuacin haga clic en Siguiente.
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno
243
6 7 8 9
Haga clic en Finalizar y despus haga clic en Aceptar. En Tareas, haga clic en Administrar ubicaciones y despus seleccione la ubicacin que usted cre. Haga clic en Agregar y despus haga clic en Criterios con relacin Y. En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, haga clic en Tipo de conexin de red. especificado a continuacin.
10 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red 11 En el cuadro de lista inferior, seleccione el nombre del cliente de VPN que su
organizacin usa y despus haga clic en Aceptar.
1 2 3 4 5 6 7 8
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En la ficha Polticas, en Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, haga clic en Tipo de conexin de red. En el cuadro de lista Tipo de conexin, seleccione el nombre del cliente de VPN que su organizacin usa y despus haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Aceptar.
Para configurar la ubicacin remota para los clientes que no inician sesin por VPN
1 2 3 4
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En la ficha Polticas, en Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente.
244
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos
En el cuadro de lista, mantenga No hay ninguna condicin especfica y a continuacin haga clic en Siguiente. Usando esta configuracin, las polticas de esta ubicacin, que deben ser las ms estrictas y ms seguras, se usan como las polticas de la ubicacin predeterminada.
Clientes en la oficina que inician sesin con una conexin de Ethernet. Clientes en la oficina que inician sesin con una conexin inalmbrica.
Simplifica la administracin para dejar a todos los clientes en modo de control de servidor predeterminado. Si desea control granular sobre lo que pueden y no pueden hacer sus usuarios, un administrador experimentado puede usar el control mixto. Una configuracin de control mixto da al usuario final cierto control sobre la configuracin de seguridad, pero se pueden anular sus cambios, si es necesario. El control de cliente permite a los usuarios ampliar el alcance de lo que pueden hacer y de esa forma se convierte en un mayor riesgo para la seguridad de la red. Sugerimos que usted use el control de cliente solamente en las situaciones siguientes:
Si sus usuarios estn bien informados sobre la seguridad del equipo. Si tiene una razn convincente para usarlo.
Nota: Es posible tener algunos clientes que usen las conexiones de Ethernet en la oficina mientras los clientes en la oficina usan conexiones inalmbricas. Por este motivo, usted configura la ltima condicin en el procedimiento para los clientes inalmbricos en la oficina. Esta condicin le permite crear una regla de la poltica de firewall de la ubicacin de Ethernet para bloquear todo el trfico inalmbrico cuando ambas clases de conexiones se usan simultneamente.
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos
245
Para configurar la ubicacin de oficina para los clientes que han iniciado sesin por Ethernet
1 2 3 4 5 6 7 8 9
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, seleccione El cliente puede conectarse con el servidor de administracin y a continuacin haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Aceptar. En Tareas, haga clic en Administrar ubicaciones y despus seleccione la ubicacin que usted cre. Al lado de Pasar a esta ubicacin cuando, haga clic en Agregar y despus seleccione Criterios con relacin Y. haga clic en Tipo de conexin de red.
10 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, 11 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red
especificado a continuacin.
13 Haga clic en Agregar y despus haga clic en Criterios con relacin Y. 14 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo,
haga clic en Tipo de conexin de red.
17 Haga clic en Aceptar para salir del cuadro de dilogo Administrar ubicaciones.
Para configurar la ubicacin de oficina para los clientes que han iniciado sesin con una conexin inalmbrica
1 2
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En Tareas, haga clic en Agregar ubicacin.
246
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos
3 4 5 6 7 8 9
En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, haga clic en El cliente puede conectarse con el servidor de administracin y a continuacin haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Aceptar. En Tareas, haga clic en Administrar ubicaciones y despus seleccione la ubicacin que usted cre. Al lado de Pasar a esta ubicacin cuando, haga clic en Agregar y despus haga clic en Criterios con relacin Y. haga clic en Tipo de conexin de red.
10 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, 11 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red
especificado a continuacin.
13 Haga clic en Agregar y despus haga clic en Criterios con relacin Y. 14 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo,
haga clic en Tipo de conexin de red.
17 Haga clic en Agregar y despus haga clic en Criterios con relacin Y. 18 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo,
haga clic en Tipo de conexin de red.
Administracin de clientes remotos Configurar las opciones de configuracin para una ubicacin
247
El modo de control en el que los clientes ejecutan. La lista de servidores de administracin que los clientes utilizan. El modo de descarga en el que los clientes ejecutan. Permite recopilar una lista de todas las aplicaciones que se ejecutan en los clientes y enviar la lista al servidor de administracin. Los intervalos de latidos que los clientes utilizan para las descargas. Independientemente de si el servidor de administracin calcula aleatoriamente las descargas de contenido del servidor de administracin predeterminado o de un proveedor de actualizaciones de grupo.
Nota: Solamente parte de esta configuracin se puede configurar para clientes Mac. Para configurar las opciones de comunicacin para una ubicacin
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, seleccione un grupo. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas y, despus, anule la seleccin de Usar configuracin de comunicaciones de grupo.
248
Administracin de clientes remotos Acerca de consolidar las polticas de seguridad para los clientes remotos
5 6
Haga clic en Tareas y, despus, en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones para nombre de la ubicacin, modifique la configuracin de la ubicacin especificada solamente. Haga clic en Aceptar.
Deje las polticas predeterminadas aplicadas, de modo que usted no impida que los usuarios remotos utilicen sus equipos. Consolide sus polticas de seguridad predeterminadas para proporcionar ms proteccin para su red, incluso si restringe lo que pueden hacer los usuarios remotos.
En la mayora de las situaciones, se recomienda consolidar sus polticas de seguridad para los clientes remotos. Las polticas se pueden crear como compartidas o no compartidas, y asignar a grupos o a ubicaciones. Una poltica compartida es una que se aplica a cualquier grupo y ubicacin, y puede ser heredada. Una poltica no compartida es una que se aplica solamente a una ubicacin especfica en un grupo. Tpicamente, se recomienda crear polticas compartidas porque hace ms fcil modificar las polticas en varios grupos y ubicaciones. Pero, cuando se necesitan polticas nicas y especficas de la ubicacin, se necesita crearlas como polticas no compartidas o convertirlas a las polticas no compartidas.
Administracin de clientes remotos Acerca de consolidar las polticas de seguridad para los clientes remotos
249
Ubicacin remota La configuracin siguiente se recomienda como prctica donde los usuarios recomendada para la poltica de firewall: inician sesin sin VPN Asigne las polticas de seguridad ms estrictas a los clientes que inician sesin remotamente sin usar VPN. Habilite la proteccin de NetBIOS
Para aumentar la seguridad, tambin bloquee todo el trfico local TCP en los puertos 135, 139 y 445 de NetBIOS.
Ubicacin remota donde los usuarios inician sesin por medio de VPN
La configuracin siguiente se recomienda como prctica recomendada para la poltica de firewall: Deje como estn todas las reglas que bloquean el trfico en todos los adaptadores. No modifique esas reglas. Deje como est la regla que permite el trfico VPN en todos los adaptadores. No modifique esa regla. Para todas las reglas que utilicen la accin Permitir, modifique la columna Adaptador de todos los adaptadores al nombre del adaptador VPN que se utiliza. Habilite la regla que bloquea el resto del trfico.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407.
250
Administracin de clientes remotos Acerca de activar las notificaciones para los clientes remotos
Modifique la configuracin de la poltica de LiveUpdate para utilizar el servidor predeterminado de Symantec LiveUpdate. Esta configuracin permite que los clientes remotos se actualicen siempre que se conectan a Internet. Modifique la configuracin de frecuencia de la programacin de LiveUpdate a una hora para hacer que sea ms probable que los clientes actualicen su proteccin cuando se conectan a Internet.
Para el resto de las ubicaciones, se recomienda utilizar Symantec Endpoint Protection Manager para distribuir actualizaciones de contenido y de software del producto. Un paquete de actualizacin distribuido a travs de la consola de administracin es incremental, en lugar de un paquete completo. Los paquetes de actualizacin son ms pequeos que los paquetes que se descargan directamente del servidor de Symantec LiveUpdate.
Detecciones de intrusiones Es posible activar estas notificaciones usando el servidor especfico de la ubicacin o se puede seleccionar la opcin Control mixto en Configuracin de los controles de la interfaz de usuario del cliente. Es posible personalizar la configuracin en la ficha Configuracin de la interfaz de usuario del cliente. Virus y riesgos para la seguridad Es posible activar estas notificaciones en la poltica de Proteccin antivirus y antispyware.
Activar notificaciones ayuda a asegurarse de que los usuarios remotos sean conscientes de cuando ocurre un problema de seguridad.
Administracin de clientes remotos Cmo personalizar configuraciones de administracin de registros para clientes remotos
251
Los clientes no cargan los registros al servidor de administracin. Los clientes cargan solamente los registros de seguridad de los clientes. Filtre los eventos de registro para cargar solamente eventos especificados. Los eventos sugeridos para cargar incluyen actualizaciones de definiciones o errores secundarios de reparaciones. Ample el tiempo de retencin de registros. Los tiempos de retencin ms extensos permiten revisar ms datos de eventos de polticas antivirus y antispyware.
Nota: Una determinada configuracin de registro del cliente es especfica para un grupo. La configuracin del registro especfico de la ubicacin forma parte de una poltica de proteccin antivirus y antispyware. En funcin de la configuracin del registro que desee personalizar, es posible que sea necesario usar los grupos en lugar de ubicaciones para administrar los clientes remotos. Ver "Ver registros" en la pgina 616.
Configure todos los servidores DNS para los sitios de la organizacin a fin de usar el mismo nombre de dominio. Configure cada servidor DNS para usar la direccin IP del servidor de administracin ms cercano. En Symantec Endpoint Protection Manager, cree una lista de servidores de administracin personalizada para los clientes remotos. La lista debe contener
252
solamente el nombre de dominio completo de los servidores DNS. Asigne la lista al grupo que contiene las ubicaciones para los clientes remotos. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719.
En la pgina principal, vea la Distribucin de definiciones de virus y las Firmas de prevencin de intrusiones, para ver el contenido actualizado. En la pgina principal, vea el Resumen del estado, para ver si las protecciones estn apagadas en los equipos. En la pgina principal, vea los Riesgos por hora, los Ataques por hora y las Infecciones por hora para ver si su red est bajo ataque. Si la red est bajo ataque, en la ficha Resumen de supervisin, vea el resumen de la proteccin contra amenazas de red, que muestra los principales destinos y orgenes de ataques.
Es posible comprobar las pantallas siguientes para supervisar la seguridad de su entorno: Los datos en la pgina principal en las siguientes pantallas representan solamente a los clientes que se conectaron en las ltimas 12 horas o 24 horas:
La configuracin de preferencia de pgina principal determina el perodo durante el cual Symantec Endpoint Protection Manager muestra los datos. Si tiene muchos clientes que estn frecuentemente sin conexin, su mejor opcin de supervisin es ir a los registros y a los informes. En los registros y los informes, filtre los datos para incluir los clientes sin conexin.
Captulo
13
Tipos de polticas de seguridad Cmo realizar tareas que son comunes a todas las polticas de seguridad Acerca de las polticas compartidas y no compartidas Agregar una poltica Copiar y pegar una poltica en la pgina Polticas Copiar y pegar una poltica en la pgina Clientes Editar una poltica Cmo bloquear y desbloquear la configuracin de polticas Asignacin de una poltica a un grupo Cmo probar una poltica de seguridad Reemplazar una poltica Cmo exportar e importar polticas Convertir una poltica compartida en una poltica no compartida Retirar una poltica Cmo eliminar una poltica permanentemente Cmo los equipos cliente obtienen actualizaciones de polticas
254
Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos Guardar los resultados de una bsqueda de aplicaciones
255
256
Tipo de poltica
Poltica de LiveUpdate
Descripcin
La Poltica de contenidos de LiveUpdate y la Poltica de configuracin de LiveUpdate contienen la configuracin que determina cmo y cundo los equipos cliente descargan actualizaciones de contenido de LiveUpdate. Es posible definir los equipos con los que los clientes contactan para comprobar la existencia de actualizaciones y programar cundo y cuntas veces los equipos cliente comprueban si hay actualizaciones. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
La Poltica de control de aplicaciones y dispositivos protege los recursos de un sistema contra aplicaciones y administra los dispositivos perifricos que se pueden conectar a los equipos. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479.
Uso de polticas para administrar seguridad Cmo realizar tareas que son comunes a todas las polticas de seguridad
257
Cmo realizar tareas que son comunes a todas las polticas de seguridad
Es posible administrar sus polticas de seguridad de Symantec Endpoint Protection de varias maneras. Por ejemplo, es posible crear copias de las polticas de seguridad y despus personalizar las copias para sus necesidades especficas. Es posible bloquear y desbloquear la configuracin de modo que los usuarios no puedan cambiarla en el equipo cliente. LaTabla 13-2 describe muchas de las tareas de polticas que se pueden realizar. Tabla 13-2 Tarea
Agregar una poltica
258
Uso de polticas para administrar seguridad Cmo realizar tareas que son comunes a todas las polticas de seguridad
Tarea
Pruebe una poltica
Descripcin
Symantec recomienda siempre probar una poltica nueva antes de usarla en un entorno de produccin. Ver "Cmo probar una poltica de seguridad" en la pgina 266.
De acuerdo con el ancho de banda disponible, se puede configurar un cliente para usar el modo de transferencia o el modo de extraccin como mtodo de actualizacin de polticas. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274.
Es posible reemplazar una poltica compartida con otra poltica compartida. Es posible sustituir la poltica compartida en todas las ubicaciones o en una ubicacin. Ver "Reemplazar una poltica" en la pgina 267.
En vez de aadir una nueva poltica, es conveniente copiar una poltica existente para usar como la base para la nueva poltica. Es posible copiar y pegar las polticas en la pgina Polticas o la ficha Polticas en la pgina Clientes.
Uso de polticas para administrar seguridad Acerca de las polticas compartidas y no compartidas
259
Tarea
Convertir una poltica compartida en una poltica no compartida
Descripcin
Es posible copiar el contenido de una poltica compartida y crear una poltica no compartida de ese contenido. Ver "Acerca de las polticas compartidas y no compartidas" en la pgina 259. Una copia le permite modificar el contenido de una poltica compartida en una ubicacin y no en el resto de las ubicaciones. La copia anula la poltica no compartida existente. Es posible convertir una poltica compartida a una poltica no compartida si la poltica ya no se aplica a todos los grupos o a todas las ubicaciones. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece en Configuracin y polticas especficas de la ubicacin. Ver "Convertir una poltica compartida en una poltica no compartida " en la pgina 269.
Es posible exportar una poltica existente si desea usarla en un sitio diferente. Es posible despus importar la poltica y aplicarla a un grupo o a una ubicacin especfica. Ver "Cmo exportar e importar polticas" en la pgina 268.
Si elimina una poltica, Symantec Endpoint Protection quita la poltica de la base de datos. Si no desea eliminar una poltica, pero ya no desea usarla, la puede retirar. Es posible retirar cualquier tipo de poltica excepto una Poltica de proteccin antivirus y antispyware y una Poltica de configuracin de LiveUpdate. Ver "Retirar una poltica" en la pgina 270.
Si una poltica ya no es til y usted no desea mantenerla en la base de datos, puede eliminarla. Ver "Cmo eliminar una poltica permanentemente" en la pgina 272.
260
Uso de polticas para administrar seguridad Acerca de las polticas compartidas y no compartidas
empresa y los subgrupos de grupo ms bajo pueden heredar las polticas. Es posible tener varias polticas compartidas. Si necesita una poltica especializada para un grupo o una ubicacin determinados, se crea una poltica que sea nica. Se asigna esta poltica nica no compartida a un grupo o ubicacin especficos. Es posible solamente tener una poltica de cada tipo de polticas por ubicacin. Por ejemplo, aqu estn algunas situaciones posibles:
Un grupo de usuarios en Finanzas necesita conectarse a una red de la empresa usando ubicaciones diferentes cuando est en la oficina y en el hogar. Es posible que sea necesario aplicar una poltica de firewall diferente con su propio conjunto de reglas y configuracin a cada ubicacin para ese grupo. Tiene usuarios remotos que usan tpicamente ADSL e ISDN, para los cuales pueden necesitar una conexin VPN. Tiene otros usuarios remotos que quieren cuando utilizar el acceso telefnico cuando se conectan a la red de la empresa. Sin embargo, los grupos de ventas y marketing adems quieren usar conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias polticas de firewall para las ubicaciones desde las cuales se conectan a la red de la empresa. Desea implementar una poltica restrictiva con respecto a la instalacin de aplicaciones no certificadas en la mayora de las estaciones de trabajo de los empleados para proteger la red de la empresa contra ataques. El grupo de TI puede necesitar acceso a aplicaciones adicionales. Por lo tanto, este grupo puede necesitar una poltica de seguridad menos restrictiva que los empleados tpicos. En este caso, es posible crear una poltica de firewall diferente para el grupo de TI.
Tpicamente se agrega cualquier poltica que los grupos y las ubicaciones compartan en la pgina Polticas en la ficha Polticas. Sin embargo, se agrega cualquier poltica que no sea compartida entre grupos y se aplique solamente a una ubicacin especfica en la pgina Clientes. Si decide agregar una poltica en la pgina Clientes, es posible agregar una nueva poltica mediante los siguientes mtodos:
Agregue una nueva poltica. Copie una poltica existente en la cual se basar la nueva poltica. Importe una poltica que fue exportada previamente de otro sitio.
Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
261
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, seleccione un tipo de polticas y despus haga clic en el vnculo para agregar una nueva poltica. Modifique la configuracin de polticas para aumentar o disminuir la proteccin. Haga clic en Aceptar para guardar la poltica. Asigne opcionalmente la nueva poltica a un grupo. Es posible asignar una nueva poltica a un grupo durante una creacin de polticas o despus de ella. La nueva poltica reemplaza la poltica actualmente asignada del mismo tipo de la proteccin. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desee copiar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea copiar.
262
Uso de polticas para administrar seguridad Copiar y pegar una poltica en la pgina Clientes
4 5
En la pgina Polticas, en Tareas, haga clic en Copiar la poltica. En el cuadro de dilogo Copiar poltica, seleccione No volver a mostrar este mensaje si ya no desea ser notificado sobre este proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que est lista para ser pegada. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desee pegar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea pegar. En la pgina Polticas, en Tareas, haga clic en Pegar una poltica.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee copiar una poltica. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin desde la cual desea copiar una poltica. Localice la poltica especfica para la ubicacin que desee copiar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Copiar. Haga clic en Aceptar.
4 5 6
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee pegar una poltica.
263
En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal " nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible pegar una poltica.
4 5 6 7
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee pegar. Localice la poltica especfica para la ubicacin que desee pegar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Pegar. Cuando se le pregunte si desea sobrescribir la poltica existente, haga clic en S.
1 2 3 4 5 6
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de polticas. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea editar. En Tareas, haga clic en Editar la poltica. En el panel Descripcin general de tipo de poltica, edite el nombre y la descripcin de la poltica, si es necesario. Para editar la poltica, haga clic en cualquiera de las pginas Poltica de tipo de poltica para las polticas.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee editar una poltica.
264
Uso de polticas para administrar seguridad Cmo bloquear y desbloquear la configuracin de polticas
En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible editar una poltica.
4 5 6 7
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee editar. Localice la poltica especfica para la ubicacin que desee editar. A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Editar poltica. Realice una de las siguientes tareas:
Para editar una poltica no compartida, vaya al paso 8. Para editar una poltica compartida, en el cuadro de dilogo Editar poltica, haga clic en Editar compartidas para editar la poltica en todas las ubicaciones.
Es posible hacer clic en un vnculo para el tipo de poltica que desee editar.
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. Seleccione una de las opciones pginas:
Auto-Protect Proteccin de descargas Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect SONAR
265
3 4
Haga clic en un icono de un candado para bloquear o desbloquear la opcin correspondiente. Haga clic en Aceptar.
Es posible tambin bloquear y desbloquear la configuracin de la proteccin contra intervenciones y la configuracin de los envos. Ver "Cmo cambiar la configuracin de Proteccin contra intervenciones" en la pgina 396. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
En la instalacin inicial, las polticas de seguridad predeterminadas de Symantec se asignan al grupo principal Mi empresa. Las polticas de seguridad del grupo principal Mi empresa se asignan automticamente a cada grupo secundario creado recientemente. Se reemplaza una poltica en un grupo asignando otra poltica del mismo tipo. Es posible reemplazar una poltica que se asigne al grupo principal Mi empresa o a cualquier grupo secundario.
Los grupos nuevos heredan siempre de su grupo principal inmediato. Si se crea una jerarqua de subgrupos, cada uno hereda de su servidor principal inmediato, no del servidor principal de nivel superior.
266
Uso de polticas para administrar seguridad Cmo probar una poltica de seguridad
La interfaz de usuario en el cuadro de dilogo Asignar poltica transmite la informacin adicional siguiente: Un icono de carpeta indica un grupo.
En un icono de grupo, una marca de verificacin en un crculo verde indica que esta poltica est asignada a todas las ubicaciones en el grupo. En un icono de ubicacin, una marca de verificacin en un crculo verde indica que esta poltica est asignada a esta ubicacin. El texto bloqueado significa que el grupo o la ubicacin hereda su poltica de su grupo principal.
Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para asignar una poltica a un grupo
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, seleccione una poltica y despus haga clic en Asignar la poltica. En el cuadro de dilogo Asignar poltica, seleccione los grupos y despus haga clic en Asignar. Haga clic en Aceptar para confirmar.
1 2
Cree un grupo para usar para la prueba de polticas. Asigne la poltica de prueba al grupo de prueba.
267
Identifique tres o cuatro equipos administrados para usar para la prueba de polticas. Si es necesario, instale el software de cliente en los equipos. Instale los equipos como equipos administrados.
4 5
Mueva los equipos de prueba al grupo de prueba. Efecte las pruebas en los equipos para verificar que funcionen correctamente.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea reemplazar. En el panel Polticas de tipo de poltica, haga clic en la poltica. En la pgina Polticas, en Tareas, haga clic en Reemplazar la poltica. En el cuadro de dilogo Reemplazar poltica de tipo de polticas, en el cuadro de lista Nueva poltica de tipo de polticas, seleccione la poltica compartida que reemplaza el anterior. Seleccione los grupos y las ubicaciones para los que desee reemplazar la poltica existente. Haga clic en Reemplazar. Cuando el sistema le solicite que confirme el reemplazo de la poltica para los grupos y las ubicaciones, haga clic en S.
6 7 8
268
Para reemplazar una poltica compartida o una poltica no compartida para una ubicacin
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee reemplazar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible reemplazar una poltica.
4 5 6 7
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar la ubicacin que contiene la poltica. Al lado de la poltica que desee sustituir, haga clic en Tareas y, despus, en Reemplazar poltica. En el cuadro de dilogo Reemplazar poltica, en el cuadro de lista Nueva poltica, seleccione la poltica del reemplazo. Haga clic en Aceptar.
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea exportar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea exportar.
Uso de polticas para administrar seguridad Convertir una poltica compartida en una poltica no compartida
269
4 5
En la pgina Polticas, en Tareas, haga clic en Exportar la poltica. En el cuadro de dilogo Exportar poltica, localice la carpeta donde desea exportar el archivo de polticas y despus haga clic en Exportar.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee exportar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible exportar una poltica.
4 5 6 7 8
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee exportar. Localice la poltica especfica para la ubicacin que desea exportar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Exportar poltica. En el cuadro de dilogo Exportar poltica, busque la carpeta a la que desea exportar la poltica. En el cuadro de dilogo Exportar poltica, haga clic en Exportar.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea importar. En el panel Polticas de tipo de poltica, haga clic en la poltica que desea importar. En la pgina Polticas, en Tareas, haga clic en Importar una poltica de tipo de poltica. En el cuadro de dilogo Importar poltica, vaya al archivo de polticas que desee importar y haga clic en Importar.
270
poltica compartida en una ubicacin y no en el resto de las ubicaciones. La copia anula la poltica compartida existente. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece en Configuracin y polticas especficas de la ubicacin. Ver "Copiar y pegar una poltica en la pgina Polticas " en la pgina 261. Para convertir una poltica compartida en una poltica no compartida
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, en Ver clientes, seleccione el grupo para el cual desee convertir una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. En la ficha Polticas, anule la seleccin de Heredar las polticas y la configuracin del grupo principal nombre de grupo. Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible reemplazar una poltica.
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin y de la poltica especfica de la ubicacin que desee convertir. Al lado de la poltica especfica, haga clic en Tareas y, a continuacin, en Convertir en poltica no compartida. En el cuadro de dilogo Descripcin general, edite el nombre y la descripcin de la poltica. Modifique la otra configuracin de polticas segn lo desee. Haga clic en Aceptar.
6 7 8 9
271
Nota: Es necesario retirar una poltica de todos los grupos y ubicaciones para eliminarla. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Es posible retirar todas las polticas en la pgina Polticas de una ubicacin o un grupo a excepcin de las siguientes polticas:
Es posible reemplazarla solamente con otra Poltica de proteccin antivirus y antispyware o Poltica de LiveUpdate. Para retirar una poltica compartida en la pgina Polticas
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea retirar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea retirar. En la pgina Polticas, en Tareas, haga clic en Retirar la poltica. En el cuadro de dilogo Retirar poltica, seleccione los grupos y las ubicaciones de los cuales desee retirar la poltica. Haga clic en Retirar. Cuando el sistema le solicite que confirme que desea retirar la poltica para los grupos y las ubicaciones, haga clic en S.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee retirar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible retirar una poltica.
4 5
En Configuracin y polticas especficas de la ubicacin, busque el nombre de la ubicacin para la cual desea retirar una poltica. Localice la poltica para la ubicacin que desee retirar.
272
Uso de polticas para administrar seguridad Cmo eliminar una poltica permanentemente
6 7
Haga clic en Tareas y, despus, en Retirar poltica. En el cuadro de dilogo Retirar poltica, haga clic en S.
1 2
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, seleccione el tipo de poltica que desea eliminar. La poltica se pudo haber asignado a uno o ms grupos y a una o ms ubicaciones.
3 4 5
En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea eliminar. En la pgina Polticas, en Tareas, haga clic en Eliminar la poltica. Cuando se le solicite que confirme que desea eliminar la poltica seleccionada, haga clic en S.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee eliminar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible eliminar una poltica.
Uso de polticas para administrar seguridad Cmo los equipos cliente obtienen actualizaciones de polticas
273
4 5 6
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee eliminar. Localice la poltica especfica para la ubicacin que desea eliminar. A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Retirar poltica. No es posible eliminar una Poltica de proteccin antivirus y antispyware o una Poltica de configuracin de LiveUpdate de una ubicacin. Solo es posible sustituirla por otra poltica.
Haga clic en S.
En cualquier modo, el equipo cliente toma la medida correspondiente basada en el cambio en el estado del servidor de administracin. Dado que necesita una conexin constante, el modo de transferencia necesita una gran cantidad de ancho de banda de red. Los equipos cliente que estn configurados para usar el modo de extraccin necesitan menos ancho de banda. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Un protocolo de latido define la frecuencia con la cual los equipos cliente cargan datos, como entradas de registro, y descargan polticas. El primer latido ocurre inmediatamente despus de que el cliente inicia su equipo. El latido siguiente ocurre en la frecuencia de latidos que el usuario configura. La frecuencia de latidos es un factor clave en el nmero de clientes que cada Symantec Endpoint Protection Manager puede admitir. Si configura una frecuencia
274
Uso de polticas para administrar seguridad Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
de latidos a 30 minutos o menos, se limita el nmero total de clientes que Symantec Endpoint Protection Manager puede admitir. Para la implementacin de 1000 clientes o ms, Symantec recomienda que usted configure la frecuencia de latidos a la cantidad de tiempo mxima posible. Symantec recomienda que se use el intervalo ms largo que an cumpla los requisitos de seguridad de su compaa. Por ejemplo, si desea actualizar polticas de seguridad y reunir registros a diario, entonces, es posible configurar la frecuencia de latidos a 24 horas. Consulte a Symantec Professional Services y a Symantec Enterprise Support para evaluar la configuracin, el hardware y la arquitectura de red adecuados y necesarios para su entorno de red. Nota: Es posible tambin actualizar las polticas manualmente en el equipo cliente. Ver "Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente" en la pgina 276.
Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
Es posible especificar si el servidor de administracin transfiere la poltica a los clientes o si los clientes obtienen la poltica del servidor de administracin. El modo de transferencia es la configuracin predeterminada. Si selecciona el modo de extraccin, de forma predeterminada, los clientes se conectan al servidor de administracin cada 5 minutos, pero es posible modificar este intervalo de latidos predeterminado. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Es posible configurar el modo para un grupo o para una ubicacin. Para configurar el modo de transferencia o el modo de obtencin para un grupo
1 2 3
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo para el cual desee especificar si transferir o extraer las polticas. Haga clic en la ficha Polticas.
Uso de polticas para administrar seguridad Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
275
4 5 6
Anule la seleccin de Heredar polticas y configuracin del grupo principal nombre de grupo. En el panel Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre de grupo, en Descarga, verifique que Descargar polticas y contenido del servidor de administracin est seleccionado. Realice una de las siguientes tareas:
Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y en Intervalo de latidos, configure el nmero de minutos o de horas.
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo para el cual desee especificar si transferir o extraer las polticas. Haga clic en la ficha Polticas. Anule la seleccin de Heredar polticas y configuracin del grupo principal nombre de grupo. En Configuracin y polticas especficas de la ubicacin, en Polticas especficas de la ubicacin para la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. En Configuracin especfica de la ubicacin, a la derecha de Configuracin de comunicaciones, haga clic en Tareas y anule la seleccin Usar configuracin de comunicaciones de grupo. A la derecha de Configuracin de comunicaciones, haga clic en Local: transferir o ( Local: obtener ). Realice una de las siguientes tareas:
7 8
Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y en Intervalo de latidos, configure el nmero de minutos o de horas.
276
Uso de polticas para administrar seguridad Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente
Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente
Es posible actualizar manualmente las polticas y usar los nmeros de serie de polticas para comprobar si sus equipos cliente administrados pueden comunicarse con su servidor de administracin. Si el cliente no recibe la actualizacin, puede haber un problema de comunicacin. Primero, es necesario comprobar el nmero de serie de polticas en el cliente para ver si coincide con el nmero de serie que aparece en la consola. Si el cliente se comunica con el servidor de administracin y recibe actualizaciones de polticas regulares, los nmeros de serie deben coincidir. Si los nmeros de serie de polticas no coinciden, es posible intentar actualizar manualmente las polticas en el equipo cliente y comprobar los registros de la solucin de problemas. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para ver el nmero de serie de polticas en la consola
1 2
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo relevante. La fecha y el nmero de serie de la poltica aparece en la esquina superior derecha de la ventana del programa. Nota: El nmero de serie de polticas y la fecha de polticas adems aparecen en la parte inferior de la lista de detalles en la ficha Detalles.
En el equipo cliente, en el cliente, haga clic en Ayuda > Solucin de problemas. En la ficha Administracin, busque el nmero de serie de polticas. El nmero de serie debe coincidir con el nmero de serie en la consola para el grupo en que el equipo cliente est.
Uso de polticas para administrar seguridad Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
277
1 2 3
En el equipo cliente, en la interfaz de usuario del cliente, haga clic en Ayuda > Solucin de problemas. En el cuadro de dilogo Solucin de problemas, en la columna izquierda, haga clic en Servidor de administracin. En el panel Servidor de administracin, en Perfil de polticas, haga clic en Actualizar.
1 2
En la consola, haga clic en Clientes. En Clientes, haga clic con el botn derecho en un grupo que est configurado para el modo de extraccin y despus haga clic en Ejecutar un comando en el grupo. Los equipos cliente que estn configurados para el modo de transferencia reciben actualizaciones de polticas de forma inmediata, de modo que no es necesario actualizarlo manualmente.
3 4
Haga clic en Actualizar contenido. Compruebe los nmeros de serie de polticas en la consola y en un equipo cliente para ver si los nmeros coinciden.
Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
El cliente Symantec Endpoint Protection de Windows supervisa y recopila informacin sobre las aplicaciones y los servicios que se ejecutan en cada equipo. Puede configurar el cliente para que recopile la informacin en una lista y para enviar la lista al servidor de administracin. La lista de aplicaciones y sus caractersticas se llama aplicaciones reconocidas.
278
Uso de polticas para administrar seguridad Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
Nota: El cliente Mac no supervisa las aplicaciones y los servicios ejecutados en los equipos Mac. El cliente Symantec Network Access Control no registra informacin sobre las aplicaciones que ejecutan los clientes Symantec Network Access Control. La funcin de las aplicaciones reconocidas no est disponible en la consola si instala solo Symantec Network Access Control. Si integra Symantec Network Access Control con Symantec Endpoint Protection, puede utilizar la herramienta de las aplicaciones reconocidas con las Polticas de integridad del host. Es necesario instalar el mdulo de proteccin contra amenazas de red y el mdulo de control de aplicaciones y dispositivos en el cliente para que esta caracterstica funcione. Es posible utilizar esta informacin para descubrir qu aplicaciones estn ejecutando los usuarios. Es posible tambin utilizar la informacin cuando se necesita informacin sobre aplicaciones de las reas siguientes:
Polticas de firewall Polticas de control de aplicaciones y dispositivos Tecnologa de SONAR Para los clientes de una versin anterior, anlisis de amenazas proactivos TruScan Polticas de integridad del host Supervisin de aplicaciones de red Listas de huellas digitales de archivos
Es posible realizar varias tareas para configurar y usar las aplicaciones reconocidas. Tabla 13-3 Pasos
Activar aplicaciones reconocidas
Uso de polticas para administrar seguridad Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
279
Pasos
Buscar aplicaciones
Descripcin
Es posible usar una herramienta de consulta para buscar la lista de aplicaciones que los equipos cliente ejecutan. Es posible buscar en criterios basados en aplicaciones o criterios basados en equipos. Por ejemplo, puede descubrir la versin de Internet Explorer que cada equipo cliente utiliza. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 281. Es posible guardar los resultados de una bsqueda de aplicaciones para revisarlos. Ver "Guardar los resultados de una bsqueda de aplicaciones" en la pgina 283.
Nota: En algunos pases, es posible que no est permitido por ley local utilizar la herramienta de aplicaciones reconocidas en ciertas circunstancias, por ejemplo, para obtener informacin de uso de una aplicacin desde un equipo porttil cuando un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo porttil de la empresa. Antes de utilizar esta herramienta, confirme que est permitido utilizarla para sus propsitos en su jurisdiccin. Si no se permite, siga las instrucciones para desactivar la herramienta.
Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
Es posible habilitar las aplicaciones reconocidas para un grupo o una ubicacin. Los clientes despus realizan un seguimiento de cada aplicacin que se ejecuta y envan esos datos al servidor de administracin. Nota: El cliente Mac no supervisa las aplicaciones y los servicios ejecutados en los equipos Mac. Es posible configurar una notificacin que se enviar a su direccin de correo electrnico cuando cada cliente de un grupo o una ubicacin ejecute una aplicacin. Ver "Cmo configurar notificaciones de administrador" en la pgina 638.
280
Uso de polticas para administrar seguridad Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
Nota: Es posible modificar esta opcin solamente para los subgrupos que no heredan sus polticas y opciones de un grupo principal. Para enviar la lista de aplicaciones reconocidas al servidor de administracin para un grupo
1 2 3 4
En la consola, haga clic en Clientes. En Ver clientes, seleccione un grupo. En la ficha Polticas, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre del grupo, asegrese de que Aprender aplicaciones que se ejecutan en los equipos cliente est seleccionado. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Clientes. En Ver clientes, seleccione un grupo. En Configuracin y polticas especficas de la ubicacin, seleccione la ubicacin y despus expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas y, despus, anule la seleccin de Usar configuracin de comunicaciones de grupo. Esta opcin permite crear una opcin de ubicacin en lugar de una opcin de grupo.
5 6
Haga clic en Tareas y despus haga clic en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones para nombre de la ubicacin, seleccione Aprender aplicaciones que se ejecutan en los equipos cliente. Haga clic en Aceptar.
Ver "Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente" en la pgina 277.
Uso de polticas para administrar seguridad Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
281
Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
Una vez que el servidor de administracin recibe la lista de aplicaciones de los clientes, se pueden ejecutar consultas para descubrir los detalles sobre las aplicaciones. Por ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin no autorizada. Es posible entonces crear una regla de firewall para bloquear la aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente para que utilicen la versin ms actual de Microsoft Word. Es posible usar la tarea Buscar aplicaciones de cualquier tipo de poltica. Nota: El cliente Mac no supervisa las aplicaciones y los servicios ejecutados en los equipos Mac. Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin. Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones especficos, como el nombre, la huella digital de archivos, la ruta, el tamao, la versin o la hora de la ltima modificacin. Por cliente o equipo cliente. Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta. Por ejemplo, es posible buscar la direccin IP del equipo.
Es posible tambin buscar nombres de aplicacin para agregarlos a una regla de firewall, directamente dentro de la poltica de firewall. Ver "Definicin de la informacin sobre aplicaciones" en la pgina 423. Nota: La informacin en el cuadro Buscar no se recopila hasta que se habilita la funcin que realiza un seguimiento de todas las aplicaciones que los clientes ejecutan. Es posible ir a la pgina Clientes, al cuadro de dilogo Configuracin de comunicaciones para cada grupo o ubicacin para habilitar esta funcin. Para buscar la informacin sobre las aplicaciones que ejecutan los equipos
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, en Tareas, haga clic en Buscar aplicaciones. En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar aplicaciones en, haga clic en Examinar.
282
Uso de polticas para administrar seguridad Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
En el cuadro de dilogo Seleccionar grupo o ubicacin, seleccione un grupo de clientes para el cual desee ver aplicaciones y haga clic en Aceptar. Es posible especificar solamente un grupo por vez.
5 6
Asegrese de que Buscar subgrupos est seleccionado. Realice una de las acciones siguientes:
Para buscar informacin por usuario o equipo, haga clic en A partir de informacin del equipo/cliente. Para buscar por aplicacin, haga clic en A partir de aplicaciones.
Haga clic en la celda vaca en Campo de bsqueda y despus seleccione el criterio de bsqueda de la lista. La celda Campo de bsqueda muestra los criterios para la opcin que usted seleccion. Para obtener informacin sobre estos criterios, haga clic en Ayuda.
8 9
Haga clic en la celda vaca en Operador de comparacin y despus seleccione uno de los operadores. Haga clic en la celda vaca en Valor y a continuacin seleccione o escriba un valor. La celda Valor puede proporcionar un formato o un valor de la lista desplegable, de acuerdo con el criterio que usted haya seleccionado en la celda Campo de bsqueda.
11 Haga clic en Buscar. 12 En la tabla Resultados de la consulta, realice una de las siguientes tareas:
Haga clic en las flechas de desplazamiento para ver filas y columnas adicionales. Haga clic en Atrs y Siguiente para ver pantallas de informacin adicionales. Seleccione una fila y despus haga clic en Ver detalles para ver informacin adicional sobre la aplicacin.
13 Para eliminar los resultados de la consulta, haga clic en Borrar todo. 14 Haga clic en Cerrar.
Uso de polticas para administrar seguridad Guardar los resultados de una bsqueda de aplicaciones
283
Ver "Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente" en la pgina 277.
Busque los detalles sobre una aplicacin o un equipo cliente. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 281.
2 3
En el cuadro de dilogo Buscar aplicaciones, en Resultados de la consulta, haga clic en Exportar. En el cuadro de dilogo Exportar resultados, escriba el nmero para la pgina que contiene los detalles de la aplicacin y los detalles del equipo cliente que desee exportar. Seleccione o escriba el nombre de ruta y el nombre de archivo al cual desee exportar el archivo y, luego, haga clic en Exportar. Para confirmar, haga clic en Aceptar. Cuando haya terminado de buscar aplicaciones, haga clic en Cerrar.
4 5 6
284
Uso de polticas para administrar seguridad Guardar los resultados de una bsqueda de aplicaciones
Captulo
14
Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente Cmo reparar riesgos en los equipos en su red Cmo administrar anlisis en los equipos cliente Cmo configurar anlisis programados que se ejecutan en equipos Windows Cmo configurar anlisis programados que se ejecutan en equipos Mac Cmo ejecutar anlisis manuales en equipos cliente Cmo ajustar el anlisis para mejorar rendimiento del equipo Ajuste de anlisis para aumentar la proteccin en sus equipos cliente Cmo administrar las detecciones de Diagnstico Insight de descargas Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response
286
Administracin de proteccin antivirus y antispyware Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente
Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas Cmo administrar la cuarentena Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente
Es posible evitar y manejar ataques de virus y de spyware en los equipos cliente siguiendo algunas instrucciones importantes. Tabla 14-1 Tarea
Asegurarse de que los equipos tengan instalado Symantec Endpoint Protection
Mantener las definiciones actualizadas Asegrese de que las ltimas definiciones de virus estn instaladas en los equipos cliente. Es posible comprobar la fecha de las definiciones en la ficha Clientes. Es posible ejecutar un comando para actualizar las definiciones que son obsoletas. Es posible tambin ejecutar un informe de estado para comprobar la ltima fecha de las definiciones. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Administracin de proteccin antivirus y antispyware Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente
287
Tarea
Ejecutar los anlisis regulares
Descripcin
De forma predeterminada, Auto-Protect y SONAR se ejecutan en los equipos cliente. Un anlisis activo programado predeterminado tambin se ejecuta en los equipos cliente. Es posible ejecutar los anlisis disponibles segn sea necesario. La configuracin del anlisis se puede personalizar. Ver "Cmo ejecutar anlisis manuales en equipos cliente" en la pgina 318. Puede ser recomendable crear y personalizar anlisis programados. Tpicamente, es posible que desee crear un anlisis programado completo para que se ejecute una vez por semana y un anlisis activo que se ejecute una vez por da. De forma predeterminada, Symantec Endpoint Protection genera Active Scan que se ejecuta a las 12:30 p. m. En los equipos no administrados, Symantec Endpoint Protection adems incluye un anlisis de inicio predeterminado que est deshabilitado. Se debe asegurar de que se ejecute un anlisis activo diariamente en los equipos en su red. Puede ser recomendable programar un anlisis completo una vez por semana o una vez al mes si se sospecha que tiene una amenaza inactiva en su red. Los anlisis completo consumen ms recursos del equipo y pueden ejercer un impacto en el rendimiento del equipo. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Mac" en la pgina 317.
288
Administracin de proteccin antivirus y antispyware Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente
Tarea
Descripcin
Comprobar o modificar la configuracin De forma predeterminada, los anlisis de virus y del anlisis para mayor proteccin spyware detectan, quitan y reparan los efectos secundarios de los virus y los riesgos para la seguridad. La configuracin predeterminada de anlisis optimiza el rendimiento de los equipos cliente mientras an proporciona un alto nivel de proteccin. Es posible aumentar el nivel de proteccin, sin embargo. Por ejemplo, puede ser recomendable aumentar la proteccin heurstica de Bloodhound. Adems puede ser que desee habilitar los anlisis de unidades de red. Ver "Ajuste de anlisis para aumentar la proteccin en sus equipos cliente" en la pgina 323. Permitir que los clientes enven informacin sobre detecciones a Symantec Los clientes pueden enviar informacin sobre detecciones a Symantec. La informacin enviada ayuda a Symantec a enfrentar las amenazas. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Ejecutar la prevencin de intrusiones Symantec recomienda que se ejecute la prevencin de intrusiones en los equipos cliente, as como la Proteccin antivirus y antispyware. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Reparar las infecciones si es necesario Una vez que los anlisis se ejecutan, los equipos cliente podran an tener infecciones. Por ejemplo, una nueva amenaza podra no tener una firma, o Symantec Endpoint Protection no pudo quitar totalmente la amenaza. En algunos casos, los equipos cliente necesitan un reinicio para que Symantec Endpoint Protection complete el proceso de limpieza. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289.
Administracin de proteccin antivirus y antispyware Cmo reparar riesgos en los equipos en su red
289
Tarea
Identificar los equipos infectados y en peligro
290
Administracin de proteccin antivirus y antispyware Cmo reparar riesgos en los equipos en su red
Paso
Paso 2
Tarea
Descripcin
Actualizar definiciones Se debe asegurar de que los clientes usen las ltimas definiciones de virus y volver a analizar y spyware. Para los clientes que se ejecutan en equipos Windows, debe adems asegurarse de que sus anlisis programados y manuales usen la funcin Bsqueda de Insight. Es posible comprobar la fecha de las definiciones en el informe Equipos infectados y en riesgo. Es posible ejecutar el comando Actualizar contenido y Analizar del registro de riesgos Cuando Resumen de actividad de virus y riesgos en la pgina principal muestra que las cantidades de An infectado y Recientemente infectado estn en cero, todos los riesgos se eliminan. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Paso 3
Comprobar las acciones Los anlisis podran estar configurados para no aplicar ninguna accin de anlisis y volver a para el riesgo. Puede ser recomendable editar la poltica de proteccin analizar antivirus y antispyware y cambiar la accin para la categora de riesgo. La prxima vez que el anlisis se ejecuta, Symantec Endpoint Protection aplica la accin. Configure la accin en la ficha Acciones para el tipo determinado de anlisis (anlisis definido por el administrador o manual, o Auto-Protect). Es posible tambin cambiar la accin de deteccin para Diagnstico Insight de descargas y SONAR. Ver "Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados" en la pgina 292.
Paso 4
Reiniciar equipos si es Los equipos pueden seguir en riesgo o infectados porque necesitan ser necesario para reiniciados para finalizar la reparacin de un virus o de un riesgo para la completar la reparacin seguridad. Es posible ver el registro de riesgos para determinar si algunos equipos necesitan un reinicio. Es posible ejecutar un comando desde los registros para reiniciar los equipos. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623.
Administracin de proteccin antivirus y antispyware Cmo reparar riesgos en los equipos en su red
291
Paso
Paso 5
Tarea
Descripcin
Investigar y eliminar los Si sigue habiendo riesgos, debe investigarlos ms profundamente. riesgos restantes Tambin puede consultar las pginas web de Symantec Security Response para obtener informacin actualizada sobre virus y riesgos para la seguridad. http://www.symantec.com/es/mx/security_response/ http://www.symantec.com/enterprise/security_response/ En el equipo cliente, se puede tambin acceder al sitio web de Security Response desde el cuadro de dilogo de resultados del anlisis. El Soporte tcnico de Symantec adems ofrece una herramienta experta en amenazas que proporciona rpidamente un anlisis detallado de amenazas. Es posible tambin ejecutar una herramienta de anlisis de punto de carga que pueda ayudarle a solucionar problemas.
Paso 6
Consulte el registro de estado del equipo para asegurarse de que los riesgos se reparen o se quiten de los equipos cliente. Ver "Ver registros" en la pgina 616.
En la consola, haga clic en Inicio y vea el Resumen de actividad de virus y riesgos. Si es administrador del sistema, ver la cantidad de equipos recientemente infectados y an infectados que hay en su sitio. Si es administrador del dominio, ver la cantidad de equipos recientemente infectados y an infectados que hay en su dominio. La categora An infectado es un subconjunto de Recientemente infectado, y la cantidad de equipos an infectados disminuye a medida que elimina los riesgos de la red. Los equipos estn an infectados si un anlisis posterior informa que estn infectados. Por ejemplo, Symantec Endpoint Protection pudo haber limpiado un riesgo de un equipo solo parcialmente, por lo tanto, Auto-Protect an detecta el riesgo.
2 3
En la consola, haga clic en Informes. En el cuadro de lista Tipo de informe, haga clic en Riesgo.
292
Administracin de proteccin antivirus y antispyware Cmo reparar riesgos en los equipos en su red
4 5
En el cuadro de lista Seleccionar un informe, haga clic en Equipos infectados y en riesgo. Haga clic en Crear informe y observe las listas de los equipos infectados y en riesgo que aparecen.
1 2
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro de riesgos y despus haga clic en Ver registro. Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver los nombres de los riesgos que siguen activos. Desde la columna de usuario de grupo de dominio, es posible ver a qu grupo pertenece el equipo. Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es posible que deba modificar la Poltica de proteccin antivirus y antispyware para el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos que an tienen riesgos activos. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Si su poltica se configura para utilizar modo de transferencia, se transfiere a los clientes del grupo en el latido siguiente. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
293
4 5 6
En la ficha Registros, seleccione el registro Estado del equipo y despus haga clic en Ver registro. Si modific una accin y elimin una nueva poltica, seleccione los equipos que necesitan volver a analizarse con la nueva configuracin. Desde el cuadro de lista Comando, seleccione Analizar y despus haga clic en Iniciar para volver a analizar los equipos. Es posible supervisar el estado del comando Analizar desde la ficha Estado del comando.
294
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Tarea
Descripcin
Crear anlisis programados y ejecutar Se utilizan anlisis programados y anlisis anlisis manuales manuales para complementar la proteccin que proporciona Auto-Protect. Auto-Protect proporciona la proteccin cuando lee y escribe los archivos. Los anlisis programados y los anlisis manuales pueden analizar cualquier archivo que exista en los equipos cliente. Pueden tambin proteger memoria, los puntos de carga y otras ubicaciones importantes en sus equipos cliente.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
295
Tarea
Ajustar los anlisis para mejorar el rendimiento de equipo cliente
Descripcin
De forma predeterminada, Symantec Endpoint Protection proporciona un alto nivel de seguridad mientras reduce al mnimo el efecto sobre el rendimiento de equipos cliente. Es posible cambiar parte de la configuracin, sin embargo, para optimizar el rendimiento del equipo an ms. La optimizacin es importante en entornos virtualizados.
296
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Tarea
Configurar las excepciones para los anlisis
Descripcin
Es posible crear las excepciones para los archivos y las aplicaciones que se sabe que son seguras. Symantec Endpoint Protection adems excluye algunos archivos y carpetas automticamente. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Ver "Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware" en la pgina 304.
Es posible supervisar y eliminar los archivos que estn puestos en cuarentena en sus equipos cliente. Es posible tambin especificar la configuracin de cuarentena. Ver "Cmo administrar la cuarentena" en la pgina 338.
De forma predeterminada, los clientes envan informacin sobre detecciones a Symantec. Es posible desactivar los envos o elegir los tipos de informacin que los clientes envan. Symantec recomienda que se permita siempre que los clientes enven envos. La informacin ayuda a Symantec a enfrentar las amenazas. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Administrar las notificaciones de virus Es posible decidir si las notificaciones aparecen y spyware que aparecen en los equipos o no en los equipos cliente para eventos de virus cliente y de spyware. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
297
De forma predeterminada, Symantec Endpoint Protection ejecuta un anlisis activo diariamente a las 12:30 p. m. Symantec Endpoint Protection adems ejecuta un anlisis activo cuando las nuevas definiciones llegan al equipo cliente. En los equipos no administrados, Symantec Endpoint Protection adems incluye un anlisis de inicio predeterminado que est deshabilitado. Se debe asegurar de que se ejecute un anlisis activo diariamente en los equipos en su red. Puede ser recomendable programar un anlisis completo una vez por semana o una vez al mes si se sospecha que tiene una amenaza inactiva en su red. Los anlisis completo consumen ms recursos del equipo y pueden ejercer un impacto en el rendimiento del equipo. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 14-4 Tipo de anlisis
Auto-Protect
Tipos de anlisis
Descripcin
Auto-Protect examinan los archivos y los datos de correo electrnico continuamente cuando se escriben o se leen en un equipo. Auto-Protect neutraliza o elimina automticamente virus detectados y riesgos para la seguridad.
Nota: Los clientes Mac soportan Auto-Protect para el sistema de archivos solamente.
Ver "Acerca de los tipos de Auto-Protect" en la pgina 299. Diagnstico Insight de descargas Diagnstico Insight de descargas impulsa la seguridad de los anlisis de Auto-Protect examinando los archivos cuando los usuarios intentan descargarlos de los navegadores y de otros portales. Diagnstico Insight de descargas usa la informacin de reputacin para tomar decisiones sobre los archivos. Una tecnologa de Symantec que se llama Insight determina la reputacin del archivo. Insight usa no solo el origen de un archivo, sino adems su contexto para determinar la reputacin de un archivo. Insight proporciona una calificacin de seguridad que Diagnstico Insight de descargas usa para tomar decisiones sobre los archivos. Diagnstico Insight de descargas funciona como parte de Auto-Protect y necesita que Auto-Protect est habilitado. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331.
298
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Tipo de anlisis
Descripcin
Anlisis definidos por el Los anlisis definidos por el administrador detectan virus y riesgos para la seguridad administrador examinando los archivos y los procesos en el equipo cliente. Los anlisis definidos por el administrador tambin pueden examinar los puntos de memoria y de carga. Los siguientes tipos de anlisis definidos por el administrador estn disponibles:
Anlisis programados Un anlisis programado se ejecuta en los equipos cliente en las horas sealadas. Cualquier anlisis programado en paralelo se ejecuta secuencialmente. Si un equipo est apagado durante un anlisis programado, el anlisis no se ejecuta a menos que se configure para volver a intentar los anlisis no realizados. Es posible ejecutar un anlisis activo, completo o personalizado.
Nota: Solamente los anlisis personalizados estn disponibles para los clientes Mac.
Es posible guardar su configuracin de anlisis programados como plantilla. Es posible usar cualquier anlisis que se guarde como plantilla como base para otro anlisis. Las plantillas de anlisis pueden ahorrar tiempo cuando configura varias polticas. Una plantilla de anlisis programado est incluida en la poltica de forma predeterminada. El anlisis programado predeterminado analiza todos los archivos y directorios. Anlisis de inicio y anlisis activados Los anlisis de inicio se ejecutan cuando los usuarios inician sesin en los equipos. Los anlisis activados se ejecutan cuando nuevas definiciones de virus se descargan a los equipos.
Nota: Los anlisis de inicio y los anlisis activados estn disponibles solamente para
los clientes Windows.
Anlisis manuales Los anlisis manuales son los anlisis que se ejecutan de forma inmediata cuando se selecciona el comando de anlisis en Symantec Endpoint Protection Manager. Es posible seleccionar el comando de la ficha Clientes o de los registros.
SONAR
SONAR ofrece proteccin en tiempo real contra ataques de da cero. SONAR puede detener ataques incluso antes de que las definiciones basadas en firmas tradicionales detecten una amenaza. SONAR usa datos heursticos y datos de reputacin de archivos para tomar decisiones sobre aplicaciones o archivos. Como los anlisis de amenazas proactivos, SONAR detecta registradores de pulsaciones, spyware y cualquier otra aplicacin que pudiera ser maliciosa o potencialmente maliciosa.
Nota: SONAR se admite solamente en los equipos Windows que ejecutan Symantec
Endpoint Protection versin 12.1 y posterior. Ver "Acerca de SONAR" en la pgina 379.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
299
Tipo de anlisis
Anlisis de amenazas proactivos TruScan
Descripcin
Admitido en los equipos Windows que ejecutan Symantec Endpoint Protection versin 11.x. SONAR no se admite en ningn equipo que ejecute la versin 11.x. Los anlisis de amenazas proactivos TruScan proporcionan proteccin a los clientes de una versin anterior contra ataques de da cero. Los anlisis de amenazas proactivos TruScan determinan si una aplicacin o un proceso exhibe caractersticas de amenazas conocidas. Estos anlisis detectan troyanos, gusanos, registradores de pulsaciones, publicidad no deseada y spyware, y aplicaciones que se usan para propsitos maliciosos. A diferencia de SONAR, que se ejecuta en el tiempo real, los anlisis de amenazas proactivos TruScan se ejecutan en una frecuencia configurada.
300
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Analiza archivos adjuntos y correo electrnico de Internet (POP3 o SMTP) en busca de virus y riesgos para la seguridad; adems realiza el anlisis saliente de la heurstica de correo electrnico. De forma predeterminada, Auto-Protect para el correo electrnico de Internet admite contraseas cifradas y correo electrnico sobre conexiones POP3 y SMTP. Si utiliza POP3 o SMTP con Secure Sockets Layer (SSL), el cliente detecta las conexiones seguras, pero no analiza los mensajes cifrados.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
301
Tipo de Auto-Protect
Auto-Protect para Microsoft Outlook
Descripcin
Analiza los archivos adjuntos y el correo electrnico de Microsoft Outlook (MAPI e Internet) en busca de virus y riesgos para la seguridad Admite Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI e Internet) Si Microsoft Outlook est instalado en el equipo cuando se realiza una instalacin de software de cliente, el software de cliente detecta la aplicacin de correo electrnico. El cliente instala automticamente Auto-Protect para Microsoft Outlook. Si usa Microsoft Outlook mediante MAPI o cliente de Microsoft Exchange y cuenta con Auto-Protect habilitado para correo electrnico, se analizan los archivos adjuntos cuando el usuario abre el archivo adjunto. Si el usuario descarga un archivo adjunto de gran tamao con una conexin lenta, el rendimiento del correo se ver afectado. En el caso de usuarios que reciban con regularidad datos adjuntos extensos, tal vez prefiera deshabilitar esta funcin.
302
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
En clientes Windows, puede cambiar la accin que Symantec Endpoint Protection toma cuando detecta un virus o un riesgo para la seguridad. Las categoras de riesgo para la seguridad son dinmicas y cambian a lo largo del tiempo a medida que Symantec recopila informacin sobre riesgos. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Es posible ver informacin sobre riesgos especficos en el sitio web de Symantec Security Response. Tabla 14-6 Riesgo
Virus
Bots maliciosos de Internet Programas que ejecutan tareas automatizadas por Internet. Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios web. Gusanos Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose de disco a disco, mientras otros se reproducen en la memoria para reducir el rendimiento del equipo. Troyano Programas que se ocultan en algo benigno, por ejemplo, un juego o una utilidad. Amenazas combinadas Amenazas que combinan las caractersticas de virus, gusanos, troyanos y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas usan varios mtodos y tcnicas para propagarse rpidamente y causar dao generalizado. Rootkits Programas que se ocultan del sistema operativo de un equipo.
Publicidad no deseada
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
303
Riesgo
Marcadores
Descripcin
Programas que utilizan un equipo, sin el permiso ni conocimiento del usuario, para realizar llamadas a travs de Internet a un nmero 900 (de pago especial) o a un sitio FTP. Tpicamente, estos nmeros se marcan para acumular gastos.
Herramientas de hackeo Programas que los hackers usan para obtener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se pueden emplear tambin para desarrollar virus. Programas broma Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, un programa de broma podra mover la papelera de reciclaje lejos del mouse cuando el usuario intenta eliminarlo.
Aplicaciones engaosas Aplicaciones que falsifican intencionalmente el estado de seguridad de un equipo. Estas aplicaciones se disfrazan tpicamente como notificaciones de seguridad acerca de cualquier infeccin falsa que debe quitarse. Programas de control para padres Programas que supervisan o limitan el uso del equipo. Los programas pueden ejecutarse sin ser detectados y transmiten tpicamente informacin de supervisin a otro equipo. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, atacarlo o alterar su contenido.
Herramienta de Programas que se usan para recopilar informacin para el acceso evaluacin de seguridad no autorizado a un equipo. Spyware Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, as como detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema del hacker o del controlador.
Programa de seguimiento
304
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware
Cuando Symantec Endpoint Protection detecta la presencia de ciertas aplicaciones de otro fabricante y algunos productos de Symantec, crea automticamente las exclusiones para estos archivos y carpetas. El cliente excluye estos archivos y carpetas de todos los anlisis. Nota: El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que se originara una importante vulnerabilidad del sistema en el equipo. Para mejorar anlisis del rendimiento o reducir las detecciones de falsos positivos, puede excluir los archivos al agregar una excepcin de carpeta o archivo a una poltica de excepciones. Es posible tambin especificar las extensiones de archivo o las carpetas que desea incluir en un anlisis determinado. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523. Advertencia: Los archivos o las carpetas que se excluyen de anlisis no se protegen contra virus y riesgos para la seguridad. Es posible ver las exclusiones que el cliente crea automticamente. Busque en las ubicaciones siguientes del registro de Windows:
En los equipos de 32 bits, consulte HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. En los equipos de 64 bits, consulte HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
305
Microsoft Exchange
Exchange 5.5 Exchange 6.0 Exchange 2000 Exchange 2003 Exchange 2007 Exchange 2007 SP1
Para Exchange 2007, vea la documentacin para el usuario para ver la informacin sobre compatibilidad con software antivirus. En algunas circunstancias, puede ser recomendable crear exclusiones de anlisis para algunas carpetas de Exchange 2007 manualmente. Por ejemplo, en un entorno agrupado, puede ser recomendable crear algunas exclusiones. El software de cliente busca cambios en la ubicacin de los archivos y las carpetas apropiados de Microsoft Exchange a intervalos regulares. Si instala Microsoft Exchange en un equipo donde el software de cliente ya est instalado, se crean las exclusiones cuando el cliente busca cambios. El cliente excluye los archivos y las carpetas; si un solo archivo se mueve desde una carpeta excluida, el archivo permanece excluido. Para obtener ms informacin, consulte el artculo de la base de conocimientos Cmo evitar que Symantec Endpoint Protection analice la estructura de directorios de Microsoft Exchange 2007.
306
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Archivos
Microsoft Forefront
Descripcin
El cliente crea automticamente exclusiones de archivo y de carpeta para los productos siguientes de Microsoft Forefront:
Seguridad del servidor Forefront para Exchange Seguridad del servidor Forefront para SharePoint Gateway de administracin de amenazas de Forefront
Compruebe el sitio web de Microsoft para una lista de exclusiones recomendadas. Adems consulte el artculo de la base de conocimientos del soporte tcnico de Symantec Configuracin de exclusiones de Symantec Endpoint Protection para Microsoft Forefront. Controlador de dominio de Active Directory El cliente crea automticamente exclusiones de archivos y carpetas para los registros, los archivos en funcionamiento y la base de datos del controlador de dominio de Active Directory. El cliente supervisa las aplicaciones que estn instaladas en el equipo cliente. Si el software detecta Active Directory en el equipo cliente, el software crea automticamente las exclusiones. El cliente crea automticamente las exclusiones apropiadas de anlisis de archivos y carpetas para ciertos productos de Symantec cuando se detectan. El cliente crea exclusiones para los productos de Symantec siguientes: Symantec Mail Security 4.0, 4.5, 4.6, 5.0 y 6.0 para Microsoft Exchange Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange Norton AntiVirus 2.x para Microsoft Exchange
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
307
Archivos
Descripcin
Extensiones seleccionadas y En cada tipo de anlisis definido por el administrador o carpetas de Microsoft Auto-Protect, puede seleccionar los archivos que desea que incluya la extensin. Para los anlisis definidos por un administrador, es posible tambin seleccionar los archivos para incluir por carpeta. Por ejemplo, es posible especificar que un anlisis programado analice solamente ciertas extensiones y que los anlisis de Auto-Protect analicen todas las extensiones. En los archivos ejecutables y los archivos de Microsoft Office, Auto-Protect puede determinar un tipo de archivo incluso si un virus cambia la extensin del archivo. De forma predeterminada, Symantec Endpoint Protection analiza todas las extensiones y las carpetas. Cualquier extensin o carpeta de la que anula su seleccin, se excluyen de ese anlisis determinado. Symantec no recomienda que se excluya ninguna extensin del anlisis. Si decide excluir archivos por extensin y algunas carpetas Microsoft, sin embargo, se recomienda considerar la cantidad de proteccin que la red necesita. Se debe adems considerar la cantidad de tiempo y los recursos que los equipos cliente necesitan para completar los anlisis.
308
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Archivos
Excepciones de archivo y carpeta
Descripcin
Use la poltica de excepciones para crear las excepciones para los archivos o las carpetas que desea que Symantec Endpoint Protection excluya de todos los anlisis de virus y spyware.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
309
Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51. Es posible elegir enviar cualquiera de los siguientes tipos de datos:
Reputacin de archivos La informacin sobre los archivos que se detectan segn su reputacin. La informacin sobre estos archivos contribuye a la base de datos de reputacin de Symantec Insight para ayudar a proteger sus equipos contra los riesgos nuevos y emergentes. Detecciones de antivirus Informacin sobre detecciones del anlisis de virus y spyware. Detecciones heursticas avanzadas de antivirus La informacin sobre las amenazas potenciales detectadas por Bloodhound y otra heurstica de anlisis de virus y spyware. Estas detecciones son detecciones silenciosas que no aparecen en el registro de riesgos. La informacin sobre estas detecciones se usa para el anlisis estadstico. Detecciones de SONAR Informacin sobre las amenazas que SONAR detecta, que incluye las detecciones de alto o bajo riesgo, eventos de cambios en el sistema y comportamiento sospechoso de aplicaciones de confianza. Heurstica de SONAR Las detecciones heursticas de SONAR son detecciones silenciosas que no aparecen en el registro de riesgos. Esta informacin se usa para el anlisis estadstico.
En el cliente, se puede tambin enviar manualmente una muestra a la respuesta de la cuarentena o a travs del sitio web de Symantec. Para enviar un archivo por medio del sitio web de Symantec, contacte con el soporte tcnico de Symantec. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331. Ver "Acerca de la aceleracin de envos" en la pgina 309. Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la pgina 380.
310
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
La fecha del archivo de control de datos del envo El porcentaje de los equipos que pueden realizar envos
Symantec publica su archivo de datos de control del envo (SCD) y lo incluye como parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio archivo SCD. El archivo controla la configuracin siguiente:
Cuntos envos un cliente puede realizar en un da Cunto tiempo se debe esperar para que el software de cliente vuelva a intentar envos Cuntas veces se debe volver a intentar un envo con errores Qu direccin IP del servidor de Symantec Security Response recibe el envo
Si el archivo SCD queda obsoleto, los clientes detienen los envos. Symantec considera que el archivo SCD est desactualizado cuando un equipo cliente no ha descargado contenido de LiveUpdate en 7 das. El cliente detiene los envos despus de 14 das. Si los clientes detienen la transmisin de envos, el software de cliente no recopila la informacin de envos y la enva ms tarde. Cuando los clientes se inician para realizar envos de nuevo, envan solamente la informacin sobre los eventos que ocurren despus del reinicio de la transmisin. Los administradores pueden tambin configurar el porcentaje de equipos que pueden realizar envos. Cada equipo cliente determina si debe enviar informacin o no. El equipo cliente selecciona aleatoriamente un nmero de 1 a 100. Si el nmero es inferior o igual al porcentaje configurado en la poltica de ese equipo, el equipo enva informacin. Si el nmero es mayor que el porcentaje configurado, el equipo no enva la informacin.
Poltica equilibrada de proteccin antivirus y antispyware Poltica de seguridad alta de proteccin antivirus y antispyware La poltica de seguridad alta es la ms rigurosa de todas las polticas configurada previamente. Debe tener en cuenta que puede afectar el rendimiento de otras aplicaciones. Poltica de alto rendimiento de proteccin antivirus y antispyware
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
311
La poltica de alto rendimiento proporciona un mejor rendimiento que la poltica de seguridad elevada, pero no proporciona la misma proteccin. La poltica se basa principalmente en Auto-Protect para analizar los archivos con las extensiones de archivo seleccionadas para detectar amenazas. La poltica de proteccin antivirus y antispyware bsica proporciona un buen equilibrio entre seguridad y rendimiento. Tabla 14-8 Configuracin de anlisis de la poltica equilibrada de proteccin antivirus y antispyware Descripcin
Habilitada La sensibilidad de archivos maliciosos de Diagnstico Insight de descargas est configurada en el nivel 5. La accin Diagnstico Insight de descargas para los archivos sin probar es Omitir. Auto-Protect incluye la configuracin siguiente: Analiza todos los archivos en busca de virus y riesgos para la seguridad. Bloquea la instalacin de los riesgos para la seguridad.
Configuracin
Auto-Protect para el sistema de archivos
Limpia los archivos infectados con virus. Hace copia de seguridad de los archivos antes de los repare. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena. Comprueba todos los disquetes en busca de virus de arranque. Registra virus de arranque. Notifica a los usuarios del equipo sobre virus y riesgos para la seguridad.
Habilitada Otros tipos de Auto-Protect incluyen la configuracin siguiente: Analiza todos los archivos, incluso los archivos que estn dentro de archivos comprimidos. Limpia los archivos infectados con virus. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena. Enva un mensaje a los usuarios de los equipos sobre virus y riesgos para la seguridad detectados.
312
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Configuracin
SONAR
Descripcin
Habilitado para clientes de Symantec Endpoint Protection 12.1 y posterior. os clientes de una versiones anteriores usan la configuracin de TruScan. Se habilita TruScan cuando se habilita SONAR. Las detecciones heursticas de alto riesgo se ponen en cuarentena. Registra cualquier deteccin heurstica de bajo riesgo. El modo intenso est deshabilitado. Mostrar alerta despus de la deteccin est deshabilitada. Se configuran las acciones de deteccin de cambios en el sistema en Omitir. Deteccin de comportamiento sospechoso bloquea amenazas de alto riesgo y omite amenazas de bajo riesgo.
Anlisis definidos por El anlisis programado incluye la configuracin predeterminada el administrador siguiente:
Realiza un anlisis activo diariamente a las 12:30 p. m. Se ordena aleatoriamente el anlisis. Analiza todos los archivos y carpetas, incluso los archivos contenido en archivos comprimidos. Analiza la memoria, ubicaciones comunes de infeccin y ubicaciones conocidas de virus y de riesgos para la seguridad. Limpia los archivos infectados con virus. Hace copia de seguridad de los archivos antes de los repare. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena. Vuelve a intentar anlisis no realizados en el plazo de tres das. La Bsqueda de Insight se configura en el nivel 5.
El anlisis manual proporciona la proteccin siguiente: Analiza todos los archivos y carpetas, incluso los archivos contenido en archivos comprimidos. Analiza la memoria y ubicaciones comunes de infeccin.
Limpia los archivos infectados con virus. Hace copia de seguridad de los archivos antes de los repare. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena.
La poltica predeterminada de seguridad alta de proteccin antivirus y antispyware proporciona seguridad de alto nivel e incluye muchas de las opciones de
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
313
configuracin de la poltica de proteccin antivirus y antispyware. La poltica proporciona anlisis creciente. Tabla 14-9 Configuracin de la poltica de seguridad alta de proteccin antivirus y antispyware Descripcin
Lo mismo que la poltica equilibrada de proteccin antivirus y antispyware Auto-Protect adems examina los archivos en los equipos remotos. Lo mismo que la poltica equilibrada de proteccin antivirus y antispyware, pero con los cambios siguientes: Bloquea cualquier evento de cambio en el sistema. Configuracin global Bloodhound se configura en modo intenso.
Configuracin
Auto-Protect para el sistema de archivos y el correo electrnico SONAR
La poltica predeterminada de alto rendimiento de proteccin antivirus y antispyware proporciona rendimiento de alto nivel. La poltica incluye muchas de las opciones de configuracin de la poltica de proteccin antivirus y antispyware. La poltica proporciona seguridad reducida. Tabla 14-10 Configuracin de la poltica de alto rendimiento de proteccin antivirus y antispyware Descripcin
Lo mismo que la poltica equilibrada de proteccin antivirus y antispyware, pero con los cambios siguientes:
Configuracin
Auto-Protect para el sistema de archivos
Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
Deshabilitado
314
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
Configuracin
SONAR
Descripcin
Lo mismo que la poltica de proteccin antivirus y antispyware con los cambios siguientes: Omite cualquier evento de cambio en el sistema. Omite cualquier evento de aplicacin de polticas de comportamiento.
Anlisis definidos por Lo mismo que la poltica de proteccin antivirus y antispyware el administrador excepto la configuracin siguiente:
Cmo Symantec Endpoint Protection controla detecciones de riesgos para la seguridad y virus
Symantec Endpoint Protection usa acciones predeterminadas para controlar la deteccin de virus y riesgos para la seguridad. Es posible cambiar algunos de los valores predeterminados.
Virus De forma predeterminada, el cliente de Symantec Endpoint Protection primero intenta limpiar un archivo infectado por un virus. Si el software de cliente no puede limpiar el archivo, realiza las acciones siguientes:
Mueve el archivo a la Cuarentena en el equipo infectado Niega el acceso al archivo Registra el evento
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
315
De forma predeterminada, el cliente mueve cualquier archivo que infectan los riesgos para la seguridad a la cuarentena del equipo infectado. El cliente tambin intenta quitar o reparar los efectos secundarios del riesgo. Si un riesgo para la seguridad no puede ser puesto en cuarentena y ser reparado, la segunda accin es registrar el riesgo. De forma predeterminada, la Cuarentena contiene un registro de todas las acciones que el cliente realiz. Es posible devolver el equipo cliente al estado que existi antes de que el cliente intentara la eliminacin y la reparacin. En los equipos cliente de Windows, puede deshabilitar el anlisis de Auto-Protect en busca de riesgos para la seguridad. Se recomienda deshabilitar temporalmente el anlisis de Auto-Protect en busca de riesgos para la seguridad si la deteccin de un riesgo para la seguridad puede poner en peligro la estabilidad de un equipo. Otros tipos de anlisis continan detectando el riesgo.
Las detecciones realizadas por SONAR se consideran eventos sospechosos. Se configuran acciones para estas detecciones como parte de la configuracin de SONAR. Ver "Cmo administrar SONAR" en la pgina 381. En equipos cliente de Windows, puede asignar una primera y segunda accin para que Symantec Endpoint Protection tome cuando encuentra riesgos. Es posible configurar diversas acciones para virus y riesgos para la seguridad. Es posible usar diversas acciones para anlisis programados, manuales o de Auto-Protect. Nota: En los equipos cliente de Windows, la lista de tipos de deteccin de riesgos para la seguridad es dinmica y cambia cuando Symantec detecta nuevas categoras. Las nuevas categoras se descargan a la consola o al equipo cliente cuando llegan nuevas definiciones. En los equipos cliente de Mac, puede especificar si desea que Symantec Endpoint Protection repare los archivos infectados que encuentra. Es posible tambin especificar si Symantec Endpoint Protection mueve los archivos infectados que no puede reparar en la cuarentena. Es posible establecer la configuracin de todos los anlisis definidos por el administrador o los anlisis de Auto-Protect. Ver "Cmo administrar la cuarentena" en la pgina 338.
316
Administracin de proteccin antivirus y antispyware Cmo configurar anlisis programados que se ejecutan en equipos Windows
1 2 3 4 5 6
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, haga clic en Crear un nuevo anlisis programado. Haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para este anlisis programado. Haga clic en Anlisis activo, Anlisis completo o Anlisis personalizado.
Administracin de proteccin antivirus y antispyware Cmo configurar anlisis programados que se ejecutan en equipos Mac
317
8 9
Si seleccion Personalizado, en Anlisis, es posible especificar qu carpetas se deben analizar. En Tipos de archivos, haga clic en Analizar todos los archivos o Analizar solo las extensiones seleccionadas. Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos para la seguridad.
13 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.
318
Administracin de proteccin antivirus y antispyware Cmo ejecutar anlisis manuales en equipos cliente
1 2 3 4 5 6 7 8 9
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Mac, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis programados, haga clic en Agregar. En el cuadro de dilogo de Agregar anlisis programados, haga clic en Crear un nuevo anlisis programado y, a continuacin, haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para el anlisis. En Analizar unidades y carpetas, especifique los elementos para analizar. Personalice cualquier configuracin, incluida la prioridad del anlisis. En la ficha Programacin, en Programacin de anlisis, configure la frecuencia y la hora en las cuales el anlisis se debe ejecutar. Si desea guardar este anlisis como plantilla, seleccione Guardar una copia como plantilla de anlisis programado.
Administracin de proteccin antivirus y antispyware Cmo ajustar el anlisis para mejorar rendimiento del equipo
319
El anlisis personalizado utiliza las opciones establecidas para los anlisis manuales en la poltica de proteccin antivirus y antispyware. Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta un anlisis manual, el anlisis se detiene y el equipo cliente se reinicia. El anlisis no se reinicia. Es posible ejecutar un anlisis manual del registro del estado del equipo o de la ficha Clientes en la consola. Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados desde el registro de Estado del equipo. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente" en la pgina 213. Para ejecutar un anlisis manual en los equipos cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En Clientes, haga clic con el botn derecho en los clientes o en el grupo que desea analizar. Realice una de las acciones siguientes:
Haga clic en Ejecutar comando en el grupo > Anlisis. Haga clic en Ejecutar comando en clientes > Anlisis.
En clientes de Windows, seleccione Anlisis activo, Anlisis completo o Anlisis personalizado y, a continuacin, haga clic en Aceptar.
320
Administracin de proteccin antivirus y antispyware Cmo ajustar el anlisis para mejorar rendimiento del equipo
La configuraciones que estn disponibles son diferentes para los equipos de Windows y Mac. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 14-11 Ajustar anlisis para mejorar el rendimiento en los equipos de Windows Descripcin
Es posible ajustar las siguientes opciones para anlisis programados y manuales: Cambiar opciones de ajuste Es posible cambiar el ajuste de anlisis a Mximorendimientodeaplicaciones. Cuando configura un anlisis con estos valores, se puede iniciar el anlisis, pero se ejecuta solamente cuando el equipo cliente est inactivo. Si configura la ejecucin de un anlisis activo cuando llegan nuevas definiciones, es posible que el anlisis no se ejecute por hasta 15 minutos si el usuario est utilizando el equipo. Cambiar el nmero de niveles para analizar archivos comprimidos El nivel predeterminado es 3. Se recomienda cambiar el nivel a 1 2 para reducir el tiempo de anlisis.
Tarea
Modificar las opciones de ajuste y archivos comprimidos para anlisis programados y manuales
Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357.
Administracin de proteccin antivirus y antispyware Cmo ajustar el anlisis para mejorar rendimiento del equipo
321
Tarea
Usar anlisis reanudables
Descripcin
En equipos en la red que tienen grandes volmenes, los anlisis programados se pueden configurar como anlisis reanudables. Una opcin de duracin de anlisis proporciona un perodo especificado para ejecutar un anlisis. Si el anlisis no se completa cuando finaliza la duracin especificada, se reanuda cuando se lleva a cabo el siguiente perodo de anlisis programado. El anlisis se reanuda en el lugar donde se detuvo hasta que se analiza el volumen completo. La opcin de duracin del anlisis se usa tpicamente en los servidores.
Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
322
Administracin de proteccin antivirus y antispyware Cmo ajustar el anlisis para mejorar rendimiento del equipo
Tarea
Descripcin
Permitir que todos los anlisis omitan Los anlisis de virus y spyware incluyen una los archivos de confianza opcin denominada Insight que omite los archivos de confianza. De forma predeterminada, Insight se habilita. Es posible cambiar el nivel de confianza para los tipos de archivos que los anlisis omiten: Symantec y archivos de confianza para la comunidad Este nivel omite los archivos que de confianza de Symantec y la comunidad de Symantec. Archivos de confianza para Symantec Este nivel omite solamente los archivos que son de confianza para Symantec.
Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. Ordenar aleatoriamente anlisis programados En entornos virtualizados donde se implementan varias mquinas virtuales (VM), los anlisis simultneos crean problemas de recursos. Por ejemplo, un nico servidor puede ejecutar 100 VM o ms. Los anlisis simultneos en esas VM consumen a recursos en el servidor. Es posible ordenar aleatoriamente anlisis para limitar el impacto en el servidor. Ver "Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados" en la pgina 360. Usar Memoria cach de conocimientos Memoria cach de conocimientos compartida compartida en entornos virtualizados elimina la necesidad de volver a analizar los archivos que Symantec Endpoint Protection ha determinado que estn limpios. Es posible usar Memoria cach de conocimientos compartida para los anlisis programados y manuales en sus equipos cliente. Memoria cach de conocimientos compartida es una aplicacin aparte que se instala en un servidor dedicado o en un entorno virtualizado. Ver "Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight" en la pgina 373.
Administracin de proteccin antivirus y antispyware Ajuste de anlisis para aumentar la proteccin en sus equipos cliente
323
Modificar la configuracin de archivos Se aplica a Auto-Protect y anlisis manuales. comprimidos Es posible habilitar o deshabilitar la opcin, pero no puede especificar el nivel de archivos comprimidos para analizar. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355.
324
Administracin de proteccin antivirus y antispyware Ajuste de anlisis para aumentar la proteccin en sus equipos cliente
Tabla 14-13
Tarea
Bloquear la configuracin de anlisis
Modificar la configuracin para los Es necesario seleccionar o modificar las siguientes anlisis definidos por el administrador opciones: Rendimiento del anlisis Configure el ajuste del anlisis en Mximo rendimiento de anlisis. La configuracin, sin embargo, puede afectar el rendimiento del equipo cliente. Los anlisis se ejecutan incluso si el equipo no est inactivo. Duracin del anlisis programado De forma predeterminada, los anlisis programados se ejecutan hasta que el intervalo de tiempo especificado caduque y, a continuacin, contina cuando el equipo cliente est inactivo. Es posible configurar la duracin del anlisis en Analizar hasta finalizar. Usar Bsqueda de Insight La Bsqueda de Insight usa la ltima definicin configurada de la nube y la informacin de la base de datos de reputacin de Insight para analizar y tomar decisiones sobre los archivos. Se debe asegurar de que Bsqueda de Insight est habilitada. La configuracin de Bsqueda de Insight es similar a la configuracin de Diagnstico Insight de descargas.
Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357.
Administracin de proteccin antivirus y antispyware Ajuste de anlisis para aumentar la proteccin en sus equipos cliente
325
Tarea
Especificar acciones ms fuertes de deteccin del anlisis
Descripcin
Especifique las acciones Cuarentena, Eliminar o Finalizar para las detecciones.
Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
326
Administracin de proteccin antivirus y antispyware Cmo administrar las detecciones de Diagnstico Insight de descargas
Tarea
Especificar acciones ms fuertes de deteccin del anlisis
Descripcin
Especifique las acciones Cuarentena, Eliminar o Finalizar para las detecciones.
Administracin de proteccin antivirus y antispyware Cmo administrar las detecciones de Diagnstico Insight de descargas
327
Tabla 14-15
Tarea
Aprenda cmo el Diagnstico Insight de descargas usa datos de reputacin para tomar decisiones sobre archivos
Consulte el informe de distribucin de riesgos de descarga para ver las detecciones de Diagnstico Insight de descargas
Es posible usar el informe de distribucin de riesgos de descarga para ver los archivos que el Diagnstico Insight de descargas detect en los equipos cliente. Es posible ordenar el informe por URL, dominio web o aplicacin. Es posible tambin ver si un usuario eligi habilitar un archivo detectado.
Nota: Los detalles del riesgo para una deteccin de Diagnstico Insight de
descargas muestran solamente la primera aplicacin del portal que intent la descarga. Por ejemplo, un usuario puede usar Internet Explorer para intentar descargar un archivo que Diagnstico Insight de descargas detecta. Si el usuario entonces usa Firefox para intentar descargar el archivo, los detalles del riesgo muestran Internet Explorer como el portal. Los archivos permitidos por el usuario que aparecen en el informe pueden indicar detecciones de falsos positivos. Es posible tambin especificar que se desea recibir notificaciones por correo electrnico sobre nuevas descargas permitidas por el usuario. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Los usuarios pueden permitir los archivos respondiendo a las notificaciones que aparecen para las detecciones. Los administradores reciben el informe como parte de un informe semanal que Symantec Endpoint Protection Manager genera y enva por correo electrnico. Es necesario especificar una direccin de correo electrnico para el administrador durante la instalacin o configurarlo como parte de las propiedades del administrador. Es posible tambin generar el informe desde la ficha Informes en la consola. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610.
328
Administracin de proteccin antivirus y antispyware Cmo administrar las detecciones de Diagnstico Insight de descargas
Tarea
Cree excepciones para archivos especficos o dominios web
Descripcin
Es posible crear una excepcin para una aplicacin que los usuarios descargan. Es posible tambin crear una excepcin para un dominio web especfico que considera confiable. Ver "Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan" en la pgina 526. Ver "Exclusin de un dominio web de confianza de anlisis" en la pgina 527.
Administracin de proteccin antivirus y antispyware Cmo administrar las detecciones de Diagnstico Insight de descargas
329
Tarea
Personalizar la configuracin de Diagnstico Insight de descargas
Descripcin
330
Administracin de proteccin antivirus y antispyware Cmo administrar las detecciones de Diagnstico Insight de descargas
Tarea
Descripcin
Es posible que desee personalizar la configuracin de Diagnstico Insight de descargas por los siguientes motivos: Aumentar o disminuir el nmero de detecciones de Diagnstico Insight de descargas. Es posible ajustar el control deslizante de susceptibilidad del archivo malicioso para aumentar o disminuir el nmero de detecciones. En niveles de sensibilidad ms bajos, el Diagnstico Insight de descargas detecta menos archivos como maliciosos y ms archivos como sin probar. Menos detecciones son detecciones de falsos positivos. En niveles de sensibilidad ms altos, el Diagnstico Insight de descargas detecta ms archivos como maliciosos y menos archivos como sin probar. Ms detecciones son detecciones de falsos positivos. Cambiar la accin para las detecciones maliciosas o de archivo sin probar. Es posible cambiar cmo el Diagnstico Insight de descargas controla los archivos maliciosos o sin probar. La accin especificada afecta no solo la deteccin sino tambin si los usuarios pueden interaccionar con la deteccin. Por ejemplo, es posible que cambie la accin para los archivos sin probar a Omitir. A continuacin, el Diagnstico Insight de descargas habilita los archivos sin probar y no alerta al usuario. Alerta a los usuarios sobre detecciones de Diagnstico Insight de descargas. Cuando se habilitan las notificaciones, la configuracin de la susceptibilidad de archivos maliciosos afecta el nmero de notificaciones que reciben los usuarios. Si aumenta la susceptibilidad, aumenta el nmero de notificaciones de usuario porque se incrementa la cantidad total de detecciones. Es posible desactivar las notificaciones, de modo que los usuarios no tengan una opcin cuando el Diagnstico Insight de descargas realiza una deteccin. Si mantiene las notificaciones habilitadas, puede configurar la accin para archivos sin probar en Omitir, de modo que estas detecciones estn siempre permitidas y no notifiquen a los usuarios. Sin importar si las notificaciones estn habilitadas, cuando Diagnstico Insight de descargas detecta un archivo sin probar y la accin es Solicitud, el usuario puede permitir o bloquear el archivo. Si el usuario permite el archivo, el archivo se ejecuta de forma automtica. Cuando se habilitan las notificaciones y Diagnstico Insight de descargas pone en cuarentena un archivo, el usuario puede deshacer la accin de cuarentena y permitir el archivo.
Administracin de proteccin antivirus y antispyware Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos
331
Tarea
Descripcin
se ejecuta de forma automtica. El usuario puede ejecutar el archivo desde la carpeta temporal de Internet. La ubicacin de la carpeta es, por lo general, Unidad:\\Documents and Settings\username\Local Settings\Temporary Internet Files. Ver "Cmo personalizar la configuracin de Diagnstico Insight de descargas" en la pgina 365.
Permite que los clientes enven informacin sobre detecciones de reputacin a Symantec
De forma predeterminada, los clientes envan informacin sobre detecciones de reputacin a Symantec. Symantec recomienda que habilite los envos para detecciones de reputacin. La informacin ayuda a Symantec a enfrentar las amenazas. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos
Symantec recopila informacin sobre los archivos de su comunidad global de millones de usuarios y de Global Intelligence Network. La informacin recopilada forma una base de datos de reputacin que Symantec alberga. Los productos de Symantec aprovechan la informacin para proteger los equipos cliente contra amenazas nuevas, dirigidas y que se transforman. Se hace referencia a los datos a veces como que estn en la nube, ya que no residen en el equipo cliente. El equipo cliente debe solicitar o consultar la base de datos de reputacin. Symantec usa una tecnologa llamada Insight para determinar el nivel de riesgo o de calificacin de seguridad de cada archivo. Insight determina la calificacin de seguridad de un archivo examinando las caractersticas siguientes del archivo y de su contexto:
El origen del archivo Cmo es el nuevo archivo Qu tan frecuente es el archivo en la comunidad Otras medidas de seguridad, por ejemplo, cmo el archivo se podra asociar a software malicioso
Las funciones de anlisis en Symantec Endpoint Protection aprovechan Insight para tomar decisiones sobre los archivos y las aplicaciones. La Proteccin antivirus y antispyware incluye una funcin que se llama Diagnstico Insight de descargas.
332
Administracin de proteccin antivirus y antispyware Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection
Diagnstico Insight de descargas se basa en la informacin de reputacin para hacer detecciones. Si deshabilita operaciones de bsqueda de la penetracin, Diagnstico Insight de descargas ejecuta pero no puede hacer detecciones. Otras funciones de proteccin, tales como Bsqueda de Insight y SONAR, usan la informacin de reputacin para hacer detecciones; sin embargo, esas funciones pueden usar otras tecnologas para hacer detecciones. De forma predeterminada, un equipo cliente enva informacin sobre detecciones de reputacin a Symantec Security Response para un anlisis. La informacin ayuda a perfeccionar la base de datos de reputacin de Insight. Cuantos ms clientes enven informacin, ms til ser la base de datos de reputacin. Es posible deshabilitar el envo de informacin de reputacin. Symantec recomienda, sin embargo, que se mantengan habilitados los envos. Los equipos cliente adems presentan otros tipos de informacin sobre detecciones a Symantec Security Response. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection" en la pgina 332. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Administracin de proteccin antivirus y antispyware Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection
333
Tabla 14-16
Funcin de poltica
Proteccin de descargas
Diagnstico Insight de descargas tiene las dependencias siguientes: Auto-Protect debe estar habilitado. Si deshabilita Auto-Protect, Diagnstico Insight de descargas no puede funcionar incluso si se habilita Diagnstico Insight de descargas. Las Bsquedas de Insight se deben habilitar Symantec recomienda que se mantenga la opcin de las Bsqueda de Insight habilitada. Si deshabilita la opcin, deshabilita Diagnstico Insight de descargas totalmente.
334
Administracin de proteccin antivirus y antispyware Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection
Funcin de poltica
Bsqueda de Insight
Notas de interoperabilidad
Usa Bsquedas de Insight Bsqueda de Insight usa las ltimas definiciones de la nube y de la base de datos de reputacin de Insight para tomar decisiones sobre los archivos. Si deshabilita las Bsquedas de Insight, Bsqueda de Insight usa las ltimas definiciones solamente para tomar decisiones sobre los archivos. Bsqueda de Insight tambin usa la opcin Confiar automticamente en cualquier archivo descargado de un sitio web de intranet.
Auto-Protect debe estar habilitado. Si deshabilita Auto-Protect, SONAR pierde cierta funcionalidad de deteccin y parece funcionar incorrectamente en el cliente. SONAR puede detectar amenazas heursticas, sin embargo, incluso si se deshabilita Auto-Protect. Las Bsquedas de Insight se deben habilitar. Sin las Bsquedas de Insight, SONAR puede ejecutarse, pero no puede hacer detecciones. En algunos casos raros, SONAR puede hacer detecciones sin las Bsquedas de Insight. Si Symantec Endpoint Protection ha ocultado previamente la informacin de la reputacin sobre archivos determinados, SONAR puede usar la informacin de la memoria cach. Prevencin contra intrusiones de navegador Proteccin de descargas debe estar instalado. Diagnstico Insight de descargas puede estar habilitado o deshabilitado.
Administracin de proteccin antivirus y antispyware Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response
335
Funcin de poltica
Notas de interoperabilidad
Excepcin de dominio web de confianza Proteccin de descargas debe estar instalado. Cuando crea una excepcin de dominio web de confianza, la excepcin se aplica solamente si Proteccin de descargas est instalado.
Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
336
Administracin de proteccin antivirus y antispyware Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response
1 2 3 4
En la consola, seleccione Clientes y luego haga clic en la ficha Polticas. En el panel Configuracin, haga clic en Configuracin de comunicaciones externas. Haga clic en la ficha Envos. Si desea permitir a sus equipos cliente enviar datos para el anlisis, seleccione Permitir que los equipos reenven automticamente informacin de seguridad annima seleccionada a Symantec. Para deshabilitar los envos para el cliente, anule la seleccin de Permitir que los equipos reenven automticamente informacin de seguridad annima seleccionada a Symantec. Si deshabilita los envos para un cliente y bloquea la configuracin, el usuario no puede configurar el cliente para hacer envos. Si los habilita, selecciona sus tipos de envos y bloquea la configuracin, el usuario no puede cambiar su configuracin elegida. Si no bloquea su configuracin, el usuario puede cambiar la configuracin segn lo desee. Symantec recomienda que se enve informacin de amenazas para ayudar a Symantec a proporcionar proteccin contra amenazas personalizada. Sin embargo, es posible que sea necesario deshabilitar esta funcin en respuesta a problemas de ancho de banda de la red o una restriccin en los datos que salen del cliente. Es posible seleccionar Actividad del cliente para ver la actividad de los envos del registro si necesita supervisar su uso del ancho de banda. Ver "Ver registros" en la pgina 616.
Reputacin de archivos La informacin sobre los archivos que se detectan segn su reputacin. La informacin sobre estos archivos contribuye a la base de datos de reputacin de Symantec Insight para ayudar a proteger sus equipos contra los riesgos nuevos y emergentes. Detecciones de antivirus Informacin sobre detecciones del anlisis de virus y spyware. Detecciones heursticas avanzadas de antivirus La informacin sobre las amenazas potenciales detectadas por Bloodhound y otra heurstica de anlisis de virus y spyware. Estas detecciones son detecciones silenciosas que no aparecen en el registro de riesgos. La informacin sobre estas detecciones se usa para el anlisis estadstico.
Administracin de proteccin antivirus y antispyware Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas
337
Detecciones de SONAR Informacin sobre las amenazas que SONAR detecta, que incluye las detecciones de alto o bajo riesgo, eventos de cambios en el sistema y comportamiento sospechoso de aplicaciones de confianza. Heurstica de SONAR Las detecciones heursticas de SONAR son detecciones silenciosas que no aparecen en el registro de riesgos. Esta informacin se usa para el anlisis estadstico.
Seleccione Permitir bsquedas de Insight para la deteccin de amenazas para permitir que Symantec Endpoint Protection use la base de datos de reputacin de Symantec Insight para tomar decisiones sobre amenazas. Las Bsquedas de Insight se habilitan de forma predeterminada. Es posible deshabilitar esta opcin si no desea permitir que Symantec Endpoint Protection consulte la base de datos de reputacin de Symantec Insight. Diagnstico Insight de descargas, Bsqueda de Insight y SONAR usan las Bsquedas de Insight para la deteccin de amenazas. Symantec recomienda que se permitan las Bsquedas de Insight. Deshabilitar las bsquedas deshabilita Diagnstico Insight de descargas y puede empeorar la funcionalidad de la heurstica de SONAR y de Bsqueda de Insight.
Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas
Es posible configurar un servidor proxy para los envos y otras comunicaciones externas que sus clientes Windows usan. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Nota: Si sus equipos cliente usan un proxy con la autenticacin, deber especificar las excepciones de dominio web de confianza para las direcciones URL de Symantec. Las excepciones permiten a sus equipos cliente comunicarse con Symantec Insight y otros sitios importantes de Symantec. Para obtener informacin sobre las excepciones recomendadas, consulte el artculo relacionado de la base de conocimientos del soporte tcnico de Symantec Technical Support Knowledge Base article. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
338
Para configurar un servidor proxy para los envos de los clientes y otras comunicaciones externas
1 2 3 4
En la consola, en la pgina Clientes, seleccione el grupo y despus haga clic en Polticas. En Configuracin o Configuracin especfica de la ubicacin, haga clic en Comunicaciones externas. En la ficha Servidor proxy (Windows), en Configuracin del proxy HTTPS, seleccione Utilizar configuracin de proxy personalizada. Especifique la informacin sobre el servidor proxy que sus clientes usan. Consulte la ayuda en pantalla para obtener ms informacin sobre las opciones. Haga clic en Aceptar.
339
Tarea
Eliminar archivos en cuarentena
Descripcin
Es posible eliminar un archivo en cuarentena si existe una copia de seguridad o si tiene una copia del archivo de un origen confiable. Es posible eliminar un archivo en cuarentena directamente en el equipo infectado o con el registro de riesgo en la consola de Symantec Endpoint Protection. Ver "Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente" en la pgina 344.
Configurar cmo Symantec Endpoint Protection vuelve a analizar los elementos en cuarentena cuando llegan las nuevas definiciones
De forma predeterminada, Symantec Endpoint Protection vuelve a analizar los elementos cuando llegan nuevas definiciones. Repara y restaura automticamente los elementos de manera silenciosa. Tpicamente, es necesario guardar la configuracin predeterminada, pero puede cambiar la accin de repeticin del anlisis en funcin de las necesidades. Ver "Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones" en la pgina 343.
340
Tarea
Descripcin
Especificar cmo los clientes Symantec Endpoint Protection permite a los usuarios enviar envan informacin sobre los archivos infectados o sospechosos y los efectos elementos en cuarentena secundarios relacionados a Symantec Security Response para realizar un anlisis adicional. Cuando los usuarios envan informacin, Symantec puede refinar su deteccin y reparacin. Es posible habilitar las detecciones basadas en firmas en cuarentena para que se envan de la Cuarentena local a un servidor de Cuarentena central. Las detecciones de reputacin en la cuarentena local no se pueden enviar a un servidor de Cuarentena central. Es necesario configurar el cliente para que enve elementos si usted utiliza un servidor de Cuarentena central en su red de seguridad. El servidor de Cuarentena central puede enviar la informacin a Symantec Security Response. La informacin que los clientes envan ayuda a Symantec a determinar si una amenaza detectada es verdadera. Los archivos enviados a Symantec Security Response se convierten en propiedad de Symantec Corporation. En ciertos casos, los archivos se comparten con la comunidad de antivirus. Si Symantec comparte los archivos, Symantec utiliza el cifrado estndar de la industria y puede mantener los datos annimos para ayudar a proteger la integridad del contenido y su privacidad. Ver "Cmo configurar clientes para enviar elementos en cuarentena a un servidor de Cuarentena central o a Symantec Security Response" en la pgina 343.
341
Tarea
Descripcin
Administrar el De forma predeterminada, la cuarentena almacena archivos almacenamiento de archivos en cuarentena, reparados y de copia de seguridad en una en cuarentena carpeta predeterminada. Elimina automticamente los archivos despus de 30 das. Es posible administrar el almacenamiento de elementos en cuarentena de las siguientes maneras: Especifique una carpeta local para almacenar los archivos en cuarentena. Es posible usar la carpeta predeterminada o una carpeta que elija. Ver "Cmo especificar una carpeta de cuarentena local" en la pgina 341. Especifique cuando los archivos se eliminan automticamente. La cuarentena elimina automticamente los archivos una vez que transcurre un nmero especificado de das. Tambin es posible configurar la cuarentena para eliminar los archivos cuando la carpeta donde estn almacenados alcanza un tamao especificado. Es posible configurar los valores individualmente para archivos reparados, archivos de copia de seguridad y archivos en cuarentena. Ver "Especifique cuando los archivos en cuarentena se eliminan automticamente" en la pgina 342.
1 2
En la pgina Poltica de proteccin antivirus y antispyware, haga clic en Cuarentena. En la ficha Otros, en Opciones locales de cuarentena, haga clic en Especifique la carpeta de cuarentena.
342
En el cuadro de texto, escriba el nombre de una carpeta local en los equipos cliente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, es posible escribir %COMMON_APPDATA%, pero las rutas relativas no se permiten. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3 4
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Cuarentena. En la ficha Limpieza, en Archivos reparados, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos reparados. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das. Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la carpeta en y escriba el tamao de carpeta mximo permitido, en megabytes. La configuracin predeterminada es 50 MB. En Archivos de copia de seguridad, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos de copia de seguridad. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la carpeta en y escriba el tamao de carpeta mximo permitido, en megabytes. El valor predeterminado es 50 MB.
5 6 7
343
En Archivos en cuarentena, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos en cuarentena que no se pudieron reparar. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das. carpeta en y escriba el tamao de carpeta mximo permitido, en megabytes. El valor predeterminado es 50 MB.
Cmo configurar clientes para enviar elementos en cuarentena a un servidor de Cuarentena central o a Symantec Security Response
Los clientes pueden enviar automticamente elementos en cuarentena a un servidor de Cuarentena central. Es posible tambin permitir que los usuarios en los equipos cliente envan manualmente elementos en cuarentena directamente a Symantec Security Response. Ver "Cmo administrar la cuarentena" en la pgina 338. Para configurar clientes para enviar elementos en cuarentena
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Cuarentena. En Elementos en cuarentena, realice una o ambas acciones siguientes:
Seleccione Permitir que los equipos cliente enven automticamente elementos de la cuarentena a un servidor de cuarentena. Escriba el nombre del Servidor de cuarentena. Escriba el nmero de puerto que desea utilizar y seleccione el nmero de segundos para reintentar la conexin. Seleccione Permitir que los equipos cliente enven manualmente elementos de la cuarentena a Symantec Security Response.
Cuando haya terminado de establecer la configuracin para esta poltica, haga clic en Aceptar.
Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones
Es posible configurar acciones que desea realizar cuando los equipos cliente reciben nuevas definiciones. De forma predeterminada, el cliente vuelve a analizar los
344
elementos en cuarentena y los repara y restaura automticamente. Por lo general, debe utilizar siempre esta configuracin. Si cre una excepcin para un archivo o una aplicacin en la cuarentena, Symantec Endpoint Protection restaura el archivo una vez que llegan las nuevas definiciones. Ver "Cmo administrar la cuarentena" en la pgina 338. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. Para configurar cmo la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Cuarentena. En la ficha General, en Cuando lleguen nuevas definiciones de virus, haga clic en una de las siguientes opciones:
Reparar y restaurar automticamente los archivos de la cuarentena de forma silenciosa Reparar los archivos de la cuarentena de forma silenciosa sin restaurarlos Preguntar al usuario No hacer nada
Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente
Es posible usar el registro de riesgos en la consola de Symantec Endpoint Protection Manager para eliminar los archivos en cuarentena en sus equipos cliente. Se ejecuta el comando Eliminar de Cuarentena del registro para cualquier archivo en cuarentena que desee eliminar. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Si Symantec Endpoint Protection detecta riesgos en un archivo comprimido, el archivo comprimido se coloca totalmente en cuarentena. Sin embargo, el registro de riesgos contiene una entrada separada para cada archivo del archivo comprimido. Para eliminar correctamente todos los riesgos en un archivo comprimido, es necesario seleccionar todos los archivos en el archivo comprimido.
Administracin de proteccin antivirus y antispyware Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
345
Para usar el registro de riesgos para eliminar los archivos de cuarentena en sus equipos cliente
1 2 3
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro de Riesgos y despus haga clic en Ver registro. Realice una de las acciones siguientes:
Seleccione una entrada del registro que tenga un archivo que se haya puesto en cuarentena. Seleccione todas las entradas de los archivos del archivo comprimido. Todas las entradas del archivo comprimido deben estar en la vista del registro. Es posible utilizar la opcin Lmite de Configuracin avanzada para aumentar el nmero de entradas en la vista.
4 5 6 7
Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Start(Iniciar). En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
Es posible decidir si las notificaciones aparecen o no en los equipos cliente para eventos de virus y de spyware. Es posible personalizar mensajes sobre detecciones. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293.
346
Administracin de proteccin antivirus y antispyware Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
Tabla 14-18
Notificacin de usuario
Cmo personalizar un mensaje de deteccin del anlisis
Administracin de proteccin antivirus y antispyware Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
347
Notificacin de usuario
Cambiar la configuracin para las notificaciones de usuario sobre las detecciones de SONAR Elegir si mostrar o no el cuadro de dilogo de resultados de Auto-Protect
Descripcin
Es posible cambiar qu notificaciones reciben los usuarios sobre las detecciones de SONAR. Ver "Cmo administrar SONAR" en la pgina 381. Se aplica solamente a equipos cliente Windows. Se aplica solamente a Auto-Protect para el sistema de archivos. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357.
Se aplica solamente a equipos cliente Windows. Cuando los anlisis del correo electrnico de Auto-Protect encuentran un riesgo, Auto-Protect puede enviar notificaciones por correo electrnico para alertar al remitente del correo electrnico y a cualquier otra direccin de correo electrnico que se especifique. Es posible tambin insertar una advertencia en el mensaje de correo electrnico. Para Auto-Protect para correo electrnico de Internet, puede tambin especificar que aparezca una notificacin sobre el progreso del anlisis cuando Auto-Protect analiza un correo electrnico. Ver "Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows" en la pgina 356.
348
Administracin de proteccin antivirus y antispyware Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
Notificacin de usuario
Descripcin
Permitir a los usuarios ver el progreso Se aplica solamente a equipos cliente Windows. de los anlisis e iniciar o detener los Es posible configurar que aparezca o no el cuadro anlisis de dilogo de progreso del anlisis. Es posible configurar que los usuarios puedan o no interrumpir o retrasar los anlisis. Cuando permite que los usuarios vean el progreso del anlisis, un vnculo al cuadro de dilogo de progreso del anlisis aparece en las pginas principales de la interfaz de usuario del cliente. Un vnculo para reprogramar el anlisis programado siguiente tambin aparece. Ver "Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis" en la pgina 369. Configurar advertencias, errores e indicaciones Se aplica solamente a equipos cliente Windows. Es posible habilitar o deshabilitar varios tipos de alertas que aparecen en los equipos cliente sobre los eventos de Proteccin antivirus y antispyware. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362.
Captulo
15
Personalizacin de anlisis
En este captulo se incluyen los temas siguientes:
Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac Cmo personalizar Auto-Protect para los clientes Windows Cmo personalizar Auto-Protect para los clientes Mac Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados Modificacin de la configuracin de anlisis global para clientes Windows Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows Cmo personalizar la configuracin de Diagnstico Insight de descargas Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis
350
Personalizacin de anlisis Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows
Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows Cmo administrar Symantec Endpoint Protection en entornos virtuales
Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows
Es posible personalizar las opciones para los anlisis definidos por el administrador (programados y manuales) que se ejecutan en los equipos Windows. Es posible tambin personalizar las opciones para Auto-Protect. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 15-1 Tarea
Personalizar la configuracin de Auto-Protect
Medidas que Auto-Protect toma cuando realiza una deteccin Las notificaciones de usuario para las detecciones de Auto-Protect Es posible tambin habilitar o deshabilitar el cuadro de dilogo Resultados del anlisis para los anlisis de Auto-Protect del sistema de archivos. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows" en la pgina 356.
Personalizacin de anlisis Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows
351
Tarea
Personalizar anlisis definidos por el administrador
Descripcin
Es posible personalizar los siguientes tipos de opciones para anlisis programados y manuales.
Archivos comprimidos Opciones de ajuste Bsqueda de Insight Opciones de programacin avanzada Notificaciones de usuario sobre detecciones
Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Es posible tambin personalizar acciones del anlisis. Ajustar configuracin de descarga de Insight Se recomienda ajustar la susceptibilidad de archivo malicioso para aumentar o disminuir el nmero de detecciones. Es posible tambin modificar las acciones para detecciones y las notificaciones de usuario para detecciones. Ver "Cmo personalizar la configuracin de Diagnstico Insight de descargas" en la pgina 365. Personalizar las acciones de anlisis Es posible cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Personalizar la configuracin de anlisis global Se recomienda personalizar la configuracin de anlisis global para aumentar o disminuir la proteccin en equipos cliente. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361.
352
Personalizacin de anlisis Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac
Tarea
Descripcin
Personalizar diferentes opciones para Es posible especificar los tipos de eventos de Proteccin antivirus y antispyware riesgo que los clientes envan a Symantec Endpoint Protection Manager. Es posible tambin ajustar cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Ver "Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows" en la pgina 370.
Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac
Es posible personalizar las opciones para los anlisis definidos por el administrador (anlisis programados y manuales) que se ejecutan en equipos Mac. Es posible tambin personalizar las opciones para Auto-Protect. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 15-2 Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac Descripcin
Es posible personalizar la configuracin de Auto-Protect para los clientes que se ejecutan en equipos Mac. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355.
Tarea
PersonalizarAuto-Protect
353
Tarea
Personalizar anlisis definidos por el administrador
Descripcin
Es posible personalizar la configuracin y las notificaciones comunes, as como la prioridad de anlisis. Es posible tambin habilitar o deshabilitar una advertencia para alertar al usuario cuando las definiciones estn desactualizadas. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac" en la pgina 359.
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, en Tecnologa de proteccin, haga clic en Auto-Protect. En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect. Nota: Si deshabilita Auto-Protect, Diagnstico Insight de descargas no puede funcionar incluso si se habilita.
Analizar todos los archivos Esta es la opcin predeterminada y la ms segura. Analizar solo las extensiones seleccionadas Es posible mejorar el rendimiento del anlisis seleccionando esta opcin; sin embargo, es posible que disminuya la proteccin en su equipo.
354
En Opciones adicionales, seleccione o anule la seleccin de Analizar en busca de riesgos para la seguridad y Bloquear la instalacin de riesgos para la seguridad. Haga clic en Anlisis y supervisin avanzados para cambiar las opciones para las acciones que activan los anlisis de Auto-Protect y cmo Auto-Protect maneja los anlisis de disquetes. Haga clic en Aceptar. En Configuracin de red, seleccione o anule la seleccin de Analizar archivos de equipos remotos para habilitar o deshabilitar los anlisis de Auto-Protect de archivos de red. De forma predeterminada, Auto-Protect solo analiza los archivos en equipos remotos cuando ejecuta los archivos. Puede ser recomendable deshabilitar el anlisis de red para mejorar el rendimiento del anlisis y del equipo.
7 8
Cuando los anlisis de archivos en los equipos remotos estn habilitados, haga clic en Configuracin de red para modificar las opciones de anlisis de la red. acciones:
355
1 2 3 4
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Mac, en Tecnologa de proteccin, haga clic en Auto-Protect para el sistema de archivos. En la parte superior de la ficha Detalles del anlisis, haga clic en el icono de bloqueo para bloquear o desbloquear toda la configuracin. Seleccionar o anular la seleccin de cualquiera de las siguientes opciones:
Habilitar Auto-Protect para el sistema de archivos Reparar automticamente los archivos infectados Poner en cuarentena los archivos que no pueden ser reparados Analizar archivos comprimidos
En Detalles de anlisis generales, especifique los archivos que Auto-Protect analiza. Nota: Para excluir los archivos del anlisis, es necesario seleccionar Analizar todas las ubicaciones, excepto las carpetas especificadas y, a continuacin, agregar una poltica de excepciones para especificar los archivos que se deben excluir. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523.
356
Personalizacin de anlisis Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows
6 7
En Detalles de anlisis de disco montado, seleccione o anule la seleccin de cualquiera de las opciones disponibles. En la ficha Notificaciones, configure cualquiera de las opciones de notificacin y, a continuacin, haga clic en Aceptar.
Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows
Es posible personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345. Para configurar Auto-Protect para correo electrnico de Internet
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en una de las siguientes opciones:
Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
3 4
En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect para correo electrnico de Internet. En Anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
Analizar todos los archivos Esta es la opcin predeterminada y la ms segura. Analizar solo las extensiones seleccionadas Es posible mejorar el rendimiento del anlisis seleccionando esta opcin; sin embargo, es posible que disminuya la proteccin en su equipo.
5 6
Active o desactive Analizar archivos incluidos en archivos comprimidos. En la ficha Acciones, configure las opciones. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366.
Personalizacin de anlisis Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows
357
En la ficha Notificaciones, en Notificaciones, seleccione o anule la seleccin de Mostrar un mensaje de notificacin en el equipo infectado. Tambin es posible personalizar el mensaje. En Notificaciones por correo electrnico, seleccione o anule la seleccin de cualquiera de las siguientes opciones:
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros
Es posible personalizar el texto del mensaje e incluir una advertencia. Para Auto-Protect para correo electrnico de Internet, se debe adems especificar el servidor de correo electrnico.
Para Auto-Protect para correo electrnico de Internet solamente, en la ficha Avanzado, en Conexiones cifradas, habilite o deshabilite las conexiones POP3 o SMTP cifradas. seleccin de Anlisis heurstico de gusanos en el correo saliente.
10 En Anlisis heurstico de gusanos en correo masivo, seleccione o anule la 11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows
Puede ser recomendable personalizar los anlisis programados o manuales para los clientes que se ejecutan en equipos Windows. Es posible configurar las opciones para los anlisis de archivos comprimidos y optimizar el anlisis para el rendimiento del equipo o el rendimiento del anlisis. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Para personalizar un anlisis definido por el administrador para los clientes que se ejecutan en equipos Windows
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en Anlisis definidos por el administrador. Realice una de las acciones siguientes:
358
Personalizacin de anlisis Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows
En Anlisis programados, seleccione el anlisis programado que desee personalizar o cree un nuevo anlisis programado. En Anlisis manual del administrador, haga clic en Editar.
4 5
En la ficha Detalles del anlisis, seleccione Opciones de anlisis avanzadas. En la ficha Archivos comprimidos, puede reducir el nmero de niveles para analizar archivos comprimidos. Si reduce el nmero de niveles, es posible que mejore el rendimiento del equipo cliente. En la ficha Ajuste, cambie el nivel de ajuste para obtener el mejor rendimiento del equipo cliente o el mejor rendimiento del anlisis. Haga clic en Aceptar. En la ficha Bsqueda de Insight, cambie la configuracin para ajustar la forma en que Bsqueda de Insight maneja las detecciones de reputacin. La configuracin es similar a la configuracin de Diagnstico Insight de descargas. Para anlisis programados solamente, en la ficha Programacin, configure cualquiera de las siguientes opciones:
6 7 8
Duracin del anlisis Es posible configurar cunto tiempo el anlisis se ejecuta antes de que se interrumpa momentneamente y espere hasta que el equipo cliente est inactivo. Es posible tambin ordenar aleatoriamente la hora de inicio del anlisis. Anlisis programados no realizados Es posible especificar un intervalo de reintento para los anlisis no realizados.
Personalizacin de anlisis Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac
359
Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac
Se personalizan los anlisis programados y los anlisis manuales por separado. Algunas de las opciones son diferentes. Ver "Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac" en la pgina 352. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Mac" en la pgina 317. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345. Para personalizar un anlisis programado que se ejecuta en equipos Mac
1 2 3 4 5 6
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Mac, seleccione Anlisis definidos por el administrador. En Anlisis programados, seleccione el anlisis programado que desee personalizar o cree un nuevo anlisis programado. En la ficha Detalles del anlisis, en Analizar unidades y carpetas, seleccione los elementos que desee analizar. Establezca la prioridad del anlisis. Haga clic en Aceptar. Edite los detalles del anlisis para cualquier otro anlisis que se incluya en esta poltica.
En la ficha Notificaciones, habilite o deshabilite los mensajes de notificacin sobre detecciones del anlisis. La configuracin se aplica a todos los anlisis programados que se incluyen en esta poltica. En la ficha Configuracin comn, configure cualquiera de las siguientes opciones:
360
Personalizacin de anlisis Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados
Estas opciones se aplican a todos los anlisis programados que se incluyen en esta poltica.
1 2 3
En la pgina Poltica de proteccin antivirus y antispyware, en Configuracin de Mac, seleccione Anlisis definidos por el administrador. En Anlisis manual del administrador, haga clic en Editar. En la ficha Detalles del anlisis, en Analizar unidades y carpetas, seleccione los elementos que desee analizar. Es posible tambin especificar las acciones para las detecciones del anlisis y habilitar o deshabilitar anlisis de archivos comprimidos.
4 5
En la ficha Notificaciones, habilite o deshabilite las notificaciones para las detecciones. Es posible tambin especificar el mensaje que aparece. Haga clic en Aceptar.
Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados
Es posible distribuir aleatoriamente anlisis programados para mejorar el rendimiento en equipos cliente Windows. El clculo aleatorio es importante en entornos virtualizados. Por ejemplo, es posible que programe anlisis para ejecutarse a las 8:00 p. m. Si selecciona un intervalo de tiempo de cuatro horas, los anlisis en los equipos cliente se inician en un momento aleatorio entre las 8:00 p. m. y las 12:00 a. m. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Para distribuir aleatoriamente anlisis
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Anlisis definidos por el administrador. Cree un nuevo anlisis programado o seleccione un anlisis programado existente para editar. En el cuadro de dilogo Agregar anlisis programado o Editar anlisis programado, haga clic en la ficha Programacin.
361
4 5
En Programacin de anlisis, seleccione cuntas veces el anlisis debe ejecutarse. En Duracin del anlisis, seleccione Analizar durante y seleccione el nmero de horas. El nmero de horas controla el intervalo de tiempo durante el cual se ordenan aleatoriamente los anlisis. Asegrese de que se habilite Calcular aleatoriamente la hora de inicio del anlisis dentro de este perodo (se recomienda para VM) Haga clic en Aceptar. Asegrese de que se aplique la poltica al grupo que incluye los equipos que ejecutan las mquinas virtuales.
6 7 8
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en Opciones de anlisis global.
362
Personalizacin de anlisis Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows
Bloodhound
Contrasea para unidades de red Especifica si los clientes solicitan a los usuarios asignadas una contrasea cuando el cliente analiza unidades de red. Memoria cach compartida de diagnstico Insight La memoria cach compartida de diagnstico Insight elimina la necesidad de analizar los archivos en un entorno virtualizado cuando Symantec Endpoint Protection determina que los archivos estn limpios. Memoria cach compartida de diagnstico Insight se instala por separado.
Personalizacin de anlisis Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows
363
Es posible especificar cmo el Centro de seguridad de Windows trabaja con Symantec Endpoint Protection. Es posible especificar una URL predeterminada que Symantec Endpoint Protection usa cuando repara un riesgo para la seguridad que cambi una pgina principal del navegador. De forma predeterminada, los clientes envan siempre ciertos tipos de eventos al servidor de administracin (como Anlisis detenido o Anlisis iniciado ). Es posible elegir enviar o no enviar otros tipos de eventos (como Archivo no analizado ). Los eventos que los clientes envan al servidor de administracin afectan la informacin de informes y registros. Es necesario decidir qu tipo de eventos usted desea reenviar al servidor de administracin. Es posible reducir el tamao de los registros y la cantidad de informacin que se incluye en los informes si usted selecciona solamente ciertos tipos de eventos. Es posible tambin configurar cunto tiempo el cliente conserva elementos de registro. La opcin no afecta los eventos que los clientes enven a la consola de administracin. Es posible utilizar la opcin para reducir el tamao real del registro en los equipos cliente. Es posible tambin especificar cuntas veces los equipos cliente envan eventos agregados el servidor de administracin.
364
Personalizacin de anlisis Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows
Notificaciones variadas
Es posible configurar las siguientes notificaciones: Advertir a los usuarios cuando las definiciones faltan o estn desactualizadas. Es posible exhibir y personalizar los mensajes de advertencia que aparecern en los equipos cliente con definiciones de virus y riesgos para la seguridad desactualizadas o ausentes. Es posible que desee alertar a los usuarios si no tiene actualizaciones automticas programadas. Incluir una URL en los mensajes de error que aparecen durante los anlisis. En raras ocasiones, los usuarios pueden ver qu errores aparecen en sus equipos cliente durante los anlisis. Por ejemplo, es posible que el equipo cliente encuentre desbordamientos de bfer o problemas de descompresin. Es posible especificar una URL que lleve al sitio web de soporte de Symantec o a una URL personalizada. Por ejemplo, en cambio, es posible que tenga un sitio web interno que usted desee especificar.
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. En Configuracin de Windows, haga clic en Otros. Especifique las opciones para Windows Security Center o Proteccin del navegador de Internet.
3 4
En la ficha Tratamiento de registros, configure las opciones para filtrado de eventos, retencin de registros y agregacin de registros. En la ficha Notificaciones, configure las notificaciones globales.
365
5 6
En la ficha Imgenes virtuales, configure las excepciones de imgenes virtuales. Haga clic en Aceptar.
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y seleccione Proteccin de descargas. En la ficha Diagnstico Insight de descargas, asegrese de que Habilitar Diagnstico Insight de descargas para detectar riesgos en archivos descargados segn reputacin est seleccionado. Si se deshabilita Auto-Protect, Diagnstico Insight de descargas no puede funcionar incluso si se habilita.
Mueva el control deslizante para determinar la susceptibilidad maliciosa del archivo hasta el nivel apropiado. Si configura el nivel ms alto, Diagnstico Insight de descargas detecta ms archivos como maliciosos y menos archivos como sin probar. La configuracin ms alta, sin embargo, devuelve ms falsos positivos.
Seleccione o anule la seleccin de las siguientes opciones para usarlas como criterios adicionales para examinar archivos sin probar:
Archivos con menos de x usuarios Archivos conocidos por los usuarios por tener menos de x das
Cuando los archivos sin probar cumplen con este criterio, el Diagnstico Insight de descargas detecta los archivos como maliciosos.
366
Personalizacin de anlisis Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin
5 6 7 8
Asegrese de que Confiar automticamente en cualquier archivo descargado de un sitio web de intranet est marcado. En la ficha Acciones, en Archivos maliciosos, especifique una primera accin y una segunda accin. En Archivos sin comprobar, especifique la accin. En la ficha Notificaciones, puede especificar si desea mostrar un mensaje en los equipos cliente cuando Diagnstico Insight de descargas realiza una deteccin. Es posible tambin personalizar el texto de un mensaje de advertencia que aparece cuando un usuario habilita un archivo que detecta el Diagnstico Insight de descargas.
Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin
Es posible configurar la accin o las acciones que los anlisis deben tomar cuando realizan una deteccin. Cada anlisis tiene su propio conjunto de acciones, como Limpiar, Cuarentena, Eliminar o No hacer nada (registrar). En los clientes de Windows, cada categora de deteccin se puede configurar con una primera accin y una segunda accin en caso de que la primera accin no sea posible. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac" en la pgina 352. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados" en la pgina 292. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. De forma predeterminada, Symantec Endpoint Protection intenta limpiar un archivo infectado por un virus. Si Symantec Endpoint Protection no puede limpiar un archivo, realiza las acciones siguientes:
Personalizacin de anlisis Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin
367
Mueve el archivo a Cuarentena en el equipo infectado y deniega cualquier acceso al archivo. Registra el evento.
De forma predeterminada, Symantec Endpoint Protection mueve cualquier archivo que infecta riesgos para la seguridad a Cuarentena. Si configura la accin de registro solamente, de forma predeterminada si los usuarios crean o guardan archivos infectados, Symantec Endpoint Protection los elimina. En los equipos Windows, puede tambin configurar acciones de reparacin para anlisis de administrador, anlisis manuales y anlisis de Auto-Protect del sistema de archivos. Puede bloquear acciones de modo que los usuarios no puedan modificar la accin en los equipos cliente que utilizan esta poltica. Advertencia: Para riesgos para la seguridad, use la accin Eliminar con precaucin. En algunos casos, la eliminacin de riesgos para la seguridad provoca la prdida de funcionalidad de algunas aplicaciones. Si configura el cliente para eliminar los archivos afectados por los riesgos para la seguridad, no puede restaurar los archivos. Para hacer una copia de seguridad de los archivos que afectan los riesgos para la seguridad, use la accin Cuarentena. Para especificar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin en equipos Windows
En la consola, abra una poltica de proteccin antivirus y antispyware, y despus seleccione el anlisis (cualquier anlisis de Auto-Protect, anlisis de administrador o anlisis manual). En la ficha Acciones, en Deteccin, seleccione un tipo de software malicioso o riesgo para la seguridad. De forma predeterminada, cada subcategora se configura de forma automtica para usar las acciones que se configuran para la categora entera. Nota: Las categoras cambian dinmicamente a lo largo del tiempo a medida que Symantec obtiene nueva informacin sobre los riesgos.
Para configurar las acciones para una subcategora solamente, realice una de las siguientes acciones:
368
Personalizacin de anlisis Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin
Seleccione Anular acciones configuradas para software malicioso y a continuacin configure las acciones para esa subcategora solamente. Nota: Pudo haber una nica subcategora en una categora, dependiendo de cmo Symantec clasifique actualmente los riesgos. Por ejemplo, en Software malicioso, pudo haber una nica subcategora llamada Virus. Seleccione Anular acciones configuradas para riesgos de seguridad y a continuacin configure las acciones para esa subcategora solamente.
En Acciones para, seleccione la primera y la segunda accin que el software de cliente toma cuando detecta esa categora de virus o riesgo para la seguridad. Para riesgos para la seguridad, use la accin Eliminar con precaucin. En algunos casos, la eliminacin de riesgos para la seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
5 6
Repita estos paso para cada categora a la que desee asignar acciones (virus y riesgos para la seguridad). Cuando termine de configurar esta poltica, haga clic en Aceptar.
Para especificar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin en equipos Mac
1 2
En la poltica de proteccin antivirus y antispyware, en Configuracin de Mac, seleccione Anlisis definidos por el administrador. Realice una de las acciones siguientes:
Para anlisis programados, seleccione la ficha Configuracin comn. Para anlisis manuales, en la ficha Anlisis, en Anlisis manual del administrador, haga clic en Editar.
Reparar automticamente los archivos infectados Poner en cuarentena los archivos que no pueden ser reparados
4 5
Para anlisis manuales, haga clic en Aceptar. Cuando termine de configurar esta poltica, haga clic en Aceptar.
Personalizacin de anlisis Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis
369
Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis
Es posible configurar si el cuadro de dilogo de los resultados del anlisis aparece en los equipos cliente. Si permite que el cuadro de dilogo aparezca en los equipos cliente, siempre se permite a los usuarios interrumpir momentneamente o retrasar un anlisis definido por el administrador. Cuando se permite que los usuarios vean el progreso del anlisis, un vnculo aparece en las pginas principales de la UI del cliente para mostrar el progreso del anlisis para el anlisis que actualmente se ejecuta. Un vnculo para reprogramar el anlisis programado siguiente tambin aparece. Cuando se permite que los usuarios vean el progreso del anlisis, las siguientes opciones aparecen en las pginas principales de la UI del cliente:
Cuando un anlisis se ejecuta, el vnculo del mensaje anlisis en curso aparece. El usuario puede hacer clic en el vnculo para mostrar el progreso del anlisis. Un vnculo para reprogramar el anlisis programado siguiente tambin aparece.
Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Es posible permitir que los usuarios detengan un anlisis por completo. Es posible tambin configurar las opciones sobre cmo los usuarios podrn interrumpir o retrasar los anlisis. Es posible permitir que el usuario realice las siguientes acciones de anlisis:
Interrumpir Cuando un usuario interrumpe el anlisis, el cuadro de dilogo de resultados del anlisis permanece abierto, en espera de que el usuario reanude o cancele el anlisis. Si se apaga el equipo, el anlisis interrumpido no continuar. Cuando un usuario pospone un anlisis programado, el usuario tiene la opcin de posponer el anlisis por una o por tres horas. Es posible configurar la cantidad de veces que puede posponerlo. Cuando se pospone un anlisis, el cuadro de dilogo de resultados se cierra; reaparece cuando finaliza el perodo de aplazamiento y se reanuda el anlisis. Cuando un usuario detiene un anlisis, este generalmente se detiene de inmediato. Si un usuario detiene un anlisis mientras el software de cliente analiza un archivo comprimido, el anlisis no se detiene inmediatamente. En ese caso, la detencin se produce al finalizar el anlisis del archivo comprimido. Los anlisis que se hayan detenido no se reanudarn.
Posponer
Stop
370
Personalizacin de anlisis Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows
Los anlisis interrumpidos se reanudan automticamente una vez que transcurre el intervalo de tiempo especificado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, en Opciones de progreso de anlisis, haga clic en Mostrar el progreso del anlisis o Mostrar el progreso del anlisis si se detecta un riesgo. Para cerrar automticamente el indicador de progreso del anlisis despus de que el anlisis termine, marque Cerrar la ventana de progreso del anlisis al finalizar. Marque la opcin Permitir al usuario detener el anlisis. Haga clic en Opciones para interrumpir. En el cuadro de dilogo Opciones de pausa del anlisis, realice una de las siguientes acciones:
4 5 6
Para limitar el tiempo durante el que un usuario puede interrumpir un anlisis, marque Limitar el tiempo durante el que puede interrumpirse el anlisis y escriba una cantidad de minutos. El intervalo es de 3 a 180. Para limitar el nmero de veces que un usuario puede retrasar (o posponer) un anlisis, en el cuadro Cantidad mxima de oportunidades para posponer, escriba un nmero entre 1 y 8. De forma predeterminada, el usuario puede posponer un anlisis durante una hora. Para modificar este lmite a 3 horas, marque Permitir a los usuarios posponer el anlisis durante 3 horas.
Personalizacin de anlisis Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows
371
configurar opciones de el Centro de seguridad de Windows en los equipos cliente que ejecutan Windows XP Service Pack 2. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Nota: No es posible usar una poltica antivirus y antispyware para configurar el Centro de seguridad de Windows en los equipos cliente que ejecutan Windows Vista o Windows 7. Tabla 15-3 Opciones para configurar cmo el Centro de seguridad de Windows funciona con el cliente Cundo usar
Opcin
Descripcin
Desactivar Centro de Le permite permanentemente o Deshabilite el Centro de seguridad de seguridaddeWindows temporalmente deshabilitar el Centro de Windows permanentemente si es necesario seguridad de Windows en sus equipos cliente. evitar que los usuarios del cliente reciban las alertas de seguridad que este proporciona. Opciones disponibles: Los usuarios del cliente an pueden recibir Nunca. El Centro de seguridad de las alertas de Symantec Endpoint Protection. Windows se habilita siempre en el equipo Habilite el Centro de seguridad de Windows cliente. permanentemente si desea que los usuarios Una vez. El Centro de seguridad de del cliente reciban las alertas de seguridad Windows se deshabilita solamente una que este proporciona. Es posible configurar vez. Si un usuario lo habilita, no se el Centro de seguridad de Windows para que deshabilita de nuevo. muestre las alertas de Symantec Endpoint Siempre. El Centro de seguridad de Protection. Windows se deshabilita permanentemente en el equipo cliente. Si un usuario lo habilita, se deshabilita de forma inmediata. Restaurar. Se habilita el Centro de seguridad de Windows si Poltica de proteccin antivirus y antispyware lo deshabilit previamente. Mostrar alertas de antivirus en el Centro de seguridad de Windows Le permite configurar las alertas antivirus del cliente de Symantec Endpoint Protection para que se muestren en el rea de notificaciones de Windows. Habilite esta configuracin si desea que los usuarios reciban alertas de Symantec Endpoint Protection con otras alertas de seguridad en el rea de notificaciones de Windows de sus equipos.
372
Opcin
Mostrar un mensaje del Centro de seguridaddeWindows cuando las definiciones estn desactualizadas
Descripcin
Le permite configurar la cantidad de das que deben transcurrir para que el Centro de seguridad de Windows considere que las definiciones estn desactualizadas. De forma predeterminada, el Centro de seguridad de Windows enva este mensaje despus de 30 das.
Cundo usar
Configure esta opcin si desea que el Centro de seguridad de Windows notifique a los usuarios del cliente sobre las definiciones desactualizadas con ms frecuencia que el tiempo predeterminado (30 das).
373
Funcin
Productos de virtualizacin
Descripcin
Las implementaciones de Symantec Endpoint Protection se admiten en varios hipervisores y plataformas virtuales. Ver "Instalaciones virtuales y productos de virtualizacin admitidos" en la pgina 89.
Ordene aleatoriamente los tiempos de anlisis. Es posible ordenar aleatoriamente los anlisis para reducir las cargas del procesador y los recursos del hipervisor. Ver "Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados" en la pgina 360. Evite que los archivos limpios conocidos se vuelvan a analizar. Memoria cach de conocimientos compartida realiza un seguimiento de qu archivos en el entorno virtualizado se sabe que estn limpios. Los tiempos de anlisis son reducidos eliminando la necesidad de volver a analizar los archivos limpios conocidos.
Analice previamente los archivos de imagen de base para reducir los tiempos de anlisis de equipos cliente. La herramienta virtual Symantec Endpoint Protection le permite con seguridad eliminar los archivos de imagen de base del proceso de anlisis, lo que ahorra tiempo y alivia cargas del procesador. Ver "Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base" en la pgina 375. Ordene aleatoriamente las descargas de LiveUpdate. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Use el modo de extraccin para la poltica y las actualizaciones de contenido del servidor de administracin. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274.
Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight
La memoria cach compartida de diagnstico Insight de Symantec Endpoint Protection elimina la necesidad de analizar los archivos en un entorno virtualizado que Symantec Endpoint Protection haya determinado que est limpio. La memoria cach compartida de diagnstico Insight es un servicio aparte que se instala en un servidor dedicado o en un entorno virtualizado. Una vez que se instala y
374
configura la memoria cach compartida de diagnstico Insight, es necesario configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight. Nota: Solamente los clientes que realizan anlisis programados y anlisis manuales pueden usar Memoria cach de conocimientos compartida. Cuando un archivo se analiza y se determina que est limpio, el cliente enva informacin sobre el archivo a la memoria cach compartida de diagnstico Insight. La memoria cach compartida de diagnstico Insight agrega esta informacin a su memoria cach. Cuando un cliente intenta posteriormente acceder al mismo archivo, el cliente puede solicitarle a la memoria cach compartida de diagnstico Insight que determine si el archivo est limpio. Si el archivo est limpio, la memoria cach compartida de diagnstico Insight notifica al cliente que el archivo est limpio. El cliente puede omitir el anlisis de virus en ese archivo determinado. Si el archivo no est limpio, el cliente analiza el archivo en busca de virus y enva esos resultados a la memoria cach compartida de diagnstico Insight. De forma predeterminada, Memoria cach de conocimientos compartida se configura sin autenticacin y ningn SSL. Como tal, la configuracin predeterminada para la contrasea es nula. Es decir, la contrasea est en blanco. Si Memoria cach de conocimientos compartida se configura para la autenticacin bsica con SSL o la autenticacin bsica sin SSL, es necesario especificar la contrasea de un nombre de usuario que pueda acceder a Memoria cach de conocimientos compartida. Es posible tambin cambiar una contrasea de autenticacin definida por el usuario si es necesario. Pero si lo hace, es necesario especificar ese nombre de usuario y esa contrasea de autenticacin en Symantec Endpoint Protection Manager de forma que los clientes puedan comunicarse con Memoria cach de conocimientos compartida. Para obtener ms informacin sobre Memoria cach de conocimientos compartida, consulte la Gua del usuario de la Memoria cach de conocimientos compartida de Symantec Endpoint Protection. Para configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Opciones de anlisis global. En la pgina Opciones de anlisis global, en Memoria cach de conocimientos compartida, seleccione Habilitar Memoria cach de conocimientos compartida.
375
Seleccione Requerir SSL si habilit SSL cuando configur el servidor de memoria cach compartida de diagnstico Insight. Si habilita SSL, el cliente se debe configurar para comunicarse con Memoria cach de conocimientos compartida. Para hacerlo, es necesario agregar el certificado de servidor de Memoria cach de conocimientos compartida al almacenamiento de las autoridades de certificacin de confianza para el equipo local. Si no, la comunicacin entre el cliente y el servidor de Memoria cach de conocimientos compartida falla. Para obtener ms informacin sobre cmo agregar un certificado de servidor, consulte su documentacin de Active Directory.
4 5 6
En el cuadro Nombre de host, escriba el nombre del host de la memoria cach compartida de diagnstico Insight. En el cuadro Puerto, escriba el nmero de puerto de la memoria cach compartida de diagnstico Insight. Opcionalmente, si usted configur la autenticacin para la memoria cach compartida de diagnstico Insight, en el cuadro Nombre de usuario, escriba el nombre de usuario. Opcionalmente, si configur la autenticacin para la memoria cach compartida de diagnstico Insight, haga clic en Cambiar la contrasea para cambiar la contrasea predeterminada (nula) por la contrasea que cre para la autenticacin. En el cuadro Contrasea nueva, escriba la nueva contrasea. Deje este campo vaco si no desea usar una contrasea.
376
Tabla 15-5 describe el proceso para usar la herramienta Excepcin de imgenes virtuales en una imagen de base. Tabla 15-5 Paso
Paso 1
Paso 2
Asegrese de que la cuarentena del cliente est vaca. Ver "Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente" en la pgina 344.
Paso 3
Ejecute la herramienta Excepcin de imgenes virtuales desde la lnea de comandos para marcar los archivos de imagen de base. Habilite la funcin en Symantec Endpoint Protection Manager de modo que sus clientes sepan buscar y omitir los archivos marcados cuando un anlisis se ejecuta. Ver "Cmo omitir el anlisis de archivos de imagen de base" en la pgina 376.
Paso 4
Paso 5
La herramienta Excepcin de imgenes virtuales admite unidades locales reparadas. Funciona con los archivos que cumplen con la norma de Nueva Tecnologa de Sistema de Archivos (NTFS).
377
imagen de base. La herramienta Virtual Image Exception marca el archivo de imagen de base agregando un atributo. Si el archivo cambia, se quita este atributo. Esta herramienta se encuentra en la carpeta /tools/VirtualImageException en el disco del producto Symantec Endpoint Protection. Para obtener ms informacin sobre cmo usar esta herramienta, consulte la Gua del usuario de Virtual Image Exclusion de Symantec Endpoint Protection, que se encuentra ubicada en la misma carpeta. Esta funcin est deshabilitada de forma predeterminada. Habilite la funcin de modo que cuando su cliente analice un archivo, busque este atributo. Si el archivo de imagen de base contiene el atributo, el cliente no analiza el archivo. Es posible especificar que se omita el anlisis de los archivos de imagen de base sin cambios para el anlisis de Auto-Protect o los anlisis definidos por el administrador (tales como anlisis manuales o anlisis programados). Para omitir el anlisis de archivos de imagen de base
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware, y en Opciones avanzadas:, haga clic en Otros. En la ficha Imgenes virtuales, marque las opciones que desea habilitar. Haga clic en Aceptar.
Ver "Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base" en la pgina 375.
378
Captulo
16
Administracin de SONAR
En este captulo se incluyen los temas siguientes:
Acerca de SONAR Acerca de los archivos y las aplicaciones que SONAR detecta Cmo administrar SONAR Cmo controlar y evitar las detecciones de falsos positivos de SONAR Cmo ajustar la configuracin de SONAR en los equipos cliente Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Acerca de SONAR
SONAR es una proteccin en tiempo real que detecta aplicaciones potencialmente maliciosas cuando se ejecutan en sus equipos. SONAR proporciona proteccin de da cero porque detecta amenazas antes que las definiciones de deteccin de virus y spyware tradicionales que se han creado para enfrentar las amenazas. SONAR usa la heurstica as como los datos de reputacin para detectar amenazas emergentes y desconocidas. SONAR proporciona un nivel adicional de proteccin en sus equipos cliente y complementa la proteccin antivirus y antispyware, la prevencin de intrusiones y la proteccin mediante firewalls existentes. Los clientes de una versin anterior no admiten SONAR. Sin embargo, los clientes de una versin anterior usan anlisis de amenazas proactivos de TruScan para proporcionar proteccin contra amenazas de da cero. Los anlisis de amenazas proactivos de TruScan se ejecutan peridicamente en lugar de en tiempo real.
380
Administracin de SONAR Acerca de los archivos y las aplicaciones que SONAR detecta
Nota: Auto-Protect tambin utiliza un tipo de heurstica llamada Bloodhound para detectar comportamientos sospechosos en archivos. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la pgina 380.
Cambios en el sistema
Aplicaciones de confianza que exhiben Algunos archivos buenos de confianza pueden mal comportamiento estar asociados a comportamiento sospechoso. SONAR detecta estos archivos como eventos de comportamiento sospechoso. Por ejemplo, un documento bien conocido que comparte la aplicacin puede crear archivos ejecutables.
Si deshabilita Auto-Protect, se limita la capacidad de SONAR de hacer detecciones de archivos de alto y de bajo riesgo. Si deshabilita las operaciones de bsqueda de Insight, adems, limita la funcionalidad de la deteccin de SONAR. Ver "Cmo administrar SONAR" en la pgina 381.
381
Comprobar que SONAR est habilitado Para proporcionar la proteccin ms completa para sus equipos cliente es necesario habilitar SONAR. SONAR interopera con algunas otras funciones de Symantec Endpoint Protection. SONAR necesita Auto-Protect. Es posible usar la ficha Clientes para comprobar si la Proteccin proactiva contra amenazas est habilitada en sus equipos cliente.
382
Tarea
Comprobar la configuracin predeterminada para SONAR
Descripcin
La configuracin de SONAR es parte de una poltica de proteccin antivirus y antispyware. Ver "Acerca de la configuracin predeterminada de anlisis de la poltica de proteccin antivirus y antispyware" en la pgina 310.
SONAR usa datos de reputacin adems de la heurstica para hacer detecciones. Si deshabilita las Bsquedas de Insight, SONAR hace detecciones usando la heurstica solamente. El ndice de falsos positivos puede aumentar y la proteccin que SONAR proporciona se limita. Se habilitan o se deshabilitan las Bsquedas de Insight en el cuadro de dilogo Envos. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Supervise eventos de SONAR para Es posible usar el registro de SONAR para comprobar la existencia de detecciones supervisar eventos. de falsos positivos Es posible tambin ver el informe Resultados de deteccin de SONAR (en Informes de riesgos) para ver la informacin sobre detecciones. Ver "Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos" en la pgina 388. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ajustar la configuracin de SONAR Es posible cambiar la accin de deteccin para algunos tipos de amenazas que SONAR detecta. Puede ser recomendable cambiar la accin de deteccin para reducir las detecciones de falsos positivos. Adems puede ser que desee habilitar o deshabilitar las notificaciones para las detecciones heursticas de alto o bajo riesgo. Ver "Cmo ajustar la configuracin de SONAR en los equipos cliente" en la pgina 386.
383
Tarea
Evitar que SONAR detecte las aplicaciones que se sabe que son seguras
Descripcin
SONAR puede detectar los archivos o las aplicaciones que desea ejecutar en sus equipos cliente. Es posible usar una poltica de excepciones para especificar las excepciones para las carpetas o las aplicaciones especficas que desee permitir. Para los elementos que SONAR pone en cuarentena, se puede crear una excepcin para el elemento en cuarentena desde el registro de SONAR. Adems puede ser que desee configurar acciones de SONAR para registrar y para permitir detecciones. Es posible usar el aprendizaje de aplicaciones de modo que Symantec Endpoint Protection aprenda las aplicaciones legtimas de sus equipos cliente. Una vez que Symantec Endpoint Protection aprende las aplicaciones que se usan en su red, se puede cambiar la accin de SONAR para poner en cuarentena.
384
Administracin de SONAR Cmo controlar y evitar las detecciones de falsos positivos de SONAR
Tarea
Permitir que los clientes enven informacin sobre detecciones de SONAR a Symantec
Descripcin
Symantec recomienda que se habiliten envos en sus equipos cliente. La informacin que los clientes envan sobre detecciones ayuda a Symantec a enfrentar las amenazas. La informacin ayuda a Symantec a crear una mejor heurstica, que da lugar a menos detecciones de falsos positivos. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Administracin de SONAR Cmo controlar y evitar las detecciones de falsos positivos de SONAR
385
Registrar las detecciones heursticas de Puede ser recomendable configurar la accin de alto riesgo de SONAR y usar el deteccin para Registrar las detecciones aprendizaje de aplicaciones heursticas de alto riesgo por un corto perodo. Permita que el aprendizaje de aplicaciones se ejecute para el mismo perodo. Symantec Endpoint Protection aprende los procesos legtimos que se ejecutan en su red. Sin embargo, es posible que algunas detecciones verdaderas no se hayan podido poner en cuarentena. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279. Una vez transcurrido el perodo, es necesario configurar la accin de deteccin de nuevo en Cuarentena.
386
Tarea
Crear excepciones para que SONAR permita aplicaciones seguras
Descripcin
Es posible crear excepciones para SONAR de las siguientes maneras: Usar el registro de SONAR para crear una excepcin para una aplicacin que fue detectada y colocada en cuarentena. Es posible crear una excepcin del registro de SONAR para las detecciones de falsos positivos. Si el elemento est en cuarentena, Symantec Endpoint Protection restaura el elemento una vez que vuelve a analizar el elemento en cuarentena. Los elementos en cuarentena se vuelven a analizar una vez que el cliente recibe definiciones actualizadas. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530. Ver "Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones" en la pgina 343. Usar una poltica de excepciones para especificar una excepcin para una carpeta o una aplicacin determinada Es posible excluir una carpeta entera de la deteccin de SONAR. Puede ser recomendable excluir las carpetas donde residen sus aplicaciones personalizadas. Las excepciones especficas de archivos por ruta no se admiten para SONAR. Para excluir un archivo de SONAR, use una excepcin de aplicacin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
387
de SONAR para modificar el nmero de notificaciones de deteccin que aparecen en los equipos cliente. Nota: La configuracin de notificaciones de SONAR tambin se usa para notificaciones de anlisis de amenazas proactivos de TruScan. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Configurar valores de SONAR
1 2 3
En Poltica de proteccin antivirus y antispyware, seleccione SONAR. Asegrese de que Habilitar SONAR est habilitado. En Detalles del anlisis, cambie las acciones para amenazas heursticas de alto o bajo riesgo. Es posible habilitar el modo intenso para detecciones de bajo riesgo. Esta configuracin aumenta la susceptibilidad de SONAR en detecciones de bajo riesgo. Es posible que aumenten las detecciones de falsos positivos.
Cambie opcionalmente la configuracin de notificaciones que aparecen en los equipos cliente. La configuracin de SONAR adems controla las notificaciones para anlisis de amenazas proactivos de TruScan.
En Eventos de cambio del sistema, cambie la accin a Cambio de DNS detectado o Cambio de archivo del host detectado. Advertencia: Si configura la accin para Bloquear, es posible que tenga que bloquear aplicaciones importantes en sus equipos cliente. Por ejemplo, si usted configura la accin para Bloquear para Cambio de DNS detectado, es posible que tenga que bloquear clientes VPN. Si configura la accin para Bloquear para Cambio de archivo host detectado, es posible que tenga que bloquear sus aplicaciones que necesitan acceder al archivo de hosts.
6 7
En Deteccin de comportamiento sospechoso, cambie la accin para obtener detecciones de alto o de bajo riesgo. Haga clic en Aceptar.
388
Administracin de SONAR Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos
Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos
El cliente recopila y carga resultados de la deteccin de SONAR al servidor de administracin. Los resultados se guardan en el Registro de SONAR. Los clientes de una versin anterior no admiten SONAR. Los clientes de una versin anterior recopilan eventos similares de los Anlisis de amenazas proactivos TruScan, sin embargo y los incluyen en el Registro de SONAR. Para determinar qu procesos son legtimos y cules son los riesgos para la seguridad, consulte las columnas siguientes en el registro:
Evento El tipo de evento y la accin que el cliente ha realizado en el proceso, tal como la limpieza de l o el registro. Busque los tipos de evento siguientes: Un proceso legtimo posible se detalla como evento de Riesgo potencial detectado. Un riesgo para la seguridad probable se detalla como evento de Riesgo para la seguridad encontrado.
El nombre del proceso. El tipo de software malicioso que SONAR o un Anlisis de amenazas proactivo TruScan detect. El nombre de ruta de donde el proceso fue iniciado.
Archivo/Ruta
La columna Evento le dice de forma inmediata si un proceso detectado es un riesgo para la seguridad o un proceso legtimo posible. Sin embargo, un riesgo potencial que se encuentra puede o no puede ser un proceso legtimo y un riesgo para la seguridad que se encuentra puede o no puede ser un proceso malicioso. Por lo tanto, es necesario consultar las columnas Tipo de aplicacin y Archivo/Ruta para obtener ms informacin. Por ejemplo, es posible que reconozca el nombre de aplicacin de una aplicacin legtima que una compaa de otro fabricante ha desarrollado. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530. Para supervisar los eventos de SONAR
1 2
En la consola, haga clic en Supervisin > Registros. En la ficha Registros, en la lista desplegable Tipo de registro, haga clic en SONAR.
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
389
3 4 5
Seleccione un tiempo del cuadro de lista Intervalo de tiempo ms cercano a la ltima vez que se cambi una configuracin de anlisis. Haga clic en Opciones avanzadas. En la lista desplegable Tipo de evento, seleccione una de las siguientes opciones de eventos de registro:
Para ver todos los procesos detectados, asegrese de que Todos se seleccione. Para ver los procesos que se han evaluado como riesgos para la seguridad, haga clic en Riesgo para la seguridad encontrado. Para ver los procesos que se han evaluado y se han registrado como riesgos potenciales, haga clic en Riesgo potencial detectado.
6 7
Haga clic en Ver registro. Una vez que se identifican las aplicaciones legtimas y los riesgos para la seguridad, cree una excepcin para ellas en una poltica de excepciones. Es posible crear la excepcin directamente desde el panel Registros de SONAR.
Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Es posible administrar los anlisis de amenazas proactivos de TruScan con dos enfoques de implementacin diferentes. Cada enfoque ofrece las ventajas que se relacionan con el tamao de la red, las funciones de seguridad y la carga de trabajo que comparte el personal de soporte tcnico. Con cualquier enfoque, se necesita tpicamente crear las excepciones para las detecciones de falsos positivos. Ver "Acerca de cmo ajustar la configuracin de TruScan para clientes de una versin anterior" en la pgina 390. Ver "Cmo configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior" en la pgina 393. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
390
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Tabla 16-3
Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior Descripcin
Tarea
Usar la configuracin predeterminada La configuracin predeterminada de Symantec de Symantec proporcionan un alto nivel de proteccin y necesita un bajo de administracin. Cuando instale Symantec Endpoint Protection Manager por primera vez, use la configuracin predeterminada. El uso de configuraciones de Symantec permite al software del cliente determinar la accin y el nivel de susceptibilidad. El motor de anlisis que se ejecuta en el equipo cliente automticamente pone en cuarentena los riesgos para la seguridad y registra riesgos potenciales y riesgos desconocidos. Use la configuracin predeterminada de Symantec durante las primeras dos a cuatro semanas despus de configurar el servidor de administracin. Ajustar la configuracin predeterminada manualmente. Despus del perodo de interrupcin inicial durante el cual se familiariza con la tecnologa, es probable que desee ms control. Si usa este enfoque, ajuste el nivel de susceptibilidad y la accin de deteccin. Cuando deshabilite los valores predeterminados de Symantec, especifique una nica accin de respuesta para las detecciones, independientemente de si son riesgos o no lo son. Por ejemplo, un anlisis puede poner en cuarentena o registrar todos los procesos detectados, pero un anlisis no realiza ambas tareas.
Acerca de cmo ajustar la configuracin de TruScan para clientes de una versin anterior
Tpicamente, es necesario usar los valores predeterminados de Symantec para anlisis de amenazas proactivos de TruScan. Sin embargo, cuando configura la red, es probable que desee ajustar la configuracin manualmente.
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
391
Ver "Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior" en la pgina 389. Tabla 16-4 Ajustar la configuracin de TruScan para clientes de una versin anterior
Configuracin Descripcin
Accin Como prctica recomendada, cuando comienza a administrar los anlisis usted mismo, configure la accin en Registro. Esto significa que ni los riesgos para la seguridad ni los procesos legtimos usan la accin que desea como ltima opcin. Es necesario que los anlisis pongan en cuarentena o finalicen los riesgos para la seguridad y omitan los procesos legtimos. Crear excepciones para la deteccin de cualquier falso positivo. Las excepciones definen el proceso y la accin que se debe tomar cuando un anlisis detecta un proceso especificado.
392
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Configuracin Descripcin
Sensibilidad Cuando ajuste por primera vez el nivel de susceptibilidad para troyanos y gusanos, configure el nivel de susceptibilidad en 10. Cuando el nivel de susceptibilidad es bajo, los anlisis detectan menos procesos que con el nivel de susceptibilidad configurado ms alto. El ndice de procesos legtimos que se registran como riesgos potenciales es bajo. Una vez que ejecuta el nivel de susceptibilidad en 10 por algunos das y controla el registro en busca de aplicaciones legtimas, puede aumentar el nivel de susceptibilidad a 20. En el perodo de 60 das a 90 das, puede aumentar gradualmente el nivel de susceptibilidad en incrementos de unidades de 10 hasta 100. Para lograr una proteccin mxima, mantenga el nivel de susceptibilidad en 100. Con enfoque de interrupcin gradual, los usuarios de los equipos cliente no se ven abrumados por las notificaciones de deteccin tan pronto como se implementa el cliente. En cambio, puede asignar una hora para controlar el aumento de notificaciones en cada nivel. Para los registradores de pulsaciones, inicie el nivel de sensibilidad en Bajo. A medida que aumenta el nivel de susceptibilidad, se detectan ms procesos, tanto maliciosos como legtimos. El nivel de susceptibilidad no afecta considerablemente el ndice de procesos legtimos registrados. Un alto nivel de susceptibilidad significa que un anlisis indica una mayor cantidad de procesos que constituyen riesgos para la seguridad, as como procesos legtimos. Pero la relacin de procesos legtimos a maliciosos sigue siendo prcticamente constante, a pesar del nivel de susceptibilidad. Adems, el nivel de susceptibilidad no indica el nivel de certeza que se asocia a una deteccin. Por ejemplo, un anlisis puede detectar un proceso en el nivel de sensibilidad 10 y otro proceso en el nivel de sensibilidad 90. Pero el nivel de susceptibilidad no significa que un proceso sea ms amenazante que el otro. Una vez que cambia el nivel de susceptibilidad de los anlisis, use el registro de SONAR para determinar si el nivel de susceptibilidad es demasiado bajo o demasiado alto. Si el cliente informa muchos procesos legtimos como riesgos para la seguridad, es posible que desee configurar el nivel de susceptibilidad ms bajo. Es posible aumentar el nivel una vez que crea excepciones para los procesos legtimos.
Nota: Una vez que haya agregado todas las excepciones a la poltica de
excepciones, es probable que cualquier nueva deteccin sea un riesgo para la seguridad. Para lograr una mayor seguridad, puede volver a cambiar la accin de respuesta para todos los procesos a Cuarentena o Finalizar. Contine supervisando registro de SONAR en el caso de que el anlisis detecte y ponga en cuarentena nuevas aplicaciones legtimas.
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
393
Configuracin Descripcin
Frecuencia del La frecuencia predeterminada para los anlisis es un hora. Si el anlisis rendimiento de los equipos cliente llega a ser demasiado lento, disminuya la frecuencia del anlisis.
Cmo configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Los clientes de una versin anterior no pueden usar la configuracin de SONAR. En su lugar, los clientes de una versin anterior usan TruScan para detectar amenazas desconocidas. Ver "Cmo administrar SONAR" en la pgina 381. De forma predeterminada, los anlisis de amenazas proactivos TruScan detectan troyanos, gusanos y registradores de pulsaciones. Adems, de forma predeterminada, la respuesta y la sensibilidad de deteccin es determinada por Symantec. Por ejemplo, un proceso detectado puede ser puesto en cuarentena o registrado. Si elige configurar las acciones manualmente, configura una nica accin para las detecciones. Un proceso detectado sera puesto en cuarentena o registrado siempre, dependiendo de la accin que elija. Es posible tambin configurar la accin con fines de detecciones de aplicaciones comerciales. Tpicamente, no es necesario modificar la configuracin predeterminada. Nota: Se controlan las notificaciones de usuario para detecciones de TruScan en la ficha Detalles del anlisis de SONAR. Para configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
1 2
En la Poltica de proteccin antivirus y antispyware, haga clic en SONAR. Seleccione Configuracin de cliente de una versin anterior de TruScan. De forma predeterminada, las configuraciones Detalles del anlisis, Deteccin de aplicaciones comerciales y Frecuencia estn ocultas.
3 4
Haga clic en el icono de flecha para expandir la configuracin de Detalles del anlisis. Seleccione o anule la seleccin de Analizar en busca de troyanos y gusanos y Analizar en busca de registradores de pulsaciones.
394
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Para cambiar las acciones o la sensibilidad de cualquier tipo de riesgo, desmarque Usar los valores definidos por Symantec. Las notificaciones se envan automticamente si una accin se configura en Cuarentena o Finalizar. Utilice la accin Finalizar con precaucin. En algunos casos, es posible que una aplicacin pierda funcionalidad.
Mueva el control deslizante a la izquierda o a la derecha para disminuir o aumentar la sensibilidad respectivamente. Haga clic en Bajo o Alto.
7 8 9
Haga clic en el icono de flecha para expandir la configuracin de Deteccin de aplicaciones comerciales. Configure la accin para los registradores de pulsaciones comerciales o los programas de control remoto comerciales. Haga clic en la flecha para expandir la configuracin de Frecuencia del anlisis.
Con la frecuencia de anlisis predeterminada El software del motor de anlisis determina la frecuencia del anlisis. Esta es la opcin predeterminada. Con una frecuencia personalizada de anlisis Si habilita esta opcin, es posible especificar que el cliente analice los nuevos procesos inmediatamente cuando los detecta. Es posible tambin configurar la frecuencia del anlisis.
Captulo
17
Acerca de la Proteccin contra intervenciones Cmo cambiar la configuracin de Proteccin contra intervenciones
396
Administracin de proteccin contra intervenciones Cmo cambiar la configuracin de Proteccin contra intervenciones
se recomienda siempre dejarla activada. Use el filtrado del registro si el nmero de los eventos que Proteccin contra intervenciones genera es demasiado grande. Es posible desactivar las notificaciones de Proteccin contra intervenciones en los equipos cliente. Es posible tambin crear las excepciones para las aplicaciones que Proteccin contra intervenciones detecta. Ver "Cmo crear una excepcin de Proteccin contra intervenciones" en la pgina 528. Cuando un cliente se instala como cliente administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:
Se activa Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es solo registrar el evento. Proteccin contra intervenciones no notifica al usuario cuando detecta un intento de intervencin.
Nota: Cuando las notificaciones estn habilitadas para los intentos de intervencin, las notificaciones sobre recursos de Windows se envan a los equipos afectados, as como las notificaciones sobre recursos de Symantec. Ver "Cmo cambiar la configuracin de Proteccin contra intervenciones" en la pgina 396. Cuando un cliente se instala como cliente no administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:
Se activa Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es bloquear el intento y registrar el evento. Proteccin contra intervenciones notifica al usuario cuando detecta un intento de intervencin.
Administracin de proteccin contra intervenciones Cmo cambiar la configuracin de Proteccin contra intervenciones
397
La configuracin de Proteccin contra intervenciones se configura globalmente para un grupo seleccionado. Las prcticas recomendadas cuando se utiliza inicialmente Symantec Endpoint Protection consisten en utilizar la accin Registrar el evento solamente al supervisar los registros una vez por semana. Cuando est seguro de que no ve ningn falso positivo, configure Proteccin contra intervenciones en Bloquear y registrar el evento. Ver "Acerca de la Proteccin contra intervenciones" en la pgina 395. Es posible configurar un mensaje que aparecer en los clientes cuando Symantec Endpoint Protection detecte un intento de intervencin. De forma predeterminada, los mensajes de notificacin aparecen cuando el software detecta un intento de intervencin. El mensaje que se crea puede contener una mezcla de texto y variables. Las variables se rellenan con los valores que identifican las caractersticas del ataque. Si utiliza una variable, debe escribirla exactamente como aparece. Para cambiar la configuracin de Proteccin contra intervenciones
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, seleccione o anule la seleccin de Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre. En el cuadro de lista en Acciones que se efectuarn en caso de que una aplicacin intente intervenir o cerrar el software de seguridad de Symantec, seleccione una de las siguientes opciones:
5 6 7
Seleccione o anule la seleccin de Mostrar un mensaje de notificacin al detectar una intervencin. Haga clic en el icono de bloqueo al lado de las opciones que no desea que los usuarios cambien. Haga clic en Aceptar.
398
Administracin de proteccin contra intervenciones Cmo cambiar la configuracin de Proteccin contra intervenciones
Captulo
18
Cmo administrar la proteccin mediante firewall Creacin de polticas de firewall Acerca de las reglas de firewall Cmo configurar reglas de firewall
400
Cree polticas de Symantec Endpoint Protection se instala con polticas de firewall firewall predeterminadas. Es posible modificar la poltica predeterminada o crear una nueva. Es necesario crear una poltica primero antes de configurar reglas de firewall y la configuracin de la proteccin mediante firewall para esa poltica. Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406. Cree y personalice las reglas de firewall Las reglas de firewall son los componentes de polticas que controlan cmo el firewall protege los equipos cliente contra ataques maliciosos. Las polticas de firewall predeterminadas contienen reglas de firewall predeterminadas. Y cuando se crea una nueva poltica, Symantec Endpoint Protection proporciona reglas de firewall predeterminadas. Sin embargo, se pueden modificar las reglas predeterminadas o crear nuevas. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo configurar reglas de firewall" en la pgina 435.
401
Tarea
Habilite la configuracin de la proteccin mediante firewall
Descripcin
Despus de que el firewall haya terminado ciertas operaciones, el control pasa a un nmero de componentes. Cada componente est diseado para realizar un diferente tipo de anlisis del paquete. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Ver "Bloquear automticamente las conexiones a un equipo atacante" en la pgina 409. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Ver "Cmo evitar la deteccin de ocultacin" en la pgina 411. Ver "Cmo deshabilitar el firewall de Windows" en la pgina 412. Ver "Configurar la autenticacin punto a punto" en la pgina 414.
Supervise regularmente el estado de la proteccin mediante firewall en sus equipos. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Ver "Configuracin del firewall para el control mixto" en la pgina 408. Consulte el artculo de la base de conocimientos White paper de las prcticas recomendadas y descripcin general del firewall de Proteccin contra amenazas de red.
Evita que cualquier usuario no autorizado acceda a los equipos y las redes en su organizacin que se conectan a Internet. Supervisa la comunicacin entre sus equipos y otros equipos en Internet. Crea un escudo que permite o bloquea intentos de acceder a la informacin en sus equipos. Le advierte de intentos de conexin de otros equipos Le advierte de intentos de conexin mediante las aplicaciones en su equipo que se conectan a otros equipos.
El firewall revisa los paquetes de datos que se transmiten por Internet. Un paquete es un pequeo conjunto de datos que son parte del flujo de informacin entre dos
402
equipos. Los paquetes se vuelven a montar en su destino para aparecer como flujo de datos intacto. Los paquetes contienen informacin sobre lo siguiente:
Envo de los equipos Destinatarios previstos Cmo se procesan los datos de paquete Puertos que reciben los paquetes
Los puertos son los canales que dividen el flujo de datos que viene de Internet. Las aplicaciones que se ejecutan en un equipo y escuchan los puertos. Las aplicaciones aceptan los datos que se envan a los puertos. Los ataques de red aprovechan los puntos vulnerables de aplicaciones vulnerables. Los atacantes usan estas debilidades para enviar paquetes que contienen cdigo de programacin malicioso a los puertos. Cuando las aplicaciones vulnerables escuchan los puertos, el cdigo malicioso permite a los atacantes acceder al equipo. Ver "Acerca del firewall de Symantec Endpoint Protection" en la pgina 402. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399.
403
Usted determina el nivel de interaccin que desea que los usuarios tengan con el cliente permitiendo o bloqueando su capacidad de configurar reglas de firewall y opciones del firewall. Los usuarios pueden interaccionar con el cliente solamente cuando reciben notificaciones de nuevas conexiones de red y de posibles problemas. O pueden tener acceso total a la interfaz de usuario. Es posible habilitar o deshabilitar la proteccin mediante firewall segn las necesidades. Es posible instalar el cliente con la configuracin de firewall predeterminada. En la mayora de los casos no es necesario modificar la configuracin. Sin embargo, si tiene conocimientos profundos sobre redes, puede efectuar varios cambios en el firewall cliente para personalizar la proteccin de los equipos cliente. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo funciona un firewall" en la pgina 401. Ver "Cmo el firewall usa la inspeccin de estado" en la pgina 422. Ver "Tipos de polticas de seguridad" en la pgina 254.
La proteccin predeterminada mediante firewall bloquea el trfico IPv6 entrante y saliente con todos los sistemas remotos.
404
Nota: IPv6 es un protocolo de capa de red que se usa en Internet. Si instala el cliente en los equipos que ejecutan Microsoft Vista, la lista Reglas incluye varias reglas predeterminadas que bloquean el tipo de protocolo Ethernet IPv6. Si quita las reglas predeterminadas, deber crear una regla que bloquee IPv6. La proteccin predeterminada mediante firewall restringe las conexiones entrantes para algunos protocolos que suelen utilizarse en los ataques (por ejemplo, el uso compartido de Windows). Las conexiones de red internas se permiten y las redes externas se bloquean.
La Tabla 18-2 describe las tareas que se pueden realizar para configurar una nueva poltica de firewall. Es necesario agregar polticas de firewall primero, pero despus, las tareas restantes son opcionales y puede completarlas en cualquier orden. Tabla 18-2 Tarea
Agregar una poltica de firewall
Las reglas de firewall son los componentes de las polticas que controlan cmo el firewall protege equipos cliente de aplicaciones y trfico entrante maliciosos. El firewall comprueba automticamente todos los paquetes entrantes y salientes en comparacin con estas reglas. Permite o bloquea los paquetes segn la informacin que fue especificada en las reglas. Es posible modificar las reglas predeterminadas, crear nuevas reglas o deshabilitar las reglas predeterminadas. Cuando crea una nueva poltica de firewall, Symantec Endpoint Protection proporciona reglas de firewall predeterminadas. Las reglas de firewall predeterminadas estn habilitadas de forma predeterminada. Ver "Cmo configurar reglas de firewall" en la pgina 435.
405
Tarea
Habilitar y personalizar las notificaciones a los usuarios que acceden a una aplicacin que est bloqueada
Descripcin
Es posible enviar a los usuarios una notificacin de que una aplicacin a la que quieren acceder est bloqueada. Esta configuracin est deshabilitada de forma predeterminada. Ver "Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado" en la pgina 427. Es posible habilitar las opciones que permiten automticamente la comunicacin entre ciertos servicios de red. Estas opciones eliminan la necesidad de crear las reglas que permiten explcitamente esos servicios. Es posible tambin permitir que la configuracin del trfico detecte y bloquee el trfico que se comunica a travs de NetBIOS y de token rings. Solamente los protocolos de trfico estn habilitados de forma predeterminada. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red, puede bloquear automticamente la conexin para asegurarse de que el equipo cliente est seguro. El cliente activa una respuesta activa, que bloquea automticamente toda la comunicacin hacia el equipo atacante y desde l por un tiempo determinado. La direccin IP del equipo atacante se bloquea para una sola ubicacin. Esta opcin est deshabilitada de forma predeterminada. Ver "Bloquear automticamente las conexiones a un equipo atacante" en la pgina 409.
Configurar la proteccin Es posible habilitar la configuracin para detectar y registrar y las opciones de ataques potenciales en el cliente y para bloquear intentos de ocultacin falsificacin. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Es posible habilitar la configuracin que evita que los ataques exteriores detecten informacin sobre sus clientes. Ver "Cmo evitar la deteccin de ocultacin" en la pgina 411. Todas las opciones de proteccin y las opciones de ocultacin estn deshabilitadas de forma predeterminada.
406
Tarea
Integrar el firewall de Symantec Endpoint Protection con el firewall de Windows
Descripcin
Es posible especificar las condiciones en las cuales Symantec Endpoint Protection deshabilita el firewall de Windows. Cuando se desinstala Symantec Endpoint Protection, Symantec Endpoint Protection restaura la configuracin del firewall de Windows al estado en que estaba antes de que Symantec Endpoint Protection fuera instalado. La configuracin predeterminada es deshabilitar el firewall de Windows una vez solamente y deshabilitar el mensaje deshabilitado del firewall de Windows. Ver "Cmo deshabilitar el firewall de Windows" en la pgina 412.
Es posible utilizar la autenticacin punto a punto para permitir que un equipo cliente remoto (par) se conecte a otro equipo cliente (autenticador) dentro de la misma red corporativa. El autenticador bloquea temporalmente el trfico TCP y UDP entrante desde el equipo remoto hasta que el equipo remoto pase la comprobacin de integridad del host.
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Prcticas recomendadas para la configuracin de las polticas de firewall" en la pgina 248. Ver "Editar una poltica" en la pgina 263.
Instala una aplicacin que el firewall puede bloquear. Una regla de firewall o una configuracin de firewall bloquea una aplicacin debido a un error del administrador.
407
El firewall causa problemas relacionados con la conectividad de red. El firewall puede ralentizar el equipo cliente.
Es necesario habilitar al menos la proteccin del firewall predeterminada para mantener los equipos protegidos durante la instalacin del cliente remoto. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Para habilitar o deshabilitar una poltica de firewall
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, seleccione Poltica de firewall y despus haga clic con el botn derecho en Editar. En la poltica, en la pgina Descripcin general, seleccione Habilitar esta poltica para habilitar la poltica; anule la seleccin para deshabilitarla. Haga clic en Aceptar.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399.
Cuando se habilitan estas opciones, Symantec Endpoint Protection permite el paquete si una solicitud fue hecha; no bloquea los paquetes. Es necesario crear una regla de firewall para bloquear los paquetes.
408
Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Para permitir automticamente las comunicaciones para los servicios de red esenciales
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas integradas. Seleccione las opciones que desee habilitar. Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Editar una poltica" en la pgina 263. Ver "Modificar el nivel de control del usuario" en la pgina 223.
Control de clientes
Control mixto
1 2 3
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo con el nivel de control de usuario que desea modificar. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin:.
409
4 5 6
A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin del modo de control, haga clic en Control mixto y despus haga clic en Personalizar. En la ficha Configuracin de control de clientes y servidores, en la categora Polticas de firewall, realice una de las siguientes tareas:
Para hacer que una opcin del cliente est disponible para que los usuarios la configuren, haga clic en Cliente. Para configurar una opcin del cliente, haga clic en Servidor.
7 8 9
Haga clic en Aceptar. Haga clic en Aceptar. Para cada configuracin del firewall que usted configure como Servidor, habilite o deshabilite la configuracin en la poltica de firewall.
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215.
410
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall en el panel izquierdo, haga clic en Reglas integradas. En Otros, seleccione Bloquear automticamente la direccin IP de un atacante. En el cuadro de texto Nmero de segundos durante los que se bloquea la direccin IP: ... segundos, especifique el nmero de segundos que se deben bloquear los atacantes potenciales. Es posible escribir un valor del 1 al 999 999.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Configuracin del firewall para el control mixto" en la pgina 408. Ver "Editar una poltica" en la pgina 263.
411
Cuando est habilitada, Symantec Endpoint Protection permite el trfico entrante y saliente del protocolo de resolucin de direcciones (ARP) si una solicitud de ARP fue hecha a ese host especfico. El resto del trfico inesperado de ARP est bloqueado y una entrada se genera para el registro de seguridad.
Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Para detectar ataques potenciales e intentos de falsificacin
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Proteccin y ocultacin. En Configuracin de proteccin, seleccione cualquiera de las opciones que desee habilitar. Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Modificar el nivel de control del usuario" en la pgina 223. Ver "Editar una poltica" en la pgina 263.
1 2
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Proteccin y ocultacin.
412
En Opciones de modo de ocultacin, seleccione cualquiera de las opciones que desee habilitar de la siguiente manera:
Activar exploracin Web Evita que los sitios web sepan qu sistema operativo y en modo de ocultacin navegador usan sus clientes. Activar nueva secuencia TCP Ordena aleatoriamente el nmero de serie de TCP para evadir la bsqueda de huellas digitales del sistema operativo y algunas clases de falsificacin de la direccin IP.
Activarenmascaramiento Evita que los programas detecten el sistema operativo de las huellas digitales del del equipo en el cual el firewall se ejecuta. sistema operativo
4 5
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Modificar el nivel de control del usuario" en la pgina 223. Ver "Editar una poltica" en la pgina 263.
413
Deshabilita el firewall de Windows en el inicio la primera vez que Symantec Endpoint Protection detecta que el firewall de Windows est habilitado. En inicio subsiguiente, Symantec Endpoint Protection no deshabilita el firewall de Windows. Esta es la opcin predeterminada.
Deshabilitar siempre
Deshabilita el firewall de Windows en cada inicio y vuelve a habilitar el firewall de Windows si desinstala Symantec Client Firewall. Habilita el firewall de Windows en el inicio.
Restaurar si se deshabilita
Tpicamente, un usuario de Windows recibe una notificacin cuando el equipo se reinicia si se deshabilita el firewall de Windows. Symantec Endpoint Protection deshabilita esta notificacin de forma predeterminada, de modo que no alarme a los usuarios cuando se deshabilita el firewall de Windows. Pero se puede habilitar la notificacin, si lo desea. Para deshabilitar el firewall de Windows
1 2 3
En la consola, haga clic en Polticas. En Polticas, haga clic en Firewall. Realice una de las siguientes tareas:
Crear una nueva poltica de firewall. En la lista Polticas de firewall, haga doble clic en las polticas de firewall que desee modificar.
4 5
En Polticas de firewall, haga clic en Integracin con Windows. En la lista desplegable Deshabilitar el Firewall de Windows, especifique cuando desea deshabilitar el firewall de Windows. La configuracin predeterminada es Deshabilitar solo una vez.
En la lista desplegable de Mensaje de firewall de Windows deshabilitado, especifique si desea deshabilitar el mensaje de Windows en el inicio para indicar que el firewall est deshabilitado. La configuracin predeterminada es Deshabilitar, lo que significa que el usuario no recibe un mensaje cuando se inicia el equipo en el que el firewall de Windows est deshabilitado.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Tipos de polticas de seguridad" en la pgina 254.
414
El equipo remoto tiene Symantec Endpoint Protection y Symantec Network Access Control instalados. El equipo remoto cumple los requisitos de poltica de integridad del host.
Si el equipo remoto pasa la comprobacin de integridad del host, el autenticador permite que el equipo remoto se conecte a l. Si el equipo remoto no pasa la comprobacin de integridad del host, el autenticador contina bloqueando el equipo remoto. Es posible especificar cunto tiempo el equipo remoto estar bloqueado antes de que pueda intentar conectarse con el autenticador de nuevo. Es posible tambin especificar ciertos equipos remotos que se permitirn siempre, incluso si no pasan la comprobacin de integridad del host. Si no habilita una poltica de integridad del host para el equipo remoto, el equipo remoto pasa la comprobacin de integridad del host. La informacin de autenticacin de punto a punto se muestra en el registro de cliente Enforcer de cumplimiento y en el registro de trfico de proteccin contra amenazas de red. Nota: Trabajos de autenticacin punto a punto en control del servidor y control mixto, pero no en control del cliente.
Advertencia: No active la autenticacin punto a punto para los clientes que estn instalados en el mismo equipo que el servidor de administracin. Si no, el servidor de administracin no puede descargar polticas en el equipo remoto si el equipo remoto no pasa la comprobacin de integridad del host.
415
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Configuracin de autenticacin Punto a Punto. En el panel Configuracin de autenticacin Punto a Punto, seleccione Habilitar autenticacin Punto a Punto. Configure cada uno de los valores que se muestra en la pgina. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para permitir que los equipos remotos se conecten al equipo cliente sin ser autenticados, marque Excluir hosts de la autenticacin y haga clic en Hosts excluidos. El equipo cliente permite trfico a los equipos que se detallan en la lista Host.
6 7 8 9
En el cuadro de dilogo Hosts excluidos, haga clic en Agregar para agregar los equipos remotos que no tienen que ser autenticados. En el cuadro de dilogo Host, defina el host segn la direccin IP, el intervalo de IP o la subred y despus haga clic en Aceptar. En el cuadro de dilogo Hosts excluidos, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
416
Es necesario tener por lo menos una regla en una poltica. Pero se pueden tener tantas reglas como sean necesarias. Es posible habilitar o deshabilitar reglas segn sea necesario. Por ejemplo, puede ser recomendable deshabilitar una regla para realizar la solucin de problemas y habilitarla cuando haya terminado. La Tabla 18-3 describe qu debe saber sobre reglas de firewall. Tabla 18-3 Asunto Acerca de las reglas de firewall Descripcin
La diferencia Debe estar familiarizado con la relacin entre el nivel de control de entre las reglas de usuario del cliente y la interaccin del usuario con las reglas de firewall. servidor y las Ver "Acerca de las reglas del servidor de firewall y las reglas de clientes" reglas de clientes en la pgina 417. El orden en el cual Symantec Endpoint Protection procesa reglas de firewall Comprenda cmo pedir reglas para asegurarse de que las reglas ms restrictivas sean evaluadas primero y la mayora de las reglas generales sean evaluadas al final. Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones" en la pgina 418.
Qu son las reglas Debe estar familiarizado con las implicaciones de heredar reglas de heredadas un grupo principal y cmo se procesan las reglas heredadas. Ver "Acerca de reglas de firewall heredadas" en la pgina 419. Qu es la inspeccin de estado Symantec Endpoint Protection usa la inspeccin de estado, que elimina la necesidad de crear reglas adicionales. Es posible aprender qu es la inspeccin de estado y cmo protege su red contra amenazas. Ver "Cmo el firewall usa la inspeccin de estado" en la pgina 422. Acerca de los Aprenda cmo los activadores del firewall pueden ayudar a proteger activadores de las sus clientes y servidores. reglas de firewall Cuando se comprende qu son estos activadores y cmo puede usarlos mejor, puede personalizar sus reglas de firewall como corresponda. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422. Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428. Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433.
417
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo configurar reglas de firewall" en la pgina 435.
Control mixto
Control de clientes
La Tabla 18-5 enumera el orden en que el firewall procesa las reglas del servidor de firewall, las reglas de clientes y la configuracin de los clientes. Tabla 18-5 Prioridad de procesamiento de reglas del servidor y de reglas de clientes Tipo o configuracin de la regla
Reglas del servidor con los niveles prioritarios (reglas ubicadas sobre la lnea azul en la lista Reglas ) Reglas del cliente Reglas del servidor con los niveles prioritarios ms bajos (reglas ubicadas bajo la lnea azul en la lista Reglas ) En el cliente, las reglas del servidor ubicadas bajo la lnea azul se procesan despus de reglas de clientes. Cuarto lugar Configuracin de seguridad de los clientes
Prioridad
Primer lugar
418
Prioridad
Quinto lugar
En el cliente, los usuarios pueden modificar las reglas de clientes o la configuracin de seguridad, pero no pueden modificar una regla del servidor. Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una regla de cliente que permita todo el trfico. Esta regla anula todas las reglas del servidor ubicadas bajo la lnea azul. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo cambiar el orden de las reglas de firewall" en la pgina 421. Ver "Modificar el nivel de control del usuario" en la pgina 223.
Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones
Las reglas de firewall se ordenan secuencialmente, desde la prioridad ms alta hasta la prioridad ms baja, o desde arriba abajo en la lista de reglas. Si la primera regla no especifica cmo administrar un paquete, el firewall examina la segunda regla. Este proceso contina hasta que el firewall encuentre una coincidencia. Una vez que el firewall encuentra una coincidencia, el firewall toma medidas que la regla especifica. Las reglas subsecuentes de una prioridad ms baja no se examinan. Por ejemplo, si una regla que bloquea todo el trfico se enumera primero, seguida por una regla que permita todo el trfico, el cliente bloquea todo el trfico. Es posible ordenar las reglas segn la exclusividad. Las reglas ms restrictivas se evalan primero, y las reglas ms generales se evalan al final. Por ejemplo, es necesario poner las reglas que bloquean el trfico cerca de la parte superior de la lista de reglas. Las reglas que aparecen ms abajo en la lista pueden permitir el trfico. La lista Reglas contiene una lnea divisoria azul. La lnea divisoria configura la prioridad de las reglas en las siguientes situaciones:
Cuando un subgrupo hereda reglas de un grupo principal. Cuando el cliente se configura en control mixto. El firewall procesa reglas del servidor y reglas de clientes.
La Tabla 18-6 muestra el orden en el cual el firewall procesa las reglas, la configuracin del firewall y la configuracin de la prevencin de intrusiones.
419
Ver "Cmo cambiar el orden de las reglas de firewall" en la pgina 421. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo funciona un firewall" en la pgina 401. Ver "Cmo funciona la prevencin de intrusiones" en la pgina 458.
420
Sobre la lnea de divisin azul Las reglas que la poltica hereda toman precedencia sobre las reglas que se crean. Debajo de la lnea divisoria azul Las reglas que se crean toman precedencia sobre las reglas que hereda la poltica.
La Figura 18-1 muestra cmo la lista Reglas ordena las reglas cuando un subgrupo hereda reglas de un grupo principal. En este ejemplo, el grupo de ventas es el grupo principal. El grupo de ventas de Europa hereda del grupo de ventas. Figura 18-1
Grupo Ventas
Norma 1
Norma 3 Norma 3
Lnea azul
Lnea azul
Lnea azul
Norma 2
Norma 4
Norma 4
Toma precedencia
Norma 2
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Agregar reglas de firewall heredadas de un grupo principal" en la pgina 420.
421
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, seleccione Heredar reglas de firewall del grupo principal. Para quitar las reglas heredadas, desactive Heredar reglas de firewall del grupo principal.
Ver "Editar una poltica" en la pgina 263. Ver "Acerca de reglas de firewall heredadas" en la pgina 419. Ver "Acerca de las reglas de firewall" en la pgina 415.
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas y seleccione la regla que desea mover. Realice una de las siguientes tareas:
Para procesar esta regla antes que la regla anterior, haga clic en Subir. Para procesar esta regla despus de la que est debajo de ella, haga clic en Bajar.
Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones" en la pgina 418. Ver "Editar una poltica" en la pgina 263. Ver "Acerca de las reglas de firewall" en la pgina 415.
422
423
HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador Web. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite comunicacin. Las reglas basadas en la aplicacin pueden ser difciles de solucionar, porque una aplicacin puede utilizar varios protocolos. Por ejemplo, si el firewall procesa una regla que permite Internet Explorer antes de una regla que bloquee el ftp, el usuario se puede comunicar con el ftp. El usuario puede escribir una URL basada en ftp en el navegador, tal como ftp://ftp.symantec.com. Por ejemplo: se permite Internet Explorer y no se define ningn otro disparador. Los usuarios del equipo podrn acceder a los sitios remotos que utilizan HTTP, HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador web. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite la comunicacin. No es necesario utilizar reglas de aplicaciones para controlar el trfico en el nivel de red. Por ejemplo, una regla que bloquee o limite el uso de Internet Explorer no tendra ningn efecto si el usuario utilizara otro navegador Web. El trfico que el otro navegador Web genera sera comparado con el resto de las reglas, excepto con la regla de Internet Explorer. Las reglas basadas en la aplicacin son ms eficaces cuando se configuran para bloquear las aplicaciones que envan y reciben trfico. Ver "Definicin de la informacin sobre aplicaciones" en la pgina 423. Ver "Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado" en la pgina 427. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Bloqueo de las aplicaciones en red que pueden haber sido atacadas" en la pgina 425.
Escriba la informacin manualmente. Ver "Para definir informacin sobre las aplicaciones manualmente " en la pgina 424. Busque la aplicacin en la lista de aplicaciones reconocidas. Las aplicaciones de la lista de aplicaciones reconocidas son las aplicaciones que los equipos cliente de su red ejecutan.
424
Ver "Para buscar aplicaciones en la lista de aplicaciones reconocidas" en la pgina 424. Para definir informacin sobre las aplicaciones manualmente
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, haga clic con el botn derecho en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba uno o varios de los campos siguientes:
Ruta y nombre de archivo Descripcin Tamao, en bytes Fecha en que la aplicacin fue modificada por ltima vez Huella digital de archivos
6 7
1 2 3 4 5
En la pgina Polticas de firewall, haga clic en Reglas. En la ficha Reglas, seleccione una regla, haga clic con el botn derecho en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar desde. En el cuadro de dilogo Buscar aplicaciones, busque una aplicacin. Conforme a la tabla Resultados de la consulta, agregue la aplicacin a la lista Aplicaciones, seleccione la aplicacin, haga clic en Agregar y despus haga clic en Aceptar. Haga clic en Cerrar. Haga clic en Aceptar.
6 7
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Editar una poltica" en la pgina 263. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422.
425
Un troyano atac la aplicacin. La aplicacin fue actualizada con una nueva versin o una actualizacin.
Es posible agregar aplicaciones a una lista, de modo que el cliente no las supervise. Puede excluir las aplicaciones que usted piense que estn a salvo de un ataque de troyano, pero que tengan actualizaciones frecuentes y automticas de parches. Es posible desactivar la supervisin de aplicaciones de red si usted confa en que los equipos cliente reciben proteccin antivirus y antispyware adecuada. Puede tambin querer reducir al mnimo el nmero de notificaciones que solicitan a los usuarios que permitan o bloqueen una aplicacin de red. Para bloquear las aplicaciones en red que pueden haber sido atacadas
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, seleccione un grupo y haga clic en Polticas. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Supervisin de aplicaciones de red. En el cuadro de dilogo Supervisin de aplicaciones de red para nombre de grupo, haga clic en Habilitar supervisin de aplicaciones de red.
426
En la lista desplegable Cuando se detecta un cambio en una aplicacin, seleccione la accin que el firewall realizar sobre la aplicacin que se ejecuta en el cliente, de la siguiente manera:
Preguntar Pregunta al usuario si desea permitir o bloquear la aplicacin. Bloquea la ejecucin de la aplicacin. Permite que se ejecute la aplicacin y registra la informacin en el registro de seguridad. El firewall toma esta medida solamente sobre las aplicaciones que se han modificado.
6 7 8
Si seleccion Preguntar, haga clic en Texto adicional. En el cuadro de dilogo Texto adicional, escriba el texto que desea mostrar bajo el mensaje estndar y despus haga clic en Aceptar. Para excluir una aplicacin de la supervisin, en Lista de aplicaciones sin supervisin, realice una de las siguientes tareas:
Para definir una aplicacin manualmente Para definir una aplicacin de una lista de aplicaciones reconocidas Haga clic en Agregar, complete uno o ms campos y despus haga clic en Aceptar. Haga clic en Agregar desde. La lista de aplicaciones reconocidas supervisa las aplicaciones de red y las que no estn conectadas. Es necesario seleccionar aplicaciones de red solamente de la lista de aplicaciones reconocidas. Despus de agregar aplicaciones a la Lista de aplicaciones sin supervisin, es posible activarlas, desactivarlas, editarlas o eliminarlas.
Seleccione el cuadro al lado de la aplicacin para habilitarla; anule la seleccin del cuadro para deshabilitarla.
427
Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 281. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279.
Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado
Es posible enviar a los usuarios una notificacin de que una aplicacin a la que quieren acceder est bloqueada. Esta notificacin aparece en los equipos de los usuarios. Nota: Habilitar demasiadas notificaciones puede no solo abrumar a sus usuarios, sino que puede adems alarmarlos. Sea cuidadoso al habilitar notificaciones. Para notificar a los usuarios que el acceso a una aplicacin est bloqueado
1 2 3
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Reglas. En la ficha Notificaciones, seleccione las siguientes opciones que desee aplicar:
Mostrar notificacin en el equipo cuando el cliente bloquea una aplicacin Una notificacin aparece cuando el cliente bloquea una aplicacin.
Agregar texto adicional a la Haga clic en Establecer texto adicional y personalice notificacin la notificacin. Personalizar el texto de la notificacin es opcional.
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422. Ver "Bloqueo de las aplicaciones en red que pueden haber sido atacadas" en la pgina 425.
428
Es posible definir varios hosts de origen y varios hosts de destino. La Figura 18-2 ilustra la relacin de origen y la relacin de destino con respecto a la direccin del trfico.
429
Figura 18-2
Origen
` Cliente de SEP HTTP
Destino
Symantec.com
Destino
` Cliente de SEP RDP
Origen
` Otro cliente
La Figura 18-3 ilustra la relacin del host local y el host remoto con respecto a la direccin del trfico. Figura 18-3 La relacin entre el host local y el host remoto
Local
` Cliente de SEP HTTP
Remoto
Symantec.com
Local
` Cliente de SEP RDP
Remoto
` Otro cliente
Instruccin AND
430
Por ejemplo, considere una regla que defina un solo host local y varios host remotos. Como el firewall examina los paquetes, el host local debe coincidir con la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden coincidir con cualquier host remoto. Por ejemplo, es posible definir una regla para permitir la comunicacin HTTP entre el host local y Symantec.com, Yahoo.com o Google.com. La regla es igual que tres reglas. Ver "Cmo agregar los grupos de hosts" en la pgina 430. Ver "Cmo bloquear trfico a o desde un servidor especfico" en la pgina 443. Ver "Acerca de las reglas de firewall" en la pgina 415.
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. Expanda Componente de poltica y despus haga clic en Grupos de hosts. En Tareas, haga clic en Agregar un grupo de hosts. En el cuadro de dilogo Grupo de hosts, escriba un nombre y haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable Tipo, seleccione un host. Escriba la informacin apropiada para cada tipo de host. Haga clic en Aceptar. Agregue hosts adicionales, si es necesario. Haga clic en Aceptar.
431
Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428.
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo para el cual se aplica la funcin. En Tareas, haga clic en Administrar ubicaciones. Asegrese de que Bucle de consulta de DNS est seleccionado. Haga clic en la configuracin y los incrementos de la hora y modifquela segn lo desee. Es posible configurar el valor en segundos, minutos u horas. El valor predeterminado es de 30 minutos.
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428.
432
una regla de firewall que permita o bloquee los servicios de red. Un activador de servicio de red identifica uno o ms protocolos de red significativos en relacin con el trfico de red descrito. Cuando usted define elementos que activan servicios basados en TCP o UDP, identifica los puertos en ambos lados de la conexin de red descrita. Tradicionalmente, los puertos se consideran el origen o el destino de una conexin de red. Ver "Cmo agregar los servicios de red a la lista de los servicios de red predeterminada" en la pgina 432. Ver "Permitir a clientes navegar en los archivos y las impresoras de la red" en la pgina 446. Ver "Acerca de las reglas de firewall" en la pgina 415.
Cmo agregar los servicios de red a la lista de los servicios de red predeterminada
Los servicios de red permiten que los equipos conectados enven y reciban mensajes, compartan archivos e impriman. Es posible crear una regla de firewall que permita o bloquee los servicios de red. La lista de los servicios de red elimina la necesidad de volver a escribir protocolos y puertos para las reglas de firewall que se crean para bloquear o para permitir servicios de red. Cuando se crea una regla de firewall, se puede seleccionar un servicio de red de una lista predeterminada de servicios de red de uso general. Es posible tambin agregar servicios de red a la lista predeterminada. Sin embargo, es necesario estar familiarizado con el tipo de protocolo y los puertos que el servicio utiliza. Nota: IPv4 e IPv6 son los dos protocolos de nivel de red que se utilizan en Internet. El firewall bloquea los ataques que viajan con IPv4, pero no con IPv6. Si instala el cliente en los equipos que ejecutan Microsoft Vista, la lista Reglas incluye varias reglas predeterminadas que bloquean el tipo de protocolo Ethernet IPv6. Si quita las reglas predeterminadas, deber crear una regla que bloquee IPv6.
Nota: Es posible agregar un servicio de red personalizado mediante una regla de firewall. Sin embargo, el servicio de red no se agrega a la lista predeterminada. No es posible acceder al servicio de red personalizado desde ninguna otra regla.
433
Para agregar los servicios de red a la lista de los servicios de red predeterminada
1 2 3 4 5
En la consola, haga clic en Polticas. Expanda Componentes de polticas y despus haga clic en Servicios de red. En Tareas, haga clic en Agregar un servicio de red. En el cuadro de dilogo Servicio de red, escriba un nombre para el servicio y haga clic en Agregar. Seleccione un protocolo de la lista desplegable Protocolo. Las opciones se modifican de acuerdo con el protocolo que usted selecciona.
6 7 8
Complete los campos apropiados y haga clic en Aceptar. Agregue uno o ms protocolos adicionales, segn sea necesario. Haga clic en Aceptar.
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Ver "Cmo controlar si los equipos en red pueden compartir mensajes, archivos y la impresin" en la pgina 445. Ver "Permitir a clientes navegar en los archivos y las impresoras de la red" en la pgina 446.
434
Es posible seleccionar un adaptador de red de una lista predeterminada que est compartida por varias reglas y polticas de firewall. Los adaptadores ms comunes se incluyen en la lista predeterminada de la lista Componentes de polticas. Los adaptadores comunes incluyen adaptadores de VPN, Ethernet, inalmbricos, Cisco, Nortel y Enterasys. Nota: Es posible agregar un adaptador de red personalizado mediante una regla de firewall. Sin embargo, el adaptador de red no se agrega a la lista predeterminada. No es posible acceder al adaptador de red personalizado desde ninguna otra regla. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo agregar un adaptador de red personalizado a la lista de adaptadores de red" en la pgina 434. Ver "Cmo controlar el trfico que pasa por un adaptador de red" en la pgina 449.
435
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. En Tareas, haga clic en Agregar un adaptador de red. En el cuadro de dilogo Adaptador de red, en la lista desplegable Tipo de adaptador, seleccione un adaptador. En el campo Nombre del adaptador, escriba opcionalmente una descripcin. En el cuadro de texto Identificacin del adaptador, escriba la marca del adaptador, con diferenciacin entre maysculas y minsculas. Para encontrar la marca del adaptador, abra una lnea de comandos en el cliente y escriba el texto siguiente:
ipconfig/all
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433. Ver "Cmo controlar el trfico que pasa por un adaptador de red" en la pgina 449.
436
Tarea
Agregar una nueva regla de firewall
Una vez que crea una nueva regla o si desea personalizar una regla predeterminada, puede modificar cualquiera de los criterios de la regla de firewall. Ver "Cmo personalizar reglas de firewall" en la pgina 439.
437
Es necesario especificar el trfico entrante y saliente en la regla siempre que sea posible. No es necesario crear reglas de entrada para el trfico tal como HTTP. El cliente de Symantec Endpoint Protection usa la inspeccin de estado para trfico de TCP. Por lo tanto, no necesita una regla para filtrar el trfico de retorno que inician los clientes. Cuando crea una nueva regla de firewall, se habilita automticamente. Puede inhabilitar una regla de firewall si necesita permitir el acceso especfico de un programa o equipo. La regla tambin se deshabilita para todas las polticas heredadas. La regla tambin se deshabilita para todas las ubicaciones si es una poltica compartida y solamente para una ubicacin si es una poltica especfica para una ubicacin. Nota: Las reglas se deben activar para que el firewall las procese. Para agregar una nueva regla de firewall en blanco
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, haga clic en Agregar regla vaca. Opcionalmente, puede personalizar los criterios de la regla de firewall segn sea necesario. Cuando haya terminado la configuracin de esta regla, haga clic en Aceptar.
1 2 3 4 5 6 7 8 9
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, haga clic en Agregar regla. En el Asistente para agregar reglas de firewall, haga clic en Siguiente. En el panel Seleccionar el tipo de regla, seleccione uno de los tipos de reglas. Haga clic en Siguiente. Escriba los datos en cada panel para crear el tipo de regla que seleccion. Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar aplicaciones y servicios adicionales. Cuando haya terminado, haga clic en Finalizar.
438
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la lista Reglas, seleccione las reglas que desea exportar, haga clic con el botn derecho y, despus, haga clic en Exportar. En el cuadro de dilogo Exportar poltica, seleccione un directorio para guardar el archivo .dat, escriba un nombre de archivo y haga clic en Exportar.
1 2 3 4 5 6
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. Haga clic con el botn secundario en la lista de reglas y, despus, haga clic en Importar. En el cuadro de dilogo Importar poltica, busque el archivo .dat que contiene las reglas de firewall que desea importar y haga clic en Importar. En el cuadro de dilogo Entrada, escriba un nuevo nombre para la poltica y haga clic en Aceptar. Haga clic en Aceptar.
439
Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones" en la pgina 418. Ver "Editar una poltica" en la pgina 263.
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, haga clic con el botn derecho en la regla que usted desea copiar y, despus, haga clic en Copiar regla. Haga clic con el botn secundario en la fila donde usted desea pegar la regla y, despus, haga clic en Pegar regla. Haga clic en Aceptar.
Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Editar una poltica" en la pgina 263.
440
Acciones
Los parmetros de accin especifican qu medidas toma el firewall cuando una regla coincide. Si la regla coincide y se selecciona en respuesta a un paquete recibido, el firewall realiza todas las acciones. El firewall permite o bloquea el paquete, y registra o no el paquete. Si el firewall permite el trfico, permite que el trfico especificado por la regla acceda a la red. Si el firewall bloquea el trfico, bloquea el trfico especificado por la regla para que no acceda a la red. Las acciones son las siguientes: Permitir El firewall permite la conexin de red. Bloquear El firewall bloquea la conexin de red.
441
Activadores
Cuando el firewall evala la regla, todos los activadores deben ser verdaderos para que se produzca una coincidencia. Si algn activador no es verdadero en relacin con el paquete actual, el firewall no podr aplicar la regla. Es posible combinar las definiciones de activacin para crear reglas ms complejas, por ejemplo, para identificar un protocolo determinado en lo referente a una direccin de destino especfica. Las activaciones son las siguientes: Aplicacin Cuando la aplicacin es el nico activador que usted define en una regla de permiso de trfico, el firewall permite que la aplicacin realice cualquier operacin de red. La aplicacin es el valor significativo, no las operaciones de red que la aplicacin realiza. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite comunicacin. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422. Host Cuando se definen activadores de hosts, se especifica el host en ambos lados de la conexin de red descrita. Tradicionalmente, la manera de expresar la relacin entre los hosts se denomina el origen o destino de una conexin de red. Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428. Servicios de red Un activador de servicios de red identifica uno o ms protocolos de red significativos en relacin con el trfico descrito. El equipo host local maneja siempre el puerto local, y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico. Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Adaptador de red Si define un disparador de adaptador de red, la regla es relevante solamente para el trfico transmitido o recibido usando el tipo especificado de adaptador. Es posible especificar cualquier adaptador o el que se asocia actualmente al equipo cliente. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433.
442
Condiciones
Las condiciones de regla incluyen la programacin de reglas y el estado del protector de pantalla. Los parmetros condicionales no describen un aspecto de una conexin de red. En cambio, los parmetros condicionales determinan el estado activo de una regla. Es posible definir una programacin o identificar el estado de un protector de pantalla que dicta cundo se considera que una regla est activa o inactiva. Los parmetros condicionales son opcionales y si no se definen, no son significativos. El firewall no evala reglas inactivas.
Notificaciones La configuracin del registro permite especificar si el servidor debe crear una entrada de registro o enviar un mensaje de correo electrnico cuando un evento de trfico coincide con los criterios establecidos para esta regla. La configuracin de la gravedad le permite especificar el nivel de gravedad de la infraccin de la regla.
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, en el campo Habilitada, asegrese de que el cuadro est seleccionado para habilitar la regla; anule la seleccin del cuadro para deshabilitar la regla. Symantec Endpoint Protection procesa solamente las reglas que se habilitan. Todas las reglas estn habilitadas de forma predeterminada.
4 5 6
Haga doble clic en el campo Nombre y escriba un nombre nico para la regla de firewall. Haga clic con el botn derecho en el campo Accin y seleccione las medidas que desee que Symantec Endpoint Protection tome si se activa la regla. En el campo Aplicacin, defina una aplicacin. Ver "Definicin de la informacin sobre aplicaciones" en la pgina 423.
En el campo Host, especifique un activador de hosts. Ver "Cmo bloquear trfico a o desde un servidor especfico" en la pgina 443.
Adems de especificar un activador de hosts, se puede tambin especificar el trfico que tiene permitido acceder a su subred local. Ver "Permitir solamente el trfico especfico a la subred local" en la pgina 445.
443
En el campo Servicio, especifique un activador del servicio de red. Ver "Cmo controlar si los equipos en red pueden compartir mensajes, archivos y la impresin" en la pgina 445.
13 En la columna Tiempo, especifique los perodos en los cuales esta regla est
activa. Ver "Cmo programar cundo una regla de firewall est activa" en la pgina 450.
15 Haga clic con el botn derecho en el campo Descripcin, haga clic en Editar,
escriba una descripcin opcional para la regla y despus haga clic en Aceptar.
444
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Host y despus haga clic en Editar. En el cuadro de dilogo Lista de hosts, realice una de las siguientes acciones:
A continuacin en el cuadro de dilogo Lista de hosts, seleccione el cuadro en la columna Habilitado para cualquier grupo de hosts que se desee agregar a la regla.
6 7
Agregue hosts adicionales, si es necesario. Haga clic en Aceptar para volver a la lista Reglas.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263. Ver "Cmo agregar los grupos de hosts" en la pgina 430.
445
1 2 3 4 5 6 7
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar. En la tabla Reglas de firewall, en la columna Host, haga doble clic en la regla para la cual desea crear una condicin del trfico de la subred local. En el tipo de host para el cual esta regla se aplica (local o remoto), haga clic en Agregar. Haga clic en la lista desplegable Tipo de direccin y seleccione Subred local. Haga clic en Aceptar y despus haga clic en Aceptar de nuevo para cerrar y salir del cuadro de dilogo Lista de hosts.
Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Editar una poltica" en la pgina 263. Ver "Cmo personalizar reglas de firewall" en la pgina 439.
Cmo controlar si los equipos en red pueden compartir mensajes, archivos y la impresin
Los servicios de red permiten que los equipos conectados enven y reciban mensajes, archivos compartidos e impresiones. Es posible crear una regla de firewall que permita o bloquee los servicios de red. Es posible agregar un servicio de red personalizado mediante una regla de firewall. Sin embargo, el servicio de red no se agrega a la lista predeterminada. No es posible acceder al servicio personalizado desde ninguna otra regla. Para controlar si los equipos en red pueden compartir mensajes, archivos y la impresin
1 2
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas.
446
En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, seleccione la casilla al lado de cada servicio que desee que active la regla. Para agregar un servicio adicional solamente para la regla seleccionada, haga clic en Agregar. En el cuadro de dilogo Protocolo, seleccione un protocolo de la lista desplegable Protocolo. Complete los campos apropiados. Haga clic en Aceptar. Haga clic en Aceptar.
4 5 6 7 8 9
447
Los usuarios en el cliente pueden habilitar esta configuracin automticamente configurndola en Proteccin contra amenazas de red. Una regla de firewall del servidor que especifica este tipo de trfico puede anular esta configuracin. Esta configuracin no est disponible en el cliente.
Control mixto
Control de servidores
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en TCP y despus haga clic en Local o remoto. Realice una de las siguientes tareas:
Para permitir a En la lista desplegable Puerto remoto, escriba 88, 135, 139, clientes navegar en 445. los archivos y las impresoras de la red Para permitir que En la lista desplegable Puerto local, escriba 88, 135, 139, 445. otros equipos busquen archivos en el cliente
4 5 6
7 8 9
Haga clic en Aceptar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en UDP.
448
11 Haga clic en Aceptar. 12 En el cuadro de dilogo Lista de servicios, asegrese de que los dos servicios
estn habilitados y despus haga clic en Aceptar.
14 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 15 Si se le pide, asigne la poltica a una ubicacin.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263.
1 2
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas.
449
En la ficha Reglas, seleccione una regla, haga clic con el botn derecho en el campo Registro y realice una de las siguientes acciones:
Para enviar un mensaje de Seleccione Enviar alerta de correo electrnico. correo electrnico cuando se activa una regla de firewall Para generar un evento de Seleccione Escribir en el registro de trfico y Escribir registro cuando se activa una en el registro de paquetes. regla de firewall
4 5 6 7
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Configure una alerta de seguridad. Configure un servidor de correo. Haga clic en Aceptar.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo configurar notificaciones de administrador" en la pgina 638.
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Adaptador y despus haga clic en Ms adaptadores.
450
Para activar la regla para los adaptadores Haga clic en Aplicar la regla a los seleccionados siguientes adaptadores. A continuacin seleccione el cuadro al lado de cada adaptador que desee que active la regla.
Para agregar un adaptador personalizado para la regla seleccionada solamente, haga las siguientes tareas:
Haga clic en Agregar. En el cuadro de dilogo Adaptador de red, seleccione el tipo de adaptador y escriba la marca del adaptador en el campo de texto Identificacin del adaptador.
6 7 8
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433.
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, seleccione la regla que desea editar, haga clic con el botn secundario en el campo Hora y despus haga clic en Editar. En el cuadro de dilogo Lista de programacin, haga clic en Agregar.
451
5 6 7
En el cuadro de dilogo Agregar programacin, configure el momento de inicio y finalizacin durante el que la regla estar activa o inactiva. En la lista desplegable Mes, seleccione Todos o un mes especfico. Seleccione el cuadro para el plazo que desee. Si selecciona Especificar das, elija uno o varios de los das mencionados.
8 9
Haga clic en Aceptar. En la Lista de programacin, realice una de las siguientes acciones:
Para mantener la regla activa Anule la seleccin del cuadro en la columna Cualquier durante este tiempo momento excepto. Para que la regla est Seleccione el cuadro en la columna Cualquiermomento inactiva durante este tiempo excepto.
452
Captulo
19
Cmo administrar la prevencin de intrusiones en sus equipos cliente Cmo funciona la prevencin de intrusiones Acerca de firmas IPS de Symantec Acerca de las firmas IPS personalizadas Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red Cmo crear las excepciones para las firmas IPS Configurar una lista de equipos excluidos Configuracin de notificaciones de la prevencin de intrusiones del cliente Cmo administrar firmas de prevencin de intrusiones personalizadas
454
Administracin de prevencin de intrusiones Cmo administrar la prevencin de intrusiones en sus equipos cliente
Habilite o deshabilite la prevencin de Puede ser recomendable deshabilitar la intrusiones prevencin de intrusiones para solucionar problemas o si los equipos cliente detectan falsos positivos excesivos. Sin embargo, para mantener a sus equipos cliente protegidos, generalmente, usted no debe deshabilitar la prevencin de intrusiones. Es posible habilitar o deshabilitar los siguientes tipos de prevencin de intrusiones en la poltica de Prevencin de intrusiones:
Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461. Es posible tambin habilitar o deshabilitar ambos tipos de prevencin de intrusiones, as como el firewall, cuando se ejecuta el comando Habilitar proteccin contra amenazas de red o Deshab. protec. contra amen. red. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215.
Administracin de prevencin de intrusiones Cmo administrar la prevencin de intrusiones en sus equipos cliente
455
Tarea
Cree las excepciones para cambiar el comportamiento predeterminado de las firmas de la prevencin de intrusiones de red de Symantec
Descripcin
456
Administracin de prevencin de intrusiones Cmo administrar la prevencin de intrusiones en sus equipos cliente
Tarea
Descripcin
Puede ser recomendable crear excepciones para cambiar el comportamiento predeterminado de las firmas predeterminadas de la prevencin de intrusiones de red de Symantec. Algunas firmas bloquean el trfico de forma predeterminada y otras firmas permiten el trfico de forma predeterminada.
Ver "Cmo crear las excepciones para las firmas IPS" en la pgina 461. Es posible usar el control de aplicaciones para evitar que los usuarios ejecuten aplicaciones de punto a punto en sus equipos. Ver "Reglas de control de aplicaciones tpicas" en la pgina 487. Si desea bloquear los puertos que envan y reciben
Administracin de prevencin de intrusiones Cmo administrar la prevencin de intrusiones en sus equipos cliente
457
Tarea
Descripcin
trfico de punto a punto, use una poltica de firewall. Ver "Creacin de polticas de firewall" en la pgina 403.
Cree las excepciones para omitir firmas Es posible crear excepciones para excluir firmas del navegador en los equipos cliente del navegador de la prevencin contra intrusiones de navegador. Puede ser recomendable omitir firmas del navegador si la prevencin contra intrusiones de navegador causa problemas con los navegadores en su red. Ver "Cmo crear las excepciones para las firmas IPS" en la pgina 461. Excluya los equipos especficos de los Puede ser recomendable excluir ciertos equipos anlisis de la prevencin de intrusiones de la prevencin de intrusiones. Por ejemplo, algunos equipos de la red interna se pueden configurar a los fines de realizar pruebas. Puede ser recomendable que Symantec Endpoint Protection omita el trfico que va y viene de esos equipos. Cuando excluye los equipos, usted adems los excluye de la proteccin contra denegacin del servicio y de la proteccin del anlisis de puertos que el firewall proporciona. Ver "Configurar una lista de equipos excluidos" en la pgina 463. Configure notificaciones de prevencin De forma predeterminada, los mensajes aparecen de intrusiones en los equipos cliente para los intentos de intrusin. Es posible personalizar el mensaje. Ver "Configuracin de notificaciones de la prevencin de intrusiones del cliente" en la pgina 464.
458
Tarea
Cree firmas de prevencin de intrusiones personalizadas
Descripcin
Es posible escribir su propia firma de prevencin de intrusiones para identificar una amenaza especfica. Cuando escribe su propia firma, puede reducir la posibilidad de que la firma cause un falso positivo. Por ejemplo, puede ser recomendable usar firmas de prevencin de intrusiones personalizadas para bloquear y para registrar sitios web. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465.
Supervisar la prevencin de intrusiones Compruebe regularmente que la prevencin de intrusiones est habilitada en los equipos cliente en su red. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
459
Prevencin contra intrusiones de La prevencin contra intrusiones de red usa firmas red para identificar ataques en los equipos cliente. Para los ataques conocidos, la prevencin de intrusiones desecha automticamente los paquetes que coinciden con las firmas. Es posible tambin crear sus propias firmas de red personalizadas como parte de una poltica de prevencin de intrusiones. No es posible crear firmas personalizadas en el cliente directamente; sin embargo, se pueden importar firmas personalizadas en el cliente. Ver "Acerca de firmas IPS de Symantec" en la pgina 459. Prevencin contra intrusiones del La prevencin contra intrusiones del navegador navegador supervisa ataques en Internet Explorer y Firefox. La prevencin contra intrusiones del navegador no se admite en ningn otro navegador. Este tipo de prevencin de intrusiones usa firmas de ataques as como la heurstica para identificar ataques en los navegadores. Para algunos ataques del navegador, la prevencin de intrusiones necesita que el cliente cierre el navegador. Una notificacin aparece en el equipo cliente.
460
Las firmas de red coinciden con los patrones de un ataque que puede bloquear aplicaciones o explotar los sistemas operativos en sus equipos cliente. Es posible cambiar si la firma de red de Symantec bloquea o permite trfico. Es posible tambin cambiar si Symantec Endpoint Protection registra una deteccin de una firma en el registro de seguridad o no.
Las firmas del navegador coinciden con patrones de ataque en los navegadores admitidos, tales como archivos de script que pueden bloquear el navegador. No es posible personalizar la configuracin de la accin o el registro para las firmas del navegador, pero se puede excluir una firma del navegador.
Ver "Cmo crear las excepciones para las firmas IPS" en la pgina 461. El equipo de Symantec Security Response suministra las firmas de ataques. El motor de la prevencin de intrusiones y el conjunto correspondiente de firmas estn instalados en el cliente de forma predeterminada. Las firmas son parte del contenido que se actualiza en el cliente. Es posible ver la informacin sobre firmas IPS en el sitio web de Symantec. http://securityresponse.symantec.com/avcenter/attack_sigs/index.html
Administracin de prevencin de intrusiones Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red
461
1 2 3
En la consola, abra una poltica de prevencin de intrusiones. En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Seleccionar o anular la seleccin de las siguientes opciones:
Habilitar Prevencin contra intrusiones de red Habilitar prevencin contra intrusiones de navegador
Cambie el comportamiento predeterminado de las firmas IPS de la red Especifique las firmas del navegador que los equipos cliente deben omitir
Es posible modificar las medidas que el cliente toma cuando el IPS reconoce una firma de red. Es posible tambin modificar si el cliente registra el evento en el registro de seguridad.
462
Administracin de prevencin de intrusiones Cmo crear las excepciones para las firmas IPS
No es posible cambiar el comportamiento de las firmas del navegador de Symantec; a diferencia de las firmas de red, las firmas del navegador no permiten la configuracin personalizada de la accin y del registro. Sin embargo, se puede crear una excepcin para una firma del navegador de modo que los clientes omitan la firma. Nota: Cuando se agrega una excepcin de la firma del navegador, Symantec Endpoint Protection Manager incluye la firma en la lista de excepciones y configura automticamente la accin para Permitir y el registro para No bloquear. No es posible personalizar la configuracin de la accin o del registro. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Nota: Para modificar el comportamiento de una firma IPS personalizada que usted cree o importe, se edita la firma directamente. Para modificar el comportamiento de firmas IPS de red Symantec
1 2 3
En la consola, abra una poltica de prevencin de intrusiones. En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones y despus haga clic en Agregar. En el cuadro de dilogo Agregar excepciones de prevencin de intrusiones, realice una de las siguientes acciones para filtrar las firmas:
Para visualizar las firmas de una categora determinada, seleccione una opcin de la lista desplegable Mostrar categora. Para visualizar las firmas clasificadas con una gravedad determinada, seleccione una opcin de la lista desplegable Mostrar gravedad.
Seleccione una o ms firmas. Para hacer que el comportamiento de todas las firmas de red sea igual, haga clic en Seleccionar todos.
5 6
Haga clic en Siguiente. En el cuadro de dilogo Accin de la firma, configure la accin para Bloquear o Permitir. Nota: El cuadro de dilogo Accin de la firma se aplica solamente a las firmas de red.
463
7 8
Opcionalmente, configure la accin del registro para Registrar el trfico o No registrar el trfico. Haga clic en Aceptar. Si desea revertir el comportamiento de la firma original al comportamiento original, seleccione la firma y haga clic en Eliminar. Si desea que los clientes usen la firma del navegador y que no la omitan, seleccione la firma y haga clic en Eliminar.
1 2 3
En la consola, abra una poltica de prevencin de intrusiones. En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Si no est activada, active la opcin Activar hosts excluidos y, despus, haga clic en Hosts excluidos.
464
En el cuadro de dilogo Host excluidos, seleccione Habilitado al lado de cualquier grupo de hosts que desee excluir. Ver "Cmo bloquear trfico a o desde un servidor especfico" en la pgina 443.
5 6
Para agregar los hosts que desea excluir, haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable, seleccione uno de los siguientes tipos de hosts:
Escriba la informacin apropiada que se asocia al tipo de hosts que usted seleccion. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
8 9
Haga clic en Aceptar. Repita los pasos 5 y 8 para agregar los dispositivos y los equipos adicionales a la lista de equipos excluidos. Editar o Eliminar.
10 Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en 11 Haga clic en Aceptar. 12 Cuando termine de configurar esta poltica, haga clic en Aceptar.
1 2 3
En la consola, haga clic en Clientes y en Clientes, seleccione un grupo. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin:. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas y despus haga clic en Editar configuracin.
465
En el cuadro de dilogo Configuracin de controles de interfaz de usuario del cliente para nombre de grupo, haga clic en Control de servidores o Control mixto. Al lado de Control mixto o de Control de servidores, haga clic en Personalizar. Si hace clic en Control mixto, en la ficha Configuracin de control de clientes y servidores, al lado de Mostrar/ocultar notificaciones de prevencin de intrusiones, haga clic en Servidor. A continuacin, haga clic en la ficha Configuracin de la interfaz de usuario del cliente.
6 7 8
En el cuadro de dilogo o la ficha Configuracin de la interfaz de usuario del cliente, haga clic en Mostrar notificaciones de prevencin de intrusiones. Para activar una seal sonora cuando aparece la notificacin, haga clic en Usar sonido al notificar a los usuarios. En el campo de texto Nmero de segundos que se deben mostrar las notificaciones, escriba el nmero de segundos durante los que usted quisiera que la notificacin apareciera. Para agregar texto a la notificacin estndar que aparece, haga clic en Texto adicional. mostrar en la notificacin y despus haga clic en Aceptar.
10 En el cuadro de dilogo Texto adicional, escriba el texto adicional que desea 11 Haga clic en Aceptar. 12 Haga clic en Aceptar.
Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
466
Tabla 19-2
Tarea
Cree una biblioteca personalizada con Es necesario crear una biblioteca personalizada un grupo de firmas para contener sus firmas personalizadas. Cuando se crea una biblioteca personalizada, se usan grupos de firmas para administrar las firmas ms fcilmente. Es necesario agregar por lo menos un grupo de firmas a una biblioteca de firmas personalizada antes de que agregue las firmas. Ver "Cmo crear una biblioteca IPS personalizada" en la pgina 468. Agregue firmas IPS personalizadas a una biblioteca personalizada Se agregan firmas IPS personalizadas a un grupo de firmas en una biblioteca personalizada. Ver "Cmo agregar firmas a una biblioteca IPS personalizada" en la pgina 468. Asigne las bibliotecas a los grupos de clientes Se asignan las bibliotecas personalizadas a los grupos de clientes en lugar de una ubicacin. Ver "Asignar varias bibliotecas IPS personalizadas a un grupo" en la pgina 470.
467
Tarea
Cambie el orden de las firmas
Descripcin
La prevencin de intrusiones usa la coincidencia de la primera regla. Symantec Endpoint Protection comprueba las firmas en el orden en el que aparecen en la lista de firmas. Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en ambas direcciones en el puerto de destino 80, es posible que tenga que agregar las firmas siguientes:
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre.
468
1 2 3
En la consola, haga clic en Polticas y en Prevencin de intrusiones. En Tareas, haga clic en Agregar firmas de prevencin de intrusiones personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, escriba un nombre y una descripcin opcional para la biblioteca. El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo. Es posible editar el grupo existente o agregar un nuevo grupo.
4 5
Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas, haga clic en Agregar. En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba un nombre de grupo y una descripcin opcional, y haga clic en Aceptar. El grupo est activado de forma predeterminada. Si el grupo de firmas est activado, todas las firmas del grupo se activan automticamente. Para conservar el grupo como referencia pero desactivado, desactive la opcin Activar este grupo.
Agregue una firma personalizada. Ver "Cmo agregar firmas a una biblioteca IPS personalizada" en la pgina 468.
Cree una biblioteca IPS personalizada. Ver "Cmo crear una biblioteca IPS personalizada" en la pgina 468.
2 3
En la ficha Firmas, en Firmas para este grupo, haga clic en Agregar. En el cuadro de dilogo Agregar firma, escriba un nombre y una descripcin opcional para la firma.
469
En la lista desplegable Gravedad, seleccione un nivel de gravedad. Los eventos que coinciden con las condiciones de la firma se registran con esta gravedad.
5 6
En la lista desplegable Direccin, especifique la direccin del trfico que desea que la firma controle. En el campo Contenido, escriba la sintaxis de la firma. Por ejemplo, las firmas para algunos protocolos comunes usan la sintaxis siguiente:
HTTP rule tcp, dest=(80,443), saddr=$LOCALHOST, msg="MP3 GET in HTTP detected", regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*"
FTP
rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET in FTP detected", regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
7 8
Si desea que una aplicacin active la firma, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba el nombre de archivo y una descripcin opcional para la aplicacin. Por ejemplo, para agregar la aplicacin Internet Explorer, escriba el nombre de archivo de las siguientes formas: iexplore o iexplore.exe. Si no especifica un nombre de archivo, cualquier aplicacin puede activar la firma.
Haga clic en Aceptar. La aplicacin agregada queda activada de forma predeterminada. Si desea desactivar la aplicacin hasta un momento posterior, desactive la casilla de verificacin en la columna Activada.
Permitir
470
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo al cual desea asignar las firmas personalizadas. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Prevencin de intrusiones personalizada. En el cuadro de dilogo Prevencin de intrusiones personalizada para nombre de grupo, seleccione la casilla de la columna Habilitada para cada biblioteca IPS personalizada que desee asignar a ese grupo. Haga clic en Aceptar.
471
lista de firmas. Si coinciden varias firmas, desplace las firmas de mayor prioridad a la parte superior. Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en ambas direcciones en el puerto de destino 80, es posible que tenga que agregar las firmas siguientes:
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre. Nota: Las reglas de firewall toman precedencia sobre firmas de prevencin de intrusiones. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Para cambiar el pedido de firmas IPS personalizadas
1 2
Abra una biblioteca IPS personalizada. En la ficha Firmas, en la tabla Firmas para este grupo, seleccione la firma que desea mover y realice una de las siguientes acciones:
Para procesar esta firma antes que la firma que est sobre ella, haga clic en Subir. Para procesar esta firma despus de la firma que est debajo de ella, haga clic en Bajar.
472
1 2
Abra una biblioteca IPS personalizada. En el cuadro de dilogo Firma de prevencin de intrusiones personalizada, en la ficha Firmas, en la tabla Firmas para este grupo, haga clic con el botn derecho en la firma que desee copiar y despus haga clic en Copiar. Haga clic con el botn secundario en la lista de firmas y, despus, haga clic en Pegar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
3 4
1 2 3 4 5
Cree una biblioteca IPS personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, haga clic en la ficha Variables. Haga clic en Agregar. En el cuadro de dilogo Agregar variable, escriba un nombre y una descripcin opcional para la variable. Agregue una cadena de contenido para el valor variable, de hasta 255 caracteres. Cuando escriba la cadena variable de contenido, siga las mismas guas de sintaxis que se utilizan para escribir valores en el contenido de la firma.
Haga clic en Aceptar. Despus de agregar la variable a la tabla, es posible utilizar la variable en cualquier firma de la biblioteca personalizada.
473
1 2
En la ficha Firmas, agregue o edite una firma. En el cuadro de dilogo Agregar firma o Editar firma, en el campo Contenido, escriba el nombre de la variable con un signo de dlar ($) delante de ella. Por ejemplo, si usted crea una variable llamada HTTP para especificar puertos HTTP, escriba lo siguiente: $HTTP
3 4
Haga clic en Aceptar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Asegrese de que los clientes La prxima vez que el cliente reciba la usen la poltica de poltica, el cliente aplicar las nuevas prevencin de intrusiones firmas personalizadas. actual Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273.
474
Paso
Paso 2
Accin
Pruebe el contenido de la firma en el cliente
Descripcin
Es necesario probar el trfico que desee bloquear en los equipos cliente. Por ejemplo, si sus firmas IPS personalizadas deben bloquear los archivos MP3, intente descargar algunos archivos MP3 en los equipos cliente. Si la descarga no ocurre, o se supera el tiempo de espera despus de muchos intentos, la firma IPS personalizada es correcta. Es posible hacer clic en Ayuda para obtener ms informacin sobre la sintaxis que se puede usar en firmas IPS personalizadas.
Paso 3
Es posible ver eventos en los registros de ataques de Proteccin contra amenazas de red. El mensaje que se especifica en la firma IPS personalizada aparece en el registro. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
Captulo
20
Acerca del control de aplicaciones y dispositivos Acerca de las polticas de control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos Cmo configurar el control de aplicaciones y dispositivos Activar un conjunto predeterminado de reglas de control de aplicaciones Cmo crear reglas de control de aplicaciones Cmo configurar el bloqueo del sistema Cmo administrar el control de dispositivos
476
Administracin del control de aplicaciones y dispositivos Acerca del control de aplicaciones y dispositivos
Nota: Tanto el control de aplicaciones como el control de dispositivos se admiten en equipos de 32 bits y de 64 bits. Se usa una poltica de control de aplicaciones y dispositivos para configurar el control de aplicaciones y el control de dispositivos en los equipos cliente. Se usa la ficha Polticas en la pgina Equipos para configurar el bloqueo del sistema. Ver "Acerca de las polticas de control de aplicaciones y dispositivos" en la pgina 477. Advertencia: El control de aplicaciones y el bloqueo del sistema son las funciones avanzadas que solamente los administradores experimentados deben configurar. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Un resumen de las funciones de control de aplicaciones y dispositivos se proporciona a continuacin.
Control de aplicaciones Es posible usar el control de aplicaciones para controlar aplicaciones de las siguientes maneras:
Evite que software malicioso tome las aplicaciones Restrinja las aplicaciones que pueden ejecutarse
Evite que los usuarios cambien los archivos de configuracin Proteja las claves de registro especficas
Control de dispositivos
Es posible usar el control de dispositivos para controlar dispositivos de las siguientes maneras: Bloquee o permita diversos tipos de dispositivos que se conectan a los equipos cliente, tales como dispositivos USB, infrarrojo y FireWire Bloquee o permita los puertos serie y los puertos paralelos
Administracin del control de aplicaciones y dispositivos Acerca de las polticas de control de aplicaciones y dispositivos
477
Es posible usar el bloqueo del sistema para controlar aplicaciones de las siguientes maneras: Controle todas las aplicaciones que pueden ejecutarse independientemente de que el usuario est conectado a la red. Bloquee casi cualquier troyano, spyware o software malicioso que intente ejecutarse o cargarse en una aplicacin existente.
478
Administracin del control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos
Administracin del control de aplicaciones y dispositivos Cmo configurar el control de aplicaciones y dispositivos
479
Figura 20-1
480
Administracin del control de aplicaciones y dispositivos Cmo configurar el control de aplicaciones y dispositivos
Administracin del control de aplicaciones y dispositivos Cmo configurar el control de aplicaciones y dispositivos
481
Tarea
Cree excepciones para el control de aplicaciones
Descripcin
El control de aplicaciones puede causar problemas para algunas aplicaciones que se ejecutan en su red. Es posible excluir aplicaciones del control de aplicaciones. Se usa una poltica de excepciones para especificar la excepcin. Ver "Exclusin de aplicaciones del control de aplicaciones" en la pgina 528.
El bloqueo del sistema controla las aplicaciones permitidas en sus equipos cliente. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
Configure el control de dispositivos para permitir o para bloquear los dispositivos de hardware
El control de dispositivos especifica qu dispositivos de hardware son permitidos o bloqueados en sus equipos cliente. Symantec Endpoint Protection Manager proporciona una lista de dispositivos que se pueden usar en la configuracin de control de dispositivos. Es posible agregar dispositivos a la lista. Ver "Cmo administrar el control de dispositivos" en la pgina 509.
482
Administracin del control de aplicaciones y dispositivos Activar un conjunto predeterminado de reglas de control de aplicaciones
Tarea
Consulte los registros del control de aplicaciones y del control de dispositivos
Descripcin
Es posible ver los eventos de control de aplicaciones y del control de dispositivos en el registro de control de aplicaciones y de control de dispositivos en Symantec Endpoint Protection Manager. En el equipo cliente, los eventos de control de aplicaciones y del control de dispositivos aparecen en el registro de control.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
483
Si desea utilizar los conjuntos de reglas predeterminados en una poltica de control de aplicaciones y dispositivos, debe activarlos. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Para activar un conjunto predeterminado de reglas de control de aplicaciones
En la consola, en la poltica Control de aplicaciones y dispositivos a la que desea agregar un conjunto predeterminado de reglas de control de aplicaciones, haga clic en Control de aplicacin. Para revisar la configuracin en un conjunto predeterminado de reglas de control de aplicaciones, haga clic en el nombre que est debajo de Conjunto de reglas y en Editar. Asegrese de no realizar cambios.
3 4
Cuando haya finalizado de revisar las reglas y la configuracin de condiciones, haga clic en Cancelar. Active la casilla de verificacin que est al lado de cada conjunto de reglas que desea activar. Por ejemplo, al lado del conjunto de reglas Bloquear la escritura en unidades USB, active la casilla de seleccin de la columna activada.
1 2 3 4
En el equipo cliente, conecte una unidad USB. Abra el Explorador de Windows y haga doble clic en la unidad USB. Haga clic con el botn secundario en la ventana y haga clic en Nueva > Carpeta. Si el control de aplicaciones est activo, aparece el mensaje de error No es posible crear la carpeta.
484
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
Accin
Planifique el conjunto de reglas
Paso 2
Es posible crear varias reglas y agregarlas a un solo conjunto de reglas de control de aplicaciones. Es posible eliminar reglas de la lista y modificar su posicin en la jerarqua del conjunto de reglas si es necesario. Es posible tambin habilitar y deshabilitar los conjuntos de reglas o las reglas individuales de un conjunto. Ver "Cmo crear un conjunto de reglas personalizadas y agregar reglas" en la pgina 490. Ver "Reglas de control de aplicaciones tpicas" en la pgina 487. Es posible copiar y pegar los conjuntos de reglas o las reglas individuales dentro de la misma poltica o entre dos polticas. Puede ser recomendable copiar reglas de las polticas que se descargan de Symantec o de las polticas de prueba que contienen las reglas que desea usar en polticas de produccin. Ver "Copiar los conjuntos de reglas o las reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos" en la pgina 492.
Paso 3
Aplique una regla a las Cada regla debe tener por lo menos una aplicacin a la cual se aplicaciones especficas y excluya aplique. Es posible tambin excluir ciertas aplicaciones de la regla. ciertas aplicaciones de la regla Se especifican las aplicaciones en la ficha Propiedades para la regla. Ver "Aplicar una regla a aplicaciones especficas y excluir aplicaciones de una regla" en la pgina 493.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
485
Paso
Paso 4
Accin
Descripcin
Agregue condiciones y acciones a La condicin especifica lo que la aplicacin intenta hacer cuando las reglas se desea controlarla. Puede establecer cualquiera de las siguientes condiciones:
Intentos de acceso al registro Intentos de acceso a archivos y carpetas Intentos de iniciar procesos Intentos de terminar procesos Intentos de cargar DLL
Ver "Cmo agregar condiciones y acciones a una regla de control de aplicaciones" en la pgina 495. Es posible configurar cualquiera de las siguientes acciones para realizar en una aplicacin cuando cumple la condicin configurada:
Continuar procesando otras reglas Permita que la aplicacin acceda a la entidad. Bloquee el acceso de la aplicacin a la entidad. Finalice la aplicacin que est intentando acceder a una entidad
486
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
Cuando se crean reglas del control de aplicaciones, tenga presente las prcticas recomendadas siguientes: Tabla 20-3 Prcticas recomendadas
Use un conjunto de reglas por objetivo
Descripcin
Se recomienda crear un conjunto de reglas que incluya todas las acciones que permitan, bloqueen y supervisen una tarea dada.
Considere el orden de la regla Las reglas del control de aplicaciones funcionan de manera similar a la mayora de las reglas de firewall basadas en redes, ya que ambas utilizan la funcin de coincidencia de la primera regla. Cuando varias condiciones son verdaderas, la primera regla es la nica que se aplica a menos que la accin que se configure para la regla sea Continuar procesando otras reglas.
Se desea evitar que los usuarios muevan, copien y creen archivos en las unidades USB. Tiene una regla existente con una condicin que permite el acceso de escritura para un archivo denominado Test.doc. Agregue una segunda condicin a este conjunto de reglas existente para bloquear todas las unidades USB. En esta situacin, los usuarios an pueden crear y modificar un archivo Test.doc en unidades USB. La condicin Permitir acceso a Test.doc viene antes de la condicin Bloquear acceso a las unidades USB en el conjunto de reglas. La condicin Bloquear acceso a las unidades USB no se procesa cuando la condicin que la precede en la lista es verdadera.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
487
Prcticas recomendadas
Use la accin Terminar proceso con moderacin
Descripcin
La accin Terminar proceso cancela un proceso cuando el proceso cumple la condicin configurada. Solamente los administradores avanzados deben usar la accin Terminar proceso. Tpicamente, es necesario usar la accin Bloquear acceso en su lugar.
Ejemplo
Se desea finalizar Winword.exe en cualquier momento que cualquier proceso inicie Winword.exe. Se crea una regla y se configura con la condicin Intentos de iniciar procesos y la accin Terminar proceso. Se aplica la condicin a Winword.exe y la regla a todos los procesos. Es posible esperar que esta regla finalice Winword.exe, pero eso no es lo que hace la regla. Si intenta iniciar Winword.exe desde el Explorador de Windows, una regla con esta configuracin finaliza Explorer.exe, no Winword.exe. Los usuarios pueden an ejecutar Winword.exe si lo inician directamente.
Use la condicin Intentos de La condicin Intentos de terminar terminar procesos para procesos permite o bloquea la capacidad proteger procesos de una aplicacin de finalizar un proceso en un equipo cliente.
La condicin no permite ni evita que los usuarios detengan una aplicacin por los Puede ser recomendable finalizar el mtodos usuales, tales como hacer clic en Explorador de procesos cuando intente Salir del men Archivo. finalizar una aplicacin determinada.
El Explorador de procesos es una herramienta que muestra los procesos de archivos DLL que se han abierto o se han cargado y los recursos que usan los procesos.
Use la condicin Intentos de terminar procesos y la accin Terminar proceso para crear este tipo de regla. Se aplica la condicin a la aplicacin Explorador de procesos. Se aplica la regla a la aplicacin o las aplicaciones que es necesario evitar que el Explorador de procesos finalice.
488
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
de reglas Bloquear ejecucin de aplicaciones para ver cmo es posible usar una condicin Intentos de iniciar procesos. Ver "Activar un conjunto predeterminado de reglas de control de aplicaciones" en la pgina 482. Tabla 20-4 Regla
Evite que los usuarios abran una aplicacin
Es posible permitir a los usuarios abrir un archivo pero no modificar el archivo. Por ejemplo, un archivo puede incluir los datos financieros que los empleados deben ver pero no editar. Es posible crear una regla para dar a los usuarios acceso de solo lectura a un archivo. Por ejemplo, se puede agregar una regla que le permita abrir un archivo de texto en el Bloc de notas, pero no le permite editarlo. Use la condicin Intentos de acceso a archivos y carpetas para crear este tipo de regla.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
489
Regla
Bloquee los recursos compartidos en los equipos con Windows
Descripcin
Es posible crear una regla personalizada que se aplique a todas las aplicaciones para deshabilitar el uso compartido de archivos e impresoras locales en los equipos con Windows. Incluya las condiciones siguientes: Intentos de acceso al registro Agregue todas las claves de registro relevantes de uso compartido y de seguridad de Windows. Intentos de iniciar procesos Especifique el proceso del servicio del servidor (svchost.exe). Intentos de cargar DLL Especifique los archivos DLL para las fichas Seguridad y Uso compartido (rshx32.dll, ntshrui.dll). Intentos de cargar DLL Especifique el archivo DLL del servicio del servidor (srvsvc.dll).
490
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
Regla
Evite que los usuarios ejecuten aplicaciones de punto a punto
Descripcin
Es posible usar el control de aplicaciones para evitar que los usuarios ejecuten aplicaciones de punto a punto en sus equipos. Es posible crear una regla personalizada con una condicin Intentos de iniciar procesos. En la condicin, es necesario especificar todas las aplicaciones de punto a punto que se deseen bloquear, por ejemplo, LimeWire.exe o *.torrent. Es posible configurar la accin para la condicin Bloquear acceso o Terminar proceso. Use una poltica de prevencin de intrusiones para bloquear trfico de red de aplicaciones de punto a punto. Use una poltica de firewall para bloquear todos los puertos que envan y reciben trfico de la aplicacin de punto a punto. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Ver "Creacin de polticas de firewall" en la pgina 403.
Actualmente, Symantec Endpoint Protection Manager no admite un conjunto de reglas que especifique el bloqueo de los intentos de escritura en las unidades de DVD. Es posible seleccionar la opcin en la Poltica de control de aplicaciones y dispositivos, sin embargo, la opcin no se impone. En su lugar, se puede crear una poltica de control de aplicaciones y dispositivos que bloquee las aplicaciones especficas que escriben en las unidades de DVD. Se deben, adems, crear una poltica de integridad del host que configure la clave de registro de Windows para bloquear intentos de escritura en las unidades de DVD.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
491
posible tambin habilitar y deshabilitar los conjuntos de reglas o las reglas individuales de un conjunto. Nota: Si crea una regla personalizada que bloquea el acceso a una carpeta especfica de 32 bits (tal como Windows\system32), las reglas no funciona en clientes de 64 bits. Se debe adems crear una regla para bloquear el acceso a la carpeta Windows\syswow64 tambin. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Cmo crear un conjunto de reglas personalizadas y agregar reglas
1 2
En la consola, abra una poltica de control de aplicaciones y dispositivos, y haga clic en Agregar. En el cuadro de dilogo Agregar conjunto de reglas de control de aplicaciones, anule la seleccin de Habilitar registro si no desea registrar eventos sobre este conjunto de reglas. En el cuadro de texto Nombre del conjunto de reglas, modifique el nombre predeterminado del conjunto de reglas. En el campo Descripcin, escriba una descripcin. Modifique el nombre predeterminado de la regla en el cuadro de texto Nombre de la regla y escriba una descripcin. Anule la seleccin de Habilitar esta regla si no desea habilitar la regla en este momento. En la ficha Propiedades, se especifican las aplicaciones a las cuales esta regla se aplica y las aplicaciones que se deben excluir de la regla. Cada regla debe tener una aplicacin a la cual se aplique. Ver "Aplicar una regla a aplicaciones especficas y excluir aplicaciones de una regla" en la pgina 493. Cada regla debe adems tener condiciones y acciones. Ver "Cmo agregar condiciones y acciones a una regla de control de aplicaciones" en la pgina 495.
3 4 5 6 7
492
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
8 9
Para agregar reglas adicionales al conjunto de reglas, haga clic en Agregar y despus haga clic en Agregar regla. Haga clic en Aceptar. El nuevo conjunto de reglas aparece y se configura para el modo de prueba. Es necesario probar los nuevos conjuntos de reglas antes de aplicarlos a los equipos cliente. Ver "Prueba de conjuntos de reglas del control de aplicaciones" en la pgina 496.
Copiar los conjuntos de reglas o las reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos
Es posible copiar los conjuntos de reglas del control de aplicaciones o las reglas individuales entre dos polticas diferentes. Es posible tambin copiar los conjuntos de reglas o las reglas dentro de la misma poltica. Los procedimientos aqu describen cmo copiar los conjuntos de reglas o las reglas entre dos polticas diferentes. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Cmo copiar los conjuntos de reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos
1 2 3
En la consola, abra la poltica de control de aplicaciones y dispositivos que contiene los conjuntos de reglas que desee copiar. Haga clic en Control de aplicaciones. En la pgina Control de aplicaciones, en Conjuntos de reglas de control de aplicaciones, haga clic con el botn derecho en el conjunto de reglas que desee copiar y despus seleccione Copiar. Haga clic en Aceptar para cerrar la poltica actual. En la consola, en Polticas de control de aplicaciones y dispositivos, seleccione la poltica de destino. En Tareas, haga clic en Editar la poltica.
4 5
6 7
En la poltica de destino, seleccione Control de aplicaciones. En Conjuntos de reglas de control de aplicaciones, haga clic con el botn derecho y seleccione Pegar.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
493
Cmo copiar reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos
1 2 3 4 5 6 7 8 9
En la consola de Symantec Endpoint Protection Manager, abra la poltica de control de aplicaciones y dispositivos que contiene la regla que desee copiar. Haga clic en Control de aplicaciones. Seleccione el conjunto de reglas del que desee copiar la regla y despus haga clic en Editar. En Reglas, haga clic con el botn derecho en la regla que desee copiar y seleccione Copiar. Haga clic en Aceptar para cerrar el conjunto de reglas. Haga clic en Aceptar para cerrar la poltica. En la consola, en Polticas de control de aplicaciones y dispositivos, seleccione la poltica de destino. En Tareas, haga clic en Editar la poltica. En la poltica de destino, seleccione Control de aplicaciones. clic en Editar.
10 Seleccione el conjunto de reglas al que desee copiar la regla y despus haga 11 En Reglas, haga clic con el botn derecho y seleccione Pegar.
En el cuadro de texto Aplicar esta regla a los siguientes procesos, defina un carcter comodn para todos los procesos (*). En el cuadro de texto de No aplicar esta regla a los siguientes procesos, incluya las aplicaciones que necesitan una excepcin.
494
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
Nota: Cada regla debe tener, al menos, una aplicacin enumerada en el cuadro de texto Aplicar esta regla a los siguientes procesos. Cuando se agregan aplicaciones a una regla, es posible utilizar las maneras siguientes de especificar la aplicacin:
El nombre del proceso Caracteres comodn Expresiones regulares Huellas digitales de archivos Los tipos de unidad desde donde la aplicacin fue iniciada ID de dispositivo
Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Para aplicar una regla a aplicaciones especficas
1 2 3
En el cuadro de dilogo Editar conjunto de reglas de control de aplicaciones, haga clic en la regla que desea aplicar. Si desea configurar una aplicacin a la cual aplicar la regla, a la derecha de Aplicar esta regla a los siguientes procesos, haga clic en Agregar. En el cuadro de dilogo Agregar definicin de proceso, configure los siguientes elementos:
Escriba el nombre de la aplicacin con la que debe coincidir la regla. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida para que coincida el nombre. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, active Solo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Si lo desea, haga clic en Opciones para que coincidan los procesos basados en huellas digitales de archivos y para que coincidan solamente los procesos que tienen un argumento designado. Es posible optar por que coincidan los argumentos exactamente o mediante expresiones regulares.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
495
Haga clic en Aceptar. Es posible repetir los pasos 2 a 4 para aadir tantas aplicaciones mientras desee.
Si desea configurar una o ms aplicaciones que se deben excluir de la regla, a la derecha del campo de texto No aplicar esta regla a los siguientes procesos, haga clic en Agregar. Repita la configuracin de las aplicaciones que se deben excluir, segn lo desee. Tiene las mismas opciones cuando se define una aplicacin para excluir que cuando se aplica la regla a una aplicacin.
En el cuadro de dilogo Agregar conjunto de reglas de control de aplicaciones o Editar conjunto de reglas de control de aplicaciones, en Reglas, haga clic en Agregar y despus haga clic en Agregar condicin. Seleccione una de las condiciones siguientes:
Intentos de acceso al registro Intentos de acceso a archivos y carpetas Intentos de iniciar procesos Intentos de terminar procesos Intentos de cargar DLL
3 4
En la ficha Propiedades para la condicin, escriba un nombre y una descripcin para la condicin. A la derecha de Aplicar a la siguiente entidad, donde entidad representa claves de registro, archivos y carpetas. procesos, o archivos DLL, haga clic en Agregar.
496
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
En el cuadro de dilogo Agregar definicin de entidad, escriba la clave de registro, el nombre del archivo o de la carpeta, el nombre del proceso o el archivo DLL. Nota: Cuando se aplica una condicin a todas las entidades de una carpeta determinada, se recomienda utilizar nombre_carpeta\* o nombre_carpeta\*\*. Un asterisco incluye todos los archivos y carpetas en la carpeta indicada. Utilice nombre_carpeta\*\* para incluir cada archivo y carpeta de carpeta indicada, adems de cada archivo y carpeta en cada subcarpeta.
6 7
Haga clic en Aceptar. A la derecha de No aplicar a los siguientes procesos, haga clic en Agregar y especifique las claves de registro, los archivos y las carpetas, los procesos o los archivos DLL. Haga clic en Aceptar. En la ficha Acciones para la condicin, seleccione una de las siguientes acciones:
8 9
Continuar procesando otras reglas Permitir acceso Bloquear acceso Terminar proceso
Para las condiciones Intentos de acceso al registro e Intentos de acceso a archivos y carpetas, se pueden configurar dos conjuntos de acciones, uno para Intento de lectura y uno para Intento de creacin, eliminacin o escritura.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
497
Configure el conjunto de reglas para el Se prueban los conjuntos de reglas configurando modo de prueba y habilite o deshabilite el modo en modo de prueba (registro solamente). las reglas El modo de prueba crea una entrada de registro para indicar cundo las reglas en el conjunto de reglas seran aplicadas sin realmente aplicar la regla. Las reglas personalizadas usan el modo de prueba de forma predeterminada. Es posible tambin probar los conjuntos predeterminados de reglas. Es posible que desee probar reglas dentro del conjunto individualmente. Es posible probar reglas individuales habilitndolas o deshabilitndolas en el conjunto de reglas. Ver "Cmo crear un conjunto de reglas personalizadas y agregar reglas" en la pgina 490. Ver "Activar un conjunto predeterminado de reglas de control de aplicaciones" en la pgina 482. Aplique la poltica de control de Si cre una nueva poltica de control de aplicaciones y dispositivos a los equipos aplicaciones y dispositivos, es necesario aplicar en su red de prueba la poltica a los clientes en su red de prueba. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
498
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
Paso
Compruebe el registro de control
Descripcin
Una vez que se ejecutan sus conjuntos de reglas en el modo de prueba por un perodo, se pueden comprobar los registros del cliente en busca de cualquier error. Es posible ver el registro de Control de aplicaciones en Symantec Endpoint Protection Manager. Es posible tambin ver el registro de control en el equipo cliente. Cuando las reglas funcionan como usted espera, se puede cambiar el modo de conjunto de reglas al modo de produccin.
Accin
Crear listas de huellas digitales de archivo para aplicaciones permitidas
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
499
Paso
Paso 2
Accin
Descripcin
Ejecute el bloqueo del sistema en modo Antes de permitir que el bloqueo del sistema bloquee prueba aplicaciones no aprobadas en sus equipos cliente, es necesario ejecutar el sistema bloqueo en modo prueba. En modo prueba, se registran aplicaciones no aprobadas, pero no bloqueadas. Ejecute el bloqueo del sistema en modo prueba durante bastante tiempo, de modo que los clientes ejecuten las aplicaciones usuales. El plazo tpico puede ser una semana. Una vez que ejecuta el bloqueo del sistema en modo prueba, puede ver la lista de aplicaciones no aprobadas. Es posible ver la lista de aplicaciones no aprobadas comprobando el estado en la configuracin de bloqueo del sistema. Es posible decidir si desea agregar ms aplicaciones a la huella digital de archivos o a la lista permitida. Ver "Cmo ejecutar el bloqueo del sistema en modo prueba" en la pgina 506.
Paso 3
Asegrese de ejecutar el bloqueo del sistema en modo prueba antes de habilitar el bloqueo del sistema. El bloqueo del sistema bloquea cualquier aplicacin que no est en la lista de aplicaciones aprobadas.
500
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
Paso
Paso 5
Accin
Pruebe y elimine los elementos desde el bloqueo del sistema
Descripcin
Una vez que ejecuta el bloqueo del sistema por un tiempo considerable, es posible que acumule muchas listas de huellas digitales de archivos. Eventualmente, si no usa algunas de estas listas, puede eliminarlas. Eliminar una lista de huellas digitales de archivo del bloqueo del sistema es riesgoso. Todas las aplicaciones en la lista de huellas digitales de archivo se bloquean una vez que elimina la lista. Siempre debe probar las aplicaciones antes de eliminarlas del bloqueo del sistema. Cuando el bloqueo del sistema se habilita, puede usar la opcin Probar antes de quitar para registrar las listas de huellas digitales de archivo o las aplicaciones especficas como no aprobadas. Cuando ejecuta esta prueba, el bloqueo del sistema no bloquea las aplicaciones que est probando. Es posible comprobar el registro de control de aplicaciones para ver qu aplicaciones no aprobadas aparecen all. Si el registro no tiene entradas para esa lista de huellas digitales de archivo, sabe que los clientes no usan esas aplicaciones. Es posible eliminar la lista de forma segura. Ver "Cmo probar y eliminar elementos de bloqueo del sistema" en la pgina 508.
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
501
Para crear una lista de huellas digitales de archivo, puede usar la utilidad Checksum.exe. La utilidad est instalada junto con Symantec Endpoint Protection en el equipo cliente. Puede ejecutar este comando en cada imagen del equipo en su entorno para crear una lista de huellas digitales de archivos para esas imgenes. Checksum.exe crea un archivo de texto que contiene una lista de todos los archivos ejecutables en ese equipo y sus sumas de comprobacin correspondientes. Es posible ejecutar esta utilidad desde la lnea de comandos. El archivo Checksum.exe se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection Ver "Crear una lista de huellas digitales de archivos" en la pgina 502.
Es posible usar Symantec Endpoint Protection Manager para importar las listas de huellas digitales de archivo para cada tipo de equipo cliente. Es posible combinar la lista en una lista principal. Tambin es posible agregar huellas digitales de archivos para los archivos individuales que desee autorizar. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505.
Es posible usar las listas de huellas digitales del archivo en la configuracin de bloqueo del sistema. Las listas de huellas digitales del archivo indican las aplicaciones aprobadas en su red. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
502
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
Tarea
Actualizar las listas de huellas digitales de archivo cuando agrega o cambia las aplicaciones que se ejecutan en su red
Descripcin
A lo largo del tiempo, es posible que cambie las aplicaciones permitidas en su red. Es posible actualizar sus listas de huellas digitales de archivos o quitar listas como sea necesario. Si ejecuta el bloqueo del sistema, asegrese de que el bloqueo del sistema est deshabilitado o se ejecute en modo de prueba antes de modificar o eliminar cualquier lista de huellas digitales de archivo. Ver "Cmo ejecutar el bloqueo del sistema en modo prueba" en la pgina 506. No es posible editar directamente una lista de huellas digitales de archivo. Sin embargo, puede agregar una lista de huellas digitales de archivo al final de la lista existente. Es posible tambin combinar listas de huellas digitales de archivo que ya import. Ver "Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 504. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505.
Eliminar las listas de huellas Es posible eliminar una lista de huellas digitales de archivo digitales de archivo si ya no de Symantec Endpoint Protection Manager. Sin embargo, las usa no es necesario eliminar una lista de huellas digitales de archivo hasta que haya probado su configuracin. Cuando est seguro de que ya no usa la lista, puede eliminarla de Symantec Endpoint Protection Manager. Ver "Cmo probar y eliminar elementos de bloqueo del sistema" en la pgina 508.
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
503
0bb018fad1b244b6020a40d7c4eb58b7 35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\openmanage\remind.exe c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
Vaya al equipo que contiene la imagen para la que desea crear una lista de huellas digitales de archivos. El equipo debe tener el software de cliente Symantec Endpoint Protection instalado. Abra una ventana de la lnea de comandos. Desplcese hasta el directorio que contiene el archivo Checksum.exe. De forma predeterminada, este archivo se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection
2 3
donde outputfile es el nombre del archivo de texto que contiene las sumas de comprobacin para todos los archivos ejecutables que se encuentran en la unidad especificada. El archivo de salida es un archivo de texto (outputfile.txt). Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de comprobacin y las rutas de los archivos de todos los archivos ejecutables y DLL que se encontraron en la unidad de C del equipo cliente en el que se ejecut.
504
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager
No es posible editar directamente una lista de huellas digitales de archivos existente. En cambio, es posible aadir una lista existente de huellas digitales a una lista que usted cre de Checksum.exe. Tambin se puede combinar una lista existente de huellas digitales con otra lista de huellas digitales ya importada. Ver "Crear una lista de huellas digitales de archivos" en la pgina 502. Si desea combinar listas de huellas digitales en una lista nueva con un nombre diferente, use el Asistente para agregar huellas digitales de archivos. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505. Para editar una lista de huellas digitales de archivos
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, seleccione la lista de la huella digital que desee editar. Haga clic en Editar. En el Asistente para editar huellas digitales de archivos, haga clic en Siguiente. Realice uno de los pasos siguientes:
Elija Agregar un archivo de huella digital a esta huella digital de archivos para agregar un nuevo archivo al archivo existente y haga clic en Siguiente. Haga clic en Agregar otra huella digital de archivos a esta huella digital de archivos para combinar las listas de huellas digitales de archivos ya importadas.
En el panel de Importar huella digital de archivos, haga clic en Navegar para localizar el archivo o para escribir la ruta completa de la lista de huellas digitales de archivos en el cuadro de texto. En el panel Combinar varias huellas digitales de archivos, seleccione las huellas digitales de archivos que desee combinar.
8 9
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
505
Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager
Es posible agregar una lista de huellas digitales de archivo mediante la importacin de un archivo. Es necesario ya haber creado la lista de huellas digitales de archivo. Es posible tambin combinar listas de huellas digitales de archivos existentes. Ver "Cmo administrar listas de huellas digitales de archivo" en la pgina 500. Importar o combinar listas de huellas digitales de archivo
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En Tareas, haga clic en Agregar una lista de huellas digitales de archivos. En Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivos, escriba un nombre y una descripcin para la nueva lista. Haga clic en Siguiente. En el panel Crear una huella digital de archivos, seleccione una de las siguientes opciones:
Crear la huella digital de archivo importando un archivo de huella digital de archivo Crear la huella digital de archivo combinando varias huellas digitales de archivos existentes Esta opcin est disponible solamente si ya import varias listas de huellas digitales de archivos.
8 9
Especifique la ruta a la huella digital de archivos que cre. Es posible examinar las unidades para encontrar el archivo. Seleccione la listas de huellas digitales que desea combinar.
506
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, localice el grupo para el que desea configurar el bloqueo del sistema. En la ficha Polticas, haga clic en Bloqueo del sistema. En el cuadro de dilogo Bloqueo del sistema para nombre de grupo, haga clic en Paso 1: Registrar solo aplicaciones no aprobadas para ejecutar solamente el bloqueo del sistema en modo prueba. Esta opcin registra las aplicaciones de red no aprobadas que los clientes estn ejecutando actualmente.
En Aplicaciones aprobadas, agregue o elimine las listas de huellas digitales de archivos o los archivos especficos. Ver "Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 504.
Para ver la lista de aplicaciones no aprobadas, haga clic en Ver aplicaciones no aprobadas. En el cuadro de dilogo Aplicaciones no aprobadas, revise las aplicaciones. Esta lista incluye la informacin sobre la hora en que la aplicacin fue ejecutada, el nombre de host del equipo, el nombre de usuario del cliente y el nombre del archivo ejecutable.
Determine cmo desea administrar las aplicaciones no aprobadas. Es posible agregar los nombres de las aplicaciones que desea permitir a la lista de aplicaciones aprobadas. Puede agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree una huella digital de archivos.
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
507
8 9
Haga clic en Cerrar. Para especificar los archivos ejecutables que se permiten siempre incluso si no se incluyen en la lista de huellas digitales de archivos, en la lista Nombre del archivo, haga clic en Agregar. de la ruta completa del archivo ejecutable (.exe o .dll). Los nombres se pueden especificar usando una sintaxis de cadena normal o de expresin regular. Los nombres pueden incluir caracteres comodines (* para cualquier carcter y ? para un carcter). El nombre puede adems incluir variables de entorno tales como %ProgramFiles% para representar la ubicacin del directorio Program Files o %windir% para el directorio de instalacin de Windows.
13 Si desea buscar coincidencias por el tipo de Id. del dispositivo, marque Solo
buscar coincidencias con archivos del siguiente tipo de ID de dispositivo y haga clic en Seleccionar.
14 Haga clic en el dispositivo que desee en la lista y despus haga clic en Aceptar. 15 Haga clic en Aceptar. 16 Para visualizar un mensaje en el equipo cliente cuando el cliente bloquea una
aplicacin, active Notificar al usuario si se bloquea una aplicacin.
508
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
Ha ejecutado el bloqueo del sistema en modo prueba. Ver "Cmo ejecutar el bloqueo del sistema en modo prueba" en la pgina 506. Est seguro de que todas las aplicaciones que los equipos cliente necesitan ejecutar estn detalladas en la lista de aplicaciones aprobadas. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, localice el grupo para el que desea configurar el bloqueo del sistema. En la ficha Polticas, haga clic en Bloqueo del sistema. Asegrese de incluir todas las aplicaciones que sus equipos cliente ejecutan en la lista de aplicaciones aprobadas. Advertencia: Es necesario incluir todas las aplicaciones que los equipos cliente ejecutan en la lista de aplicaciones aprobadas. Si no lo hace, es posible que algunos equipos cliente no se puedan reiniciar o impidan a los usuarios ejecutar aplicaciones importantes.
5 6 7 8
Haga clic en Paso 2: Habilitar bloqueo del sistema. Este paso bloquea las aplicaciones no aprobadas que los clientes intentan ejecutar. Para visualizar un mensaje en el equipo cliente cuando el cliente bloquea una aplicacin, active Notificar al usuario si se bloquea una aplicacin. Para escribir un mensaje personalizado, haga clic en Notificacin, escriba el mensaje y haga clic en Aceptar. Haga clic en Aceptar.
1 2
En la consola, haga clic en Clientes. En Clientes, localice el grupo para el que desea eliminar elementos de bloqueo del sistema.
509
En la ficha Polticas, haga clic en Bloqueo del sistema. La configuracin de bloqueo del sistema ya debe estar habilitada. Ver "Habilitar bloqueo del sistema para bloquear aplicaciones no aprobadas" en la pgina 507.
Marque Probar antes de quitar junto a cualquier lista de huellas digitales de archivo o aplicacin que desee probar. El bloqueo del sistema contina permitiendo estas aplicaciones, pero se registran como aplicaciones no aprobadas.
Haga clic en Aceptar. Tpicamente, es posible que desee ejecutar esta prueba por una semana o ms y comprobar el registro de control. Si sus clientes ya no estn utilizando las aplicaciones, puede eliminarlas de la configuracin de bloqueo del sistema.
Revise la lista de dispositivos De forma predeterminada, Symantec Endpoint predeterminada de hardware en Protection Manager incluye una lista de Symantec Endpoint Protection Manager dispositivos de hardware. La lista aparece en la ficha Polticas en Symantec Endpoint Protection Manager en Componentes de polticas. Se usa esta lista para seleccionar los dispositivos que desee controlar en sus equipos cliente. Si desea controlar un dispositivo que no se incluya en la lista, deber agregar el dispositivo primero. Ver "Acerca de la lista de dispositivos de hardware" en la pgina 510.
510
Accin
Agregue los dispositivos a la lista de dispositivos de hardware (si es necesario)
Descripcin
Cuando se agrega un dispositivo a la lista de dispositivos, se necesita un Id. de clase o el Id. del dispositivo para el dispositivo. Ver "Agregar un dispositivo de hardware a la lista Dispositivos de hardware" en la pgina 512. Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 511.
Especifique los dispositivos que desee bloquear o excluir del bloqueo. Ver "Configuracin de control de dispositivos" en la pgina 513.
511
ID del dispositivo
Un ID de dispositivo es el ID ms especfico de un dispositivo. La sintaxis de un ID de dispositivo incluye algunas cadenas descriptivas que hacen que sean ms fciles de leer que el ID de clase. Cuando se aade un ID de dispositivo, se puede usar el ID especfico de un dispositivo. Alternativamente, se puede usar un carcter comodn en la cadena de ID del dispositivo para indicar un grupo menos especfico de dispositivos. Es posible usar un asterisco (*) para indicar caracteres adicionales o cero, o un signo de interrogacin (?) para indicar un nico carcter de cualquier valor. Lo que sigue es un ID de dispositivo para un dispositivo USB Sandisk especfico: USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033 \0002071406&0 Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo USB Sandisk: USBSTOR\DISK&VEN_SANDISK* Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo de disco USB: USBSTOR\DISK* Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo de almacenamiento USB: USBSTOR*
En el disco del producto, localice la carpeta \TOOLS\NOSUPPORT\DEVVIEWER y despus descargue la herramienta DevViewer.exe al equipo cliente. En el equipo cliente, ejecute DevViewer.exe.
512
Expanda el rbol Dispositivo y localice el dispositivo para el que desee el ID de dispositivo o el GUID. Por ejemplo, expanda las unidades de DVD-ROM y seleccione el dispositivo dentro de esa categora.
En el panel derecho, haga clic con el botn derecho en el ID del dispositivo (comienza con [ID de dispositivo]) y despus haga clic en Copiar ID de dispositivo. Haga clic en Salir. En el servidor de administracin, pegue el ID de dispositivo en la lista de dispositivos de hardware.
5 6
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Configuracin > Panel de control > Sistema. En la ficha Hardware, haga clic en Administrador de dispositivos. En la lista Administrador de dispositivos, haga doble clic en el dispositivo. En el cuadro de dilogo Propiedades del dispositivo, en la ficha Detalles, seleccione el ID de dispositivo. De forma predeterminada, el ID de dispositivo es el primer valor que se muestra.
5 6
Presione Control+C para copiar la cadena del ID. Haga clic en Aceptar o Cancelar. Ver "Agregar un dispositivo de hardware a la lista Dispositivos de hardware" en la pgina 512.
1 2 3
En la consola, haga clic en Polticas. En Polticas, expanda Componente de poltica y haga clic en Dispositivos de hardware. En Tareas, haga clic en Agregar un dispositivo de hardware.
513
Escriba el nombre del dispositivo que desee agregar. Los ID de clase y de Dispositivo se incluyen entre llaves por convencin.
5 6
Active ID de clase o ID del dispositivo y pegue el ID que copi del Administrador de dispositivos de Windows o de la herramienta DevViewer. Es posible usar los caracteres comodn para definir un conjunto de ID del dispositivo. Por ejemplo, es posible utilizar la siguiente cadena: *IDE\DVDROM*. Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 511.
1 2 3 4
En la consola, abra una poltica de control de aplicaciones y dispositivos. Haga clic en Control de dispositivos. En Dispositivos bloqueados, haga clic en Agregar. En la ventana Seleccin de dispositivos, seleccione uno o ms dispositivos. Asegrese de que si se bloquean puertos se excluyan los dispositivos si es necesario. Nota: Tpicamente, nunca se debe bloquear un teclado.
5 6 7 8 9
Haga clic en Aceptar. En Dispositivos excluidos del bloqueo, haga clic en Agregar. En la ventana Seleccin de dispositivos, seleccione uno o ms dispositivos. Seleccione Notificar a usuarios sobre bloqueo de dispositivos si desea notificar al usuario. Haga clic en Especificar texto del mensaje para escribir el mensaje que aparece en la notificacin.
514
Captulo
21
Administracin de excepciones
En este captulo se incluyen los temas siguientes:
Acerca de excepciones para Symantec Endpoint Protection Cmo administrar las excepciones para Symantec Endpoint Protection Cmo crear las excepciones para Symantec Endpoint Protection Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
516
Administracin de excepciones Cmo administrar las excepciones para Symantec Endpoint Protection
Puede ser recomendable usar excepciones para reducir la cantidad de tiempo de ejecucin de los anlisis. Por ejemplo, se pueden excluir los archivos, las carpetas y las extensiones de los anlisis. Si reduce el tiempo del anlisis, es posible que aumente el rendimiento del sistema en los equipos cliente. Nota: No es posible crear las excepciones para un anlisis antivirus y antispyware individual. Por ejemplo, si se crea una excepcin de archivo, Symantec Endpoint Protection aplica la excepcin a todo el anlisis antivirus y antispyware (Auto-Protect, Diagnstico Insight de descargas y cualquier anlisis definido por el administrador o definido por el usuario). Las excepciones se aplican a un tipo de cliente determinado (Windows o Mac). Se configuran las excepciones por separado. Por ejemplo, si se configura una excepcin de archivo, se aplica a los clientes que se ejecutan en equipos con Windows o a los clientes que se ejecutan en equipos Mac. Algunas excepciones no estn disponibles para los clientes de Mac. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Tabla 21-1 Tipo de cliente
Clientes de Mac Clientes de Windows
Archivo Carpeta Riesgo conocido Extensin Dominio web de confianza Aplicaciones para supervisar Aplicacin Proteccin contra intervenciones Control de aplicaciones
Administracin de excepciones Cmo administrar las excepciones para Symantec Endpoint Protection
517
Revise los tipos de archivos y de carpetas que Symantec Endpoint Protection excluye automticamente de anlisis
Symantec Endpoint Protection crea automticamente excepciones o exclusiones, para ciertas aplicaciones de otro fabricante y algunos productos de Symantec. Es posible tambin configurar anlisis individuales para analizar solamente ciertas extensiones y para omitir cualquier otra extensin. Ver "Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware" en la pgina 304.
Se agregan excepciones en una poltica de excepciones directamente. O se pueden agregar excepciones de eventos de registro en la pgina Supervisin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530.
518
Administracin de excepciones Cmo administrar las excepciones para Symantec Endpoint Protection
Tarea
Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
Descripcin
De forma predeterminada, los usuarios en los equipos cliente tienen derechos de configuracin limitados para las excepciones. Es posible restringir a usuarios an ms de modo que no puedan crear las excepciones para los anlisis de virus y spyware o para SONAR. Los usuarios nunca pueden forzar una deteccin de aplicaciones y nunca tienen permiso para crear las excepciones de Proteccin contra intervenciones. Los usuarios adems no pueden crear excepciones del control de aplicaciones. Ver "Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente" en la pgina 529.
Compruebe si en los registros hay detecciones para las cuales puede ser recomendable crear excepciones
Una vez que Symantec Endpoint Protection hace una deteccin, se puede crear una excepcin para la deteccin del evento de registro. Por ejemplo, puede ser recomendable crear una excepcin para un archivo que los anlisis detectan, pero que los usuarios solicitaron descargar. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530.
Es posible especificar las excepciones para la prevencin de intrusiones. Es posible tambin configurar una lista de hosts excluidos para la prevencin de intrusiones. Las excepciones de la prevencin de intrusiones se configuran en una poltica de prevencin de intrusiones. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
519
Excluya un archivo de anlisis antivirus Admitido en clientes de Windows y Mac. y antispyware Excluye un archivo de anlisis antivirus y antispyware. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523.
520
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
Tarea
Excluya un riesgo conocido de los anlisis antivirus y antispyware
Descripcin
Admitido en clientes con Windows. Excluye un riesgo conocido de los anlisis antivirus y antispyware Los anlisis omiten el riesgo, pero se puede configurar la excepcin de modo que los anlisis registren la deteccin. En cualquier caso, el software de cliente no notifica a los usuarios cuando detecta los riesgos especificados. Si un usuario configura las acciones personalizadas para un riesgo conocido que se configura para omitir, Symantec Endpoint Protection omite las acciones personalizadas. Ver "Exclusin de riesgos conocidos de anlisis antivirus y antispyware" en la pgina 524. Las excepciones de riesgos para la seguridad no se aplican a SONAR.
Admitido en clientes con Windows. Excluye cualquier archivo con las extensiones especificadas de los anlisis antivirus y antispyware. Ver "Exclusin de extensiones de archivo de anlisis antivirus y antispyware" en la pgina 525. Las excepciones de extensin no se aplican a SONAR.
Admitido en clientes con Windows. Use la excepcin Aplicaciones para supervisar para forzar los anlisis antivirus y antispyware o SONAR para detectar una aplicacin. Cuando los clientes detectan la aplicacin, se puede crear una excepcin para permitir o para bloquear la aplicacin. Ver "Cmo forzar anlisis para detectar una aplicacin" en la pgina 526.
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
521
Tarea
Descripcin
Especifique cmo los anlisis controlan Admitido en clientes con Windows. las aplicaciones detectadas o descargas Especifica cmo Symantec Endpoint Protection controla una aplicacin que es detectada por el anlisis antivirus y antispyware (incluido el Diagnstico Insight de descargas), SONAR, Proteccin contra intervenciones o aprendizaje de aplicaciones. Es posible usar la excepcin para especificar cmo el Diagnstico Insight de descargas controla una aplicacin que sus usuarios intentan descargar. Es posible forzar Symantec Endpoint Protection para detectar una aplicacin especificando una excepcin Aplicaciones para supervisar. A continuacin se puede crear una excepcin Aplicacin para especificar cmo los anlisis controlan la aplicacin. La excepcin de aplicacin es una excepcin basada en hash SHA-2. Las excepciones de versiones anteriores para los anlisis de amenazas proactivos TruScan aparecen como excepciones basadas en hash SHA-1. Los clientes de versiones anteriores admiten excepciones SHA-1 solamente. La huella digital de archivos en la lista de excepciones es precedida por un 2 o un 1 respectivamente para indicar el tipo de hash del archivo. Ver "Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan" en la pgina 526. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279.
522
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
Tarea
Descripcin
Excluya las aplicaciones del control de Admitido en clientes con Windows. aplicaciones El control de aplicaciones interfiere de vez en cuando en una aplicacin. Es posible configurar una excepcin para excluir una aplicacin del control de aplicaciones. Ver "Exclusin de aplicaciones del control de aplicaciones" en la pgina 528. Excluya un dominio web de anlisis Admitido en clientes con Windows. El Diagnstico Insight de descargas analiza los archivos que los usuarios intentan descargar de sitios web y de otros portales. El Diagnstico Insight de descargas se ejecuta como parte de un anlisis antivirus y antispyware. Es posible configurar una excepcin para un dominio web especfico que se sabe que es seguro. El Diagnstico Insight de descargas debe habilitarse para que la excepcin surta algn efecto.
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
523
Tarea
Cree excepciones para la Proteccin contra intervenciones
Descripcin
Admitido en clientes con Windows. La proteccin contra intervenciones protege los equipos cliente de los procesos que intervienen en los procesos de Symantec y los objetos internos. Cuando la proteccin contra intervenciones detecta un proceso que puede modificar las opciones de configuracin de Symantec o los valores del registro de Windows, bloquea el proceso. Es posible que deba permitir que una aplicacin modifique la configuracin de Symantec. Es posible que desee detener la proteccin contra intervenciones para ciertas reas del registro o para ciertos archivos del equipo cliente. En algunos casos, la proteccin contra intervenciones puede bloquear un programa de lectura de pantalla u otra aplicacin de tecnologa de asistencia. Es posible crear una excepcin de modo que la aplicacin pueda ejecutarse en los equipos cliente. Ver "Cmo crear una excepcin de Proteccin contra intervenciones" en la pgina 528.
1 2
En la pgina Poltica de excepciones, haga clic en Excepciones. Realice una de las acciones siguientes:
En Excepciones, haga clic en Agregar > Excepciones para Windows > Carpeta En Excepciones, haga clic en Agregar > Excepciones para Windows > Archivo
524
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
En el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows.
En el cuadro de texto Archivo o Carpeta, escriba el nombre de archivo o de la carpeta. Si selecciona una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta. Nota: Las rutas se deben denotar usando una barra invertida.
Para una excepcin de carpeta, seleccione el tipo de anlisis ( Riesgo para la seguridad, SONAR o Todos ) al lado de Especifique el tipo de anlisis que excluye esta carpeta. Riesgo para la seguridad es la opcin predeterminada.
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. En Excepciones, haga clic en Agregar > Excepciones para Mac > Archivo o carpeta. En Excepcin de archivos o carpetas de riesgos para la seguridad, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo.
En el cuadro de texto Carpeta, escriba el nombre del archivo. Si selecciona una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta. Nota: Las rutas de carpetas se deben denotar usando una barra diagonal.
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
525
La lista de los riesgos para la seguridad conocidos incluye la informacin sobre la gravedad del riesgo. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para excluir riesgos conocidos de anlisis antivirus y antispyware
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. En Excepciones, haga clic en Agregar > Excepciones para Windows > Riesgos conocidos. En el cuadro de dilogo Excepciones de riesgos para la seguridad conocidos, seleccione uno o ms riesgos para la seguridad que desee excluir de los anlisis antivirus y antispyware. Seleccione Registrar la deteccin del riesgo para la seguridad si desea registrar la deteccin. Si no activa esta opcin, el cliente ignora el riesgo cuando detecta los riesgos seleccionados. Por lo tanto, el cliente no registra la deteccin.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3 4 5
En la pgina Poltica de excepciones, haga clic en Excepciones. En Excepciones, haga clic en Agregar > Windows y excepciones integradas > Extensiones. En el cuadro de texto, escriba la extensin que desea excluir y despus haga clic en Agregar. Agregue cualquier otra extensin a la excepcin. Haga clic en Aceptar.
526
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. Haga clic en Agregar > Excepciones para Windows > Aplicaciones para supervisar. En el cuadro de dilogo, escriba el nombre de la aplicacin. Por ejemplo, es posible que tenga que escribir el nombre de un archivo ejecutable de la siguiente forma: foo.exe
4 5
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan
Es posible forzar Symantec Endpoint Protection para detectar una aplicacin determinada. Cuando Symantec Endpoint Protection detecta la aplicacin y la consola de administracin recibe el evento, la aplicacin aparece en la lista de aplicaciones. La lista de aplicaciones aparece vaca si los equipos cliente de su red an no han hecho ninguna deteccin. La lista de las aplicaciones incluye cualquier deteccin hecha por anlisis antivirus y antispyware, SONAR, aprendizaje de aplicaciones o Proteccin contra
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
527
intervenciones. Adems incluye cualquier deteccin hecha por el Diagnstico Insight de descargas. Ver "Cmo forzar anlisis para detectar una aplicacin" en la pgina 526. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan
1 2 3 4 5 6
En la pgina Poltica de excepciones, haga clic en Excepciones. Haga clic en Agregar > Excepciones para Windows > Aplicacin. En la lista desplegable Vista, seleccione Todo, Aplicaciones miradas o Aplicaciones permitidas por el usuario. Seleccione las aplicaciones para las cuales desee crear una excepcin. En el cuadro desplegable Accin, seleccione Omitir, Terminar, Cuarentena o Registrar. Haga clic en Aceptar.
1 2
En la pgina Poltica de excepciones, haga clic en Agregar > Excepciones para Windows > Dominio web de confianza. En el cuadro de dilogo Excepcin de dominio web de confianza, escriba el dominio web que desee excluir de las detecciones del Diagnstico Insight de descargas. Haga clic en Aceptar. Repita el procedimiento para agregar ms excepciones de dominio web.
3 4
528
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
1 2
En la pgina Poltica de excepciones, haga clic en Agregar > Excepciones para Windows > Control de aplicaciones En el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo. Nota: Las rutas de carpetas se deben denotar usando una barra diagonal.
En el cuadro de texto Aplicacin, escriba el nombre de la aplicacin. Si seleccion una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO], escriba el nombre de ruta completo del archivo.
Administracin de excepciones Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
529
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. Haga clic en Agregar > Excepciones de Windows > Excepcin de proteccin contra intervenciones. En el cuadro de dilogo Agregar excepcin de proteccin contra intervenciones, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo.
En el cuadro de texto Archivo, escriba el nombre del archivo. Si seleccion un prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO] para el prefijo, escriba el nombre de ruta completo.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
Es posible configurar restricciones de modo que los usuarios en los equipos cliente no puedan crear las excepciones para los anlisis antivirus y antispyware o para SONAR. De forma predeterminada, los usuarios pueden configurar excepciones. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Los usuarios de los equipos cliente nunca pueden crear las excepciones para la proteccin contra intervenciones, sin importar la configuracin de la restriccin. Los usuarios adems no pueden crear excepciones del control de aplicaciones. Para restringir los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
1 2 3
En la pgina Poltica de excepciones, haga clic en Restricciones del cliente. En Restricciones del cliente, anule la seleccin de cualquier excepcin que sea necesario evitar que los usuarios en los equipos cliente configuren. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
530
Administracin de excepciones Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
Tipo de excepcin
Archivo Carpeta
Ver "Supervisin de proteccin de endpoints" en la pgina 595. Symantec Endpoint Protection debe haber detectado ya el elemento para el cual desee crear una excepcin. Cuando se usa un evento de registro para crear una excepcin, se especifica la poltica de excepciones que debe incluir la excepcin. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
Administracin de excepciones Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
531
1 2 3 4 5 6 7
En la ficha Supervisin, haga clic en la ficha Registros. En la lista desplegable Tipo de registro, seleccione el registro de riesgos, el registro de SONAR o el registro de control de aplicaciones y dispositivos. Si seleccion el Control de aplicaciones y dispositivos, seleccione Control de aplicaciones en la lista Contenido del registro. Haga clic en Ver registro. Al lado de Intervalo de tiempo, seleccione el intervalo de tiempo para filtrar el registro. Seleccione la entrada o las entradas para las cuales desee crear una excepcin. Al lado de Accin, seleccione el tipo de excepcin que desee crear. El tipo de excepcin que se selecciona debe ser vlido para el elemento o los elementos que usted seleccion.
8 9
Haga clic en Aplicar. En el cuadro de dilogo, elimine cualquier elemento que usted no desee incluir en la excepcin. para la seguridad si desea que Symantec Endpoint Protection registre la deteccin.
10 Para los riesgos para la seguridad, seleccione Registrar la deteccin del riesgo
11 Seleccione todas las polticas de las excepciones que deban usar la excepcin. 12 Haga clic en Aceptar.
532
Administracin de excepciones Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
Captulo
22
Cmo administrar actualizaciones de contenido Configurar un sitio para descargar actualizaciones de contenido Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager Cmo comprobar la actividad del servidor de LiveUpdate Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente
534
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Cmo configurar los tipos de contenido usados para actualizar los equipos cliente Configurar la programacin de descarga de LiveUpdate para equipos cliente Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate Cmo controlar las revisiones de contenido que usan los clientes Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate Acerca del clculo aleatorio de descargas de contenido simultneas Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido Cmo configurar un servidor externo de LiveUpdate Cmo configurar un servidor interno de LiveUpdate Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
535
firma las actualizaciones y el cliente LiveUpdate las verifica para asegurarse de que provienen de Symantec y no han sido manipuladas. Para configurar las actualizaciones para clientes, use las siguientes polticas:
La poltica de configuracin de LiveUpdate especifica los servidores de contenido que los equipos cliente contactan para comprobar si existen actualizaciones y la frecuencia con la que los clientes comprueban si existen actualizaciones. La poltica de contenidos de LiveUpdate especifica los tipos contenido que descargan los equipos cliente. Es posible tambin configurar algunos de los tipos contenido que se descargan al servidor de administracin en la ficha LiveUpdate del cuadro de dilogo Propiedades del sitio. Nota: HTTP se admite para la comunicacin de LiveUpdate. HTTPS no se admite, pero el contenido est digitalmente firmado. La ventaja de HTTP es que la mayora de los clientes pueden conectarse al servidor de LiveUpdate por HTTP, y HTTP por lo general es ms rpido. LiveUpdate a veces usa los encabezados no estndar que un firewall puede bloquear. Es posible usar una configuracin en el cuadro de dilogo Configuracin avanzada de la poltica de configuracin de LiveUpdate para lograr que Symantec Endpoint Protection Manager necesite encabezados HTTP estndar de LiveUpdate. Esta configuracin se aplica solamente a descargas para clientes de un servidor externo o interno de LiveUpdate. Una configuracin avanzada est disponible para permitir a los usuarios el inicio manual de LiveUpdate desde sus equipos cliente. Esta opcin est desactivada de forma predeterminada. Si activa esta configuracin, los usuarios pueden iniciar LiveUpdate y descargar las ltimas definiciones del virus de contenido, las actualizaciones de componentes y las actualizaciones del producto. Segn el tamao de la poblacin de usuarios, es posible que no desee permitir que los usuarios descarguen todo el contenido sin probarlo antes. Adems, pueden surgir problemas si se ejecutan dos sesiones de LiveUpdate simultneamente en los equipos cliente. De forma predeterminada, a los usuarios no se les permite descargar actualizaciones de producto de un servidor de LiveUpdate. Es posible cambiar esta configuracin en el panel Configuracin avanzada de la poltica de LiveUpdate. Los usuarios siempre pueden ejecutar LiveUpdate en clientes Mac. Es posible restringir la ejecucin de LiveUpdate solamente en los clientes Windows. Las actualizaciones de producto de un servidor de LiveUpdate, sin embargo, pueden ser restringidas tanto en clientes Mac como en Windows. Si restringe las
536
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
actualizaciones de producto de LiveUpdate en un cliente Mac, se deben proporcionar manualmente. Los clientes Mac no pueden obtener actualizaciones del servidor de administracin. La Tabla 22-1 describe algunas de las tareas importantes que se pueden realizar para administrar actualizaciones de contenido. Puesto que puede usar los valores predeterminados para la actualizacin, las tareas son opcionales. Tabla 22-1 Tarea
Ejecutar LiveUpdate despus de la instalacin
Descripcin
Despus de instalar Symantec Endpoint Protection Manager, se configura para actualizar peridicamente el contenido de forma automtica. Sin embargo, puede ejecutar LiveUpdate de forma inmediata o en cualquier punto para descargar las ltimas actualizaciones de seguridad y de productos. Ver "Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager" en la pgina 554.
Configure el servidor de administracin para recibir actualizaciones de contenido regulares. Estas actualizaciones de contenido se pueden distribuir a los equipos cliente. Cuando configura un sitio para descargar el contenido de LiveUpdate a Symantec Endpoint Protection Manager, debe tomar las siguientes decisiones: La frecuencia con la que el sitio comprueba la existencia de actualizaciones de contenido de LiveUpdate. Los tipos de contenidos para descargar al sitio.
Los idiomas para los tipos de actualizaciones que se descarguen. El servidor de LiveUpdate que proporciona el contenido al sitio. El nmero de revisiones de contenido que se deben guardar y si se deben almacenar los paquetes cliente descomprimidos.
Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562. Ver "Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager" en la pgina 553. Ver "Cmo comprobar la actividad del servidor de LiveUpdate" en la pgina 554. Configurar una conexin para permitir que un servidor proxy se conecte al servidor de Symantec LiveUpdate Establezca la comunicacin entre un servidor proxy y Symantec Endpoint Protection Manager, de modo que pueda conectarse con los servicios de suscripcin de Symantec. Un servidor proxy puede proporcionar un nivel adicional de proteccin entre el sitio y el servidor externo de Symantec LiveUpdate. Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet" en la pgina 555.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
537
Tarea
Especifique la configuracin del servidor proxy para la comunicacin del cliente con un servidor interno de LiveUpdate
Descripcin
Es posible especificar la configuracin del servidor proxy para los clientes que se conectan a un servidor interno de LiveUpdate para buscar actualizaciones. La configuracin del servidor proxy es para las actualizaciones solamente. No se aplican a otros tipos de comunicacin externa que los clientes usen. Se configura el proxy para otros tipos de comunicacin externa del cliente por separado. Ver "Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate" en la pgina 555. Los equipos cliente pueden descargar automticamente definiciones de seguridad y otras actualizaciones de producto de Symantec Endpoint Protection Manager, pero varios mtodos de distribucin de contenido estn disponibles. Por ejemplo, puede permitir a los usuarios viajar con equipos porttiles para usar una conexin a Internet para obtener actualizaciones directamente desde el servidor de Symantec LiveUpdate. Algunas instalaciones que tienen un gran nmero de clientes pueden configurar uno o varios proveedores de actualizaciones de grupo para reducir la carga en el servidor de administracin.
Nota: Los clientes Mac obtienen actualizaciones solamente de un servidor interno o externo
de LiveUpdate. Ver "Acerca de los tipos de contenido que LiveUpdate puede proporcionar" en la pgina 538. Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542. Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558. Configure el nivel de control que desea brindar a los usuarios por medio de LiveUpdate Es posible decidir qu nivel control brindar a los usuarios por medio de las actualizaciones de contenido. Ver "Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate" en la pgina 560.
Ajustar parmetros de Para disminuir el efecto de las descargas en el ancho de banda de red, puede descargar descarga del cliente contenido de forma aleatoria, de modo que no todos los clientes obtengan actualizaciones simultneamente. Ver "Acerca del clculo aleatorio de descargas de contenido simultneas" en la pgina 563. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Para disminuir el efecto de las descargas en el rendimiento de equipos cliente, puede obtener las actualizaciones de contenido de descarga de equipos cliente cuando los equipos cliente estn inactivos. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566.
538
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Tarea
Descripcin
Configurar un mtodo Los equipos cliente descargan automticamente definiciones de virus y otras actualizaciones de distribucin de contenido del producto de Symantec Endpoint Protection Manager, pero hay varios alternativo mtodos de distribucin alternativos que se pueden usar. Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
539
Descripcin
Las actualizaciones de los clientes se configuran en las propiedades del sitio y en Configuracin avanzada de una poltica de configuracin de LiveUpdate. Esta opcin no se configura en una poltica de contenidos de LiveUpdate. Las actualizaciones de los clientes son mejoras al software de cliente instalado. Estas actualizaciones se crean generalmente para ampliar la compatibilidad del sistema operativo o del hardware, para ajustar los problemas de rendimiento o para reparar errores del producto. Las actualizaciones de clientes aparecen cuando son necesarias. Los clientes pueden recibir actualizaciones del producto directamente de un servidor de LiveUpdate. Los clientes administrados pueden adems recibir actualizaciones del producto automticamente de Symantec Endpoint Protection Manager. El parmetro Configuracin de actualizacin de productos en Configuracin avanzada de una poltica de configuracin de LiveUpdate le permite controlar sus versiones del software de cliente. Cuando se deshabilita esta configuracin, el software del cliente se puede actualizar solamente de forma manual. Cuando el servidor de administracin descarga y procesa los parches, crea automticamente un nuevo paquete. El nuevo paquete aparece en el panel Paquetes de instalacin de clientes. Es posible seleccionar el paquete y usar la funcin Actualizar los grupos con el paquete para sus clientes Windows. Es necesario proporcionar las actualizaciones manuales para los clientes Mac usando una herramienta de otro fabricante o mediante la descarga disponible del paquete de actualizacin en la red.
Los paquetes de definiciones de virus separados estn disponibles para las plataformas x86 y x64.
Firmas heursticas de SONAR Protege contra amenazas de ataque de da cero. Lista de aplicaciones Incluye las aplicaciones comerciales legtimas que han generado falsos positivos en comerciales del anlisis de el pasado. Estas se usan para la compatibilidad con versiones anteriores cuando se amenazas proactivo TruScan administran clientes de una versin anterior. Firmas de prevencin de intrusiones Firmas de control de envos Configuracin de la reputacin Protege contra amenazas de red y admite la prevencin de intrusiones y los motores de deteccin. Controla el flujo de envos a Symantec Security Response. Incluye actualizaciones a los datos de reputacin que se usan en la proteccin.
540
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Tipo de contenido
Plantillas de Integridad del host
Descripcin
Incluyen los requisitos predefinidos que imponen parches actualizados y medidas de seguridad en el equipo cliente. La descarga de plantillas para los equipos que ejecutan los sistemas operativos de Windows y los sistemas operativos de Mac.
Tabla 22-3 enumera las funciones que necesitan actualizaciones y los tipos de contenido que necesitan. Tabla 22-3 Cuando se instala un cliente no administrado
Proteccin antivirus y antispyware
Definiciones de SONAR Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
541
Proteccin antivirus y Definiciones de virus y spyware antispyware > Proteccin de Definiciones de SONAR descargas Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos
Firmas de prevencin de intrusiones Cuando se selecciona esta opcin para descargar, incluye actualizaciones tanto para las firmas de prevencin de intrusiones y los motores de prevencin de intrusiones.
Proteccin antivirus y Definiciones de virus y spyware antispyware > Analizador de Definiciones de SONAR Outlook Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos
542
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Proteccin antivirus y Definiciones de virus y spyware antispyware > Analizador de Definiciones de SONAR notas Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos Proteccin proactiva contra Definiciones de SONAR amenazas > SONAR Cuando se configuran los tipos de contenido para descargar en Symantec Endpoint Protection Manager, estos se llaman firmas heursticas de SONAR. Proteccin proactiva contra No se necesitan actualizaciones. amenazas > Control de aplicaciones y dispositivos Proteccin contra amenazas Firmas de prevencin de intrusiones de red > Prevencin de Nota: Cuando se selecciona esta opcin para descargar, incluye actualizaciones tanto intrusiones para las firmas de prevencin de intrusiones y los motores de prevencin de intrusiones. Proteccin contra amenazas No se necesitan actualizaciones. de red > Firewall Network Access Control Contenido de Integridad del host
Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Ver "Cmo configurar los tipos de contenido usados para actualizar los equipos cliente" en la pgina 557.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
543
La configuracin de la programacin del servidor LiveUpdate se define en Propiedades del sitio en la pgina Administrador. La configuracin de la programacin del cliente de LiveUpdate se define en la poltica de configuracin de LiveUpdate. Cuando se agrega y se aplica la poltica de configuracin de LiveUpdate, se debe tener un plan de la frecuencia con la que desea que los equipos cliente busquen actualizaciones. La configuracin predeterminada es cada cuatro horas. Tambin debe saber el lugar desde el que desea que los equipos cliente busquen y obtengan las actualizaciones. Si es posible, desea que los equipos cliente comprueben si hay actualizaciones y las obtengan de Symantec Endpoint Protection Manager. Despus de crear su poltica, puede asignar la poltica a uno o ms grupos y ubicaciones. Los mtodos de distribucin de contenido que se usan dependen de los siguientes factores:
Cmo se configura la red Cantidad de equipos cliente que administra. Por ejemplo, si tiene un gran nmero de clientes, puede usar los proveedores de actualizaciones de grupo para aliviar la carga de servidores de administracin. Es posible incluso configurar los servidores internos de LiveUpdate que usan el administrador de LiveUpdate, si es necesario. Si administra los equipos cliente de Windows y Mac. Por ejemplo, los equipos de cliente de Mac obtienen actualizaciones solamente de un servidor interno o externo de LiveUpdate. Solamente los equipos cliente de Windows pueden obtener actualizaciones del servidor de administracin o del proveedor de actualizaciones de grupo. Ver Tabla 22-4 en la pgina 544. Si los equipos cliente se conectan regularmente a la red. Por ejemplo, algunos usuarios pueden viajar con equipos porttiles que se conectan intermitentemente o no se conectan a la red. En este caso, puede permitir que los equipos cliente obtengan actualizaciones directamente desde un servidor de Symantec LiveUpdate por medio de Internet. Ver Tabla 22-4 en la pgina 544.
544
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Mtodos de distribucin de contenido y cundo se deben usar Cundo se lo debe utilizar Nota: Solamente los equipos del cliente
Windows pueden obtener actualizaciones del servidor de administracin. Los equipos cliente de Mac deben obtener actualmente las actualizaciones desde un servidor de Symantec LiveUpdate o manualmente. Ver "Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente" en la pgina 583. Este mtodo se configura de forma predeterminada despus de la instalacin del servidor de administracin. Es posible adems combinar este mtodo con el proveedor de actualizaciones grupales.
Symantec Endpoint El servidor de administracin Protection Manager para predeterminado puede actualizar los equipos cliente equipos cliente que administra. Es posible que tenga varios servidores de (Valor predeterminado) administracin en su red de Symantec Endpoint Protection Manager. El sitio que incluye los servidores de administracin recibe el contenido de LiveUpdate.
Proveedor de Un Proveedor de actualizaciones de grupo actualizaciones de grupo es un equipo cliente que recibe para equipos cliente actualizaciones desde un servidor de administracin. Entonces transmite las actualizaciones a otros equipos cliente en el grupo. Un proveedor de actualizaciones grupales puede actualizar varios grupos. Tenga en cuenta que un proveedor de actualizaciones de grupo distribuye todos los tipos de contenido de LiveUpdate, excepto las actualizaciones de software del cliente. Los proveedores de actualizaciones de grupo no se pueden usar para actualizar las polticas.
Configurar un proveedor de actualizaciones de grupo es ms fcil configurar un servidor interno de LiveUpdate. Los proveedores de actualizaciones de grupo requieren menos recursos y, por lo tanto, reducen la carga en los servidores de administracin. Este mtodo es particularmente til para los grupos en ubicaciones remotas con ancho de banda mnimo. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
545
Mtodo
Descripcin
Servidor interno de Los equipos cliente pueden descargar LiveUpdate para equipos actualizaciones directamente de un servidor cliente interno de LiveUpdate que recibe las actualizaciones desde un servidor de Symantec LiveUpdate.
Es posible usar un servidor interno de LiveUpdate en redes muy grandes para reducir la carga en Symantec Endpoint Protection Manager. Primero debe considerar si los proveedores de actualizaciones de grupo cumpliran con las Usa la utilidad de administracin de necesidades de la organizacin. Los LiveUpdate para descargar las proveedores de actualizaciones de grupo actualizaciones de definiciones del servidor son ms fciles de configurar y reducen la de Symantec LiveUpdate. La utilidad ubica carga en los servidores de administracin. los paquetes en un servidor web, un sitio FTP o una ubicacin designada con una ruta Use un servidor interno de LiveUpdate si UNC. Se configuran los servidores de tiene clientes Mac y no desea conectarse al administracin y los equipos cliente para servidor de Symantec LiveUpdate por medio descargar las actualizaciones de definiciones de Internet. desde esta ubicacin. Un servidor interno de LiveUpdate tambin Si es necesario, puede configurar varios es til si la organizacin ejecuta varios servidores internos de LiveUpdate y productos de Symantec que adems usan distribuir la lista a los equipos cliente. LiveUpdate para actualizar los equipos cliente. Para obtener informacin sobre cmo configurar un servidor interno de Se usa generalmente un servidor interno de LiveUpdate, consulte la Gua del usuario LiveUpdate en redes grandes de ms de administrador de LiveUpdate. 10 000 clientes. La gua est disponible en el disco del producto y en el sitio web de soporte de Symantec.
546
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Mtodo
Servidor de Symantec LiveUpdate para equipos cliente por medio de Internet
Descripcin
Los equipos cliente pueden recibir actualizaciones directamente desde un servidor de Symantec LiveUpdate. este mtodo.
Nota: Los equipos cliente de Mac deben usar Symantec Endpoint Protection Manager y
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
547
Mtodo
Intelligent Updater
Descripcin
Los archivos de Intelligent Updater contienen el contenido de virus y riesgo para la seguridad que puede usar para actualizar clientes manualmente. Es posible descargar los archivos autoextrables de Intelligent Updater del sitio web de Symantec.
Figura 22-1 muestra una arquitectura de distribucin de ejemplo para redes ms pequeas.
548
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Figura 22-1
Symantec LiveUpdate
Grupo de clientes
Servidor de administracin
Servidor de administracin
Grupos de clientes
Figura 22-2 muestra una arquitectura de distribucin de ejemplo para redes ms grandes.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar un sitio para descargar actualizaciones de contenido
549
Figura 22-2
Symantec LiveUpdate
Servidor de administracin
Grupos de clientes
Grupos de clientes
Cuntas veces debe mi sitio La programacin predeterminada para que Symantec comprobar la existencia de Endpoint Protection Manager ejecute LiveUpdate cada actualizaciones de contenido cuatro horas es la mejor prctica. de LiveUpdate?
550
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar un sitio para descargar actualizaciones de contenido
Decisin
Descripcin
Qu tipos de contenido debo Asegrese de que el sitio descargue todas las actualizaciones descargar al sitio? de contenido especificadas en las polticas de contenido de LiveUpdate de los clientes. Ver "Acerca de los tipos de contenido que LiveUpdate puede proporcionar" en la pgina 538. Ver "Cmo configurar los tipos de contenido usados para actualizar los equipos cliente" en la pgina 557. Qu idiomas se deben Esta configuracin en el cuadro de dilogo Propiedades del descargar para las sitio se aplica solamente a las actualizaciones del producto; actualizaciones del producto? las actualizaciones de contenido son compatibles con todos los idiomas. Qu servidor de LiveUpdate Es posible especificar un servidor externo de Symantec debe servir el contenido al LiveUpdate (recomendado) o uno o ms servidores internos sitio? de LiveUpdate que hayan sido instalados y configurados previamente. Ver "Cmo configurar un servidor externo de LiveUpdate" en la pgina 579. No es necesario instalar Symantec Endpoint Protection Manager y un servidor interno de LiveUpdate en el mismo hardware fsico o mquina virtual. La instalacin en el mismo equipo puede dar lugar a problemas de rendimiento significativos del servidor. Si decide usar uno o ms servidores internos de LiveUpdate, se puede agregar el servidor pblico de Symantec LiveUpdate como la entrada ms actual. Si sus clientes no pueden alcanzar ningn servidor en la lista, pueden an actualizarse desde el servidor de Symantec LiveUpdate.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar un sitio para descargar actualizaciones de contenido
551
Decisin
Cuntas revisiones de contenido deben el almacenamiento del sitio y los paquetes cliente almacenar descromprimidos?
Descripcin
Una razn importante para almacenar varias revisiones de un nico tipo de contenido es proporcionar la capacidad de crear y de distribuir deltas a los clientes. Cuando Symantec Endpoint Protection Manager y el cliente tienen una revisin de contenido en comn, Symantec Endpoint Protection Manager puede usarla como base para que un delta se enve a los clientes. Los clientes pueden aplicar ese delta a la misma base localmente para conseguir el ltimo contenido. Los deltas son tpicamente mucho ms pequeos que los paquetes completos, lo que da lugar a un ahorro importante del ancho de banda. Tambin es posible almacenar revisiones de contenido porque es posible que desee probar el ltimo contenido antes de distribuirlo a todos sus clientes. Se recomienda conservar las versiones anteriores del contenido para que pueda revertir la accin si es necesario.
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic con el botn derecho en Sitio local y despus haga clic en Editar propiedades. En la ficha LiveUpdate, en el cuadro de grupo Programacin de descarga, haga clic en Editar programacin, configure las opciones para cuntas veces el servidor debe comprobar si hay actualizaciones. Haga clic en Aceptar. En Tipos de contenido para descargar, examine la lista de tipos de actualizacin que se descargan. Para agregar o eliminar un tipo de actualizacin, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. La lista debe coincidir con la lista de tipos de contenido que se incluyen en la Poltica de contenidos de LiveUpdate para sus equipos cliente.
4 5 6
552
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar un sitio para descargar actualizaciones de contenido
7 8 9
En Idiomas para descargar, examine la lista de idiomas de los tipos de actualizaciones que se descargan. Para agregar o eliminar un idioma, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. En Plataformas para descargar, haga clic en Cambiar plataformas y despus examine la lista de las plataformas. Anule la seleccin de las plataformas a las cuales no desee descargar el contenido. origen y despus examine el servidor actual de LiveUpdate que se usa para actualizar el servidor de administracin. Este servidor es, de forma predeterminada, el servidor de Symantec LiveUpdate. A continuacin, realice una de las siguientes:
Para utilizar el servidor de origen existente de LiveUpdate, haga clic en Aceptar. Para usar un servidor interno de LiveUpdate, haga clic en Usar un servidor interno especificado de LiveUpdate y despus haga clic en Agregar.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager
553
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione el sitio; despus, en Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del servidor, en la ficha LiveUpdate, haga clic en Editar programacin. Cambie la frecuencia y cualquier otra configuracin que se desee cambiar. Haga clic en Aceptar.
554
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager
1 2
En la Pgina principal, seleccione Tareas comunes y a continuacin seleccione Ejecutar LiveUpdate. Haga clic en Descarga.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores y despus seleccione el sitio. Haga clic en Descargar contenido de LiveUpdate. En el cuadro de dilogo Descargar contenido de LiveUpdate, revise las propiedades y despus haga clic en Descarga. Si es necesario cambiar alguna de las propiedades, haga clic en Cancelar y cambie las propiedades primero. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549.
1 2
En la consola, haga clic en Administrador. En la pgina Administrador, en Tareas, haga clic en Servidores y seleccione el sitio.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet
555
3 4
Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet
Si desea que Symantec Endpoint Protection Manager pase a travs de un servidor proxy para conectarse a Internet, es necesario configurar Symantec Endpoint Protection Manager para conectarse al servidor proxy. Un servidor proxy puede agregar una capa de seguridad porque solamente el servidor proxy est conectado directamente a Internet. Para configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet y para descargar el contenido de Symantec LiveUpdate
1 2 3 4
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desee conectar un servidor proxy. En Tareas, haga clic en Editar propiedades de servidor. En la ficha Servidor proxy, en Configuracin de proxy HTTP o Configuracin de proxy FTP, para Utilizacin del proxy, seleccione Utilizar configuracin de proxy personalizada. Escriba la configuracin de proxy. Para obtener ms informacin sobre esta configuracin, haga clic en Ayuda.
Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
Es posible especificar un servidor proxy que sus clientes usen para comunicarse con un servidor interno de LiveUpdate. La configuracin de proxy no afecta ninguna configuracin de los proveedores de actualizaciones de grupo.
556
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Nota: Se establece la configuracin de proxy para otras comunicaciones del cliente por separado. Para especificar un servidor proxy que los clientes en los equipos Windows usen para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate y, luego, haga clic en la ficha Configuracin de LiveUpdate. Haga clic con el botn derecho en la poltica que desee y, luego, seleccione Editar. En Configuracin de Windows, haga clic en Configuracin del servidor. En Configuracin de proxy de LiveUpdate, haga clic en Configurar opciones de proxy. En la ficha HTTP o HTTPS o la ficha FTP, seleccione las opciones deseadas. Consulte la ayuda en pantalla para obtener ms informacin sobre las opciones.
7 8
Para especificar un servidor proxy que los clientes en los equipos Mac usen para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
1 2 3
En la consola, haga clic en Clientes > Polticas. En el panel Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de comunicacin externa. En la ficha Servidor proxy (Mac), seleccione las opciones deseadas. Consulte la ayuda en pantalla para obtener ms informacin sobre las opciones.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente
557
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Seleccione Habilitar programacin de LiveUpdate. Especifique la frecuencia y el intervalo de reintento. Haga clic en Aceptar.
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Anule la seleccin de Habilitar programacin de LiveUpdate. Haga clic en Aceptar.
Cmo configurar los tipos de contenido usados para actualizar los equipos cliente
La poltica de contenidos de LiveUpdate especifica los tipos de contenido que los clientes pueden verificar e instalar. Regresar al contenido de una vieja revisin puede ser til para la solucin de problemas
558
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar la programacin de descarga de LiveUpdate para equipos cliente
Nota: Use esta funcin muy cuidadosamente. Anular la seleccin de un tipo de contenido significa que la funcin no se mantiene actualizada en el cliente. Esto puede potencialmente poner a sus clientes en mayor riesgo. Para configurar el contenido de la actualizacin para los equipos cliente
1 2 3 4 5
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate y despus haga clic en la ficha Contenido de LiveUpdate. Haga clic con el botn derecho en la poltica de contenido que desee y haga clic en Editar. En Configuracin de Windows, haga clic en Definiciones de seguridad. Seleccione los tipos de actualizaciones de contenido que es necesario que los clientes descarguen y que instalen, y anule la seleccin de los tipos que no desee. Nota: Si tiene clientes Mac, pueden instalar solamente actualizaciones a las definiciones de virus y de spyware. Esta opcin, en Configuracin de Mac, Definiciones de seguridad, est habilitada de forma predeterminada.
Opcionalmente, para cada actualizacin, se puede usar el ltimo contenido disponible o seleccionar una revisin especfica de una lista de versiones disponibles. Haga clic en Aceptar. Si no ha asignado an esta poltica a los grupos y las ubicaciones, deber asignar la poltica para hacer que surta efecto.
Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar la programacin de descarga de LiveUpdate para equipos cliente
559
Para ahorrar ancho de banda, los clientes de Symantec Endpoint Protection pueden configurarse para ejecutar solamente descargas programadas de LiveUpdate desde el servidor de Symantec LiveUpdate si se cumple una de las siguientes condiciones:
Las definiciones de virus y spyware en el equipo cliente tienen ms de dos das de antigedad. Un equipo cliente est desconectado de Symantec Endpoint Protection Manager por ms de ocho horas.
Si selecciona ambas opciones, la descarga programada de LiveUpdate desde Symantec de un equipo cliente se ejecuta solamente si cumple ambos criterios. Para configurar la programacin para las descargas de LiveUpdate a equipos cliente Windows
1 2 3 4 5
Haga clic en Polticas y, a continuacin, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Seleccione Habilitar programacin de LiveUpdate. Especifique la frecuencia. Si selecciona Diariamente, configure tambin la hora del da en que debe ejecutarse. Si selecciona Semanalmente, configure tambin la hora del da y el da de la semana en que debe ejecutarse.
Si selecciona cualquier frecuencia que no sea Continuamente, especifique el Intervalo de reintento. El Intervalo de reintento es la cantidad de horas o das que el equipo cliente intenta ejecutar LiveUpdate si el LiveUpdate programado falla por alguna razn.
7 8
Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Para configurar la programacin para las descargas de LiveUpdate a equipos cliente Mac
1 2 3
Haga clic en Polticas y, a continuacin, haga clic en LiveUpdate. En la ficha Poltica de configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desea y, a continuacin, haga clic en Editar. En Configuracin de Mac, haga clic en Programacin.
560
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate
Especifique la frecuencia. Si selecciona Diariamente, configure tambin la hora del da en que debe ejecutarse. Si selecciona Semanalmente, configure tambin la hora del da y el da de la semana en que debe ejecutarse.
Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate
Es conveniente permitir a los usuarios que viajan usar una conexin a Internet para conseguir actualizaciones directamente del servidor de Symantec LiveUpdate. Es posible tambin permitir que los usuarios modifiquen la programacin de LiveUpdate que usted configur para las descargas de contenido. Para configurar la cantidad de control que los usuarios tienen sobre LiveUpdate
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Configuracin avanzada. En el panel Configuracin del usuario, seleccione Permitir al usuario iniciar LiveUpdate manualmente. Opcionalmente, seleccione Permitir al usuario modificar la programacin de LiveUpdate. Opcionalmente, en Configuracin de actualizacin de productos, seleccione Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate. Habilite esta opcin solamente si no es necesario mantener un control estricto de las revisiones de software de clientes que sus clientes usan.
Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561. Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo controlar las revisiones de contenido que usan los clientes
561
1 2 3 4 5 6 7 8
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. Haga clic en la ficha Contenido de LiveUpdate. Haga clic con el botn derecho en la poltica de contenidos de LiveUpdate que desee y en Editar. En Configuracin de Windows, haga clic en Definiciones de seguridad. En el tipo de contenido que desea revertir, haga clic en Seleccionar una revisin. Haga clic en Editar y seleccione la revisin que desea para revertirla desde la lista desplegable de Revisin. Haga clic en Aceptar.
562
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate
Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate
Si selecciona 500 o menos clientes durante la instalacin de Symantec Endpoint Protection Manager, de forma predeterminada, Symantec Endpoint Protection Manager almacena tres revisiones de contenido de LiveUpdate para cada tipo de contenido. Si selecciona de 500 a 1000 clientes, Symantec Endpoint Protection Manager almacena 10 revisiones de forma predeterminada. Si selecciona ms de 1000 clientes, Symantec Endpoint Protection Manager almacena 30 revisiones de forma predeterminada. Por ejemplo, si selecciona 500 clientes o menos, Symantec Endpoint Protection Manager almacena tres revisiones. Para reducir el espacio libre en disco y el tamao de la base de datos, puede reducir el nmero de revisiones de contenido que se mantiene en el servidor. Sin embargo, debe tener en cuenta que la reduccin del nmero de revisiones de contenido adems afecta la capacidad de un servidor de hacer deltas entre las actualizaciones de contenido. Un delta es una actualizacin que contiene solamente los cambios incrementales desde la revisin de contenido completa ms actual. Los archivos delta son tpicamente mucho ms pequeos que los archivos completos de actualizacin. Cuantas ms revisiones de contenido se guarden, mayor es la capacidad del servidor de crear deltas entre las revisiones de contenido. El nmero de revisiones de contenido que se guardan es particularmente importante si tiene algunos equipos cliente que estn desconectados durante das al mismo tiempo. Symantec libera tpicamente de 3 a 4 revisiones de contenido de virus y spyware por da. Mantener por lo menos 10 revisiones asegura que los equipos que estn desconectados los viernes puedan usar un delta para actualizarse el lunes por la maana. Las actualizaciones de delta ocupan menos tiempo y ancho de banda que la descarga de una revisin de contenido completa. Para configurar el espacio libre en disco usado para las descargas de LiveUpdate
1 2 3 4
En la consola, haga clic en Administrador. Haga clic en Servidores y seleccione el sitio que desea configurar. En Tareas, haga clic en Editar propiedades del sitio y despus haga clic en LiveUpdate. En Administracin del espacio de disco para descargas, escriba el nmero de descargas de contenido que deseen almacenar.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Acerca del clculo aleatorio de descargas de contenido simultneas
563
Si desea reducir la cantidad de espacio libre en disco usada, anule la seleccin de la opcin Almacenar los paquetes de cliente descomprimidos para proporcionar un mejor rendimiento de red para las actualizaciones. Nota: Deshabilitar esta opcin adems deshabilita la posibilidad de que Symantec Endpoint Protection Manager genere deltas entre las revisiones de contenido y puede afectar negativamente el rendimiento de red para las actualizaciones.
Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
564
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo
mxima en el servidor, pero retrasa las actualizaciones de contenido en los equipos cliente. En una situacin en donde se tienen muy pocos clientes y se desea una rpida entrega del contenido, se recomienda configurar la ventana de clculo aleatorio en un valor ms bajo. Un valor ms bajo del clculo aleatorio aumenta la carga mxima en el servidor, pero proporciona una entrega ms rpida del contenido a los clientes. Para las descargas del servidor de administracin predeterminado o un proveedor de actualizaciones grupales, se debe definir la configuracin del clculo aleatorio en el cuadro de dilogo Configuracin de comunicaciones del grupo seleccionado. La configuracin no forma parte de la poltica de configuracin de LiveUpdate. Para las descargas de un servidor de LiveUpdate a sus clientes, se debe definir la configuracin del clculo aleatorio como parte de la poltica de configuracin de LiveUpdate. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo
Su servidor de administracin o Proveedor de actualizaciones de grupo predeterminado puede experimentar rendimiento reducido cuando varios equipos cliente intentan descargar el contenido de ellos simultneamente. Es posible configurar un intervalo del clculo aleatorio en la configuracin de comunicacin para el grupo al cual los equipos cliente pertenecen. Cada equipo cliente intenta descargar el contenido a una hora al azar que ocurre dentro de ese intervalo. Nota: La configuracin de comunicacin no controla la configuracin del clculo aleatorio para los equipos cliente que descargan el contenido de un servidor de LiveUpdate. Es posible cambiar la configuracin del clculo aleatorio para los equipos en la poltica de configuracin de LiveUpdate. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate
565
Para ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Clientes, haga clic en el grupo que desee. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de la comunicacin. En el cuadro de dilogo Configuracin de la comunicacin, en Descargar clculo aleatorio, seleccione Habilitar clculo aleatorio. Opcionalmente, cambie la duracin del intervalo del clculo aleatorio. Haga clic en Aceptar.
Ver "Acerca del clculo aleatorio de descargas de contenido simultneas" en la pgina 563. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
1 2
566
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos
3 4 5
En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee editar y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. En Opciones de descarga aleatoria, seleccione Calcular aleatoriamente la hora de inicio para ser + o - (en horas). Nota: Esta configuracin est en das, si se seleccionan las actualizaciones Semanalmente.
6 7
Opcionalmente, cambie la duracin para la hora de inicio ordenada aleatoriamente. Haga clic en Aceptar.
Ver "Acerca del clculo aleatorio de descargas de contenido simultneas" en la pgina 563. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos
Para aliviar problemas de rendimiento del equipo cliente, se pueden configurar descargas de contenido para ejecutarse cuando los equipos cliente estn inactivos. Esta opcin est activada de forma predeterminada. Varios criterios, tales como usuario, CPU y acciones del disco, se usan para determinar cundo el equipo est inactivo. Si se habilita Deteccin inactiva, cuando deba realizarse una actualizacin, las condiciones siguientes pueden retrasar la sesin:
El usuario no est inactivo. El equipo est funcionando con energa de la batera. La CPU est ocupada. La E/S de disco est ocupada. No hay ninguna conexin de red presente.
Despus de una hora, el conjunto de bloqueo se reduce a CPU ocupada, E/S de disco ocupada o no existe ninguna conexin de red. Una vez que la actualizacin programada est atrasada por dos horas, mientras exista una conexin de red, LiveUpdate programado se ejecuta sin importar el estado inactivo.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado
567
Para configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos
1 2 3 4 5
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee editar y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Seleccione Retrasar LiveUpdate programado hasta que el equipo est inactivo. Las sesiones que hayan caducado se ejecutarn incondicionalmente. Haga clic en Aceptar.
Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558. Ver "Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado" en la pgina 567.
Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado
Es posible asegurarse de que los clientes se actualicen cuando las definiciones son anteriores o el equipo se ha desconectado de la red por una determinada cantidad de tiempo. Nota: Si selecciona ambas opciones disponibles, el equipo cliente debe cumplir ambas condiciones. Para configurar actualizaciones del cliente cuando las definiciones son anteriores o los equipos estn desconectados del administrador
1 2 3 4
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee editar y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin.
568
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
5 6
Seleccione LiveUpdate solo se ejecuta si las definiciones de virus y spyware son anteriores a: y, a continuacin, configure el nmero de horas o de das. Seleccione LiveUpdate solo se ejecuta si el cliente se desconecta de Symantec Endpoint Protection por ms de: y, a continuacin, configure el nmero de minutos o de horas. Haga clic en Aceptar.
Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
569
Accin
Comprenda las diferencias entre un nico proveedor de actualizaciones de grupo y varios proveedores de actualizaciones de grupo
Paso 2
Antes de que configure los proveedores de actualizaciones de grupo, verifique que los clientes puedan recibir actualizaciones de contenido del servidor. Resuelva cualquier problema de comunicacin entre servidor y cliente. Es posible ver la actividad de servidor y cliente en los registros del sistema. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062.
Paso 3
Se configuran los proveedores de actualizaciones de grupo especificando la configuracin de la Poltica de configuracin de LiveUpdate. Es posible configurar un nico proveedor de actualizaciones grupales o varios proveedores de actualizaciones de grupo. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 575.
570
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
Paso
Paso 4
Accin
Descripcin
Asignar la poltica de Se asigna la poltica de configuracin de configuracin de LiveUpdate LiveUpdate a los grupos que usan los proveedores a los grupos de actualizaciones de grupo. Adems asigna la poltica al grupo en el cual el proveedor de actualizaciones grupales reside. Para un nico proveedor de actualizaciones grupales, se asigna una Poltica de configuracin de LiveUpdate por grupo por sitio. Para varios proveedores de actualizaciones de grupo, se asigna una Poltica de configuracin de LiveUpdate a varios grupos a travs de subredes. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
Paso 5
Verificar que los clientes se Es posible ver los equipos cliente que se designen como proveedores designaron como proveedores de actualizaciones de actualizaciones de grupo de grupo. Es posible buscar los equipos cliente para ver una lista de proveedores de actualizaciones de grupo. Es posible tambin hacer clic en un equipo cliente en la pgina Clientes y consultar sus propiedades para ver si es un Proveedor de actualizaciones de grupo o no lo es. Ver "Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo" en la pgina 578.
Proveedor de actualizaciones grupales nico Un proveedor de actualizaciones grupales nico es un equipo cliente dedicado que proporciona contenido para uno o ms grupos de clientes. Un proveedor de actualizaciones grupales nico puede ser un equipo cliente en cualquier grupo. Para configurar un proveedor de actualizaciones grupales nico, se especifica la direccin IP o el nombre de host del equipo cliente que desee designar como el proveedor de actualizaciones grupales. Varios proveedores de actualizaciones de grupo
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
571
Varios proveedores de actualizaciones de grupo usan un conjunto de reglas o criterios para elegirse para asistir a los grupos de clientes a travs de subredes. Para configurar varios proveedores de actualizaciones de grupo, se especifican los criterios que los equipos cliente deben cumplir para calificar como proveedor de actualizaciones grupales. Si un equipo cliente cumple los criterios, Symantec Endpoint Protection Manager agrega el cliente a su lista de proveedores de actualizaciones de grupo. Symantec Endpoint Protection Manager entonces pone la lista a disposicin de todos los clientes de su red. Los clientes comprueban la lista y eligen el proveedor de actualizaciones grupales que se encuentra en su subred. Nota: Es posible tambin configurar un proveedor de actualizaciones grupales nico y dedicado para distribuir el contenido a los clientes cuando el proveedor de actualizaciones grupales local no est disponible o para clientes de una versin anterior que no pueden identificar al proveedor local de actualizaciones de grupo. Se usa la poltica de configuracin de LiveUpdate para configurar el tipo de proveedor de actualizaciones grupales. El tipo que se configura depende de cmo se configura su red y si su red incluye o no clientes de una versin anterior. Un cliente de una versin anterior es un equipo que ejecuta una versin de Symantec Endpoint Protection anterior a 11.0.5. Nota: No es posible usar varios proveedores de actualizaciones de grupo con los clientes de una versin anterior que ejecutan versiones de Symantec Endpoint Protection anteriores a 11.0.5 (RU5).
572
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
Tabla 22-7
Use un proveedor de actualizaciones grupales nico cuando su red incluya cualquiera de las siguientes situaciones: Su red incluye clientes de una versin anterior. Los clientes de una versin anterior pueden conseguir contenido de un proveedor de actualizaciones grupales nico; los clientes de una versin anterior pueden tambin designarse como un proveedor de actualizaciones grupales. Los clientes de una versin anterior no admiten varios proveedores de actualizaciones de grupo. Se desea usar el mismo proveedor de actualizaciones grupales para todos sus equipos cliente. Es posible usar una poltica de configuracin de contenidos de LiveUpdate nica para especificar una direccin IP esttica o un nombre de host para un proveedor de actualizaciones grupales nico. Sin embargo, debe cambiar la direccin IP de la poltica si los clientes cambian las ubicaciones. Si desea usar diferentes proveedores de actualizaciones de grupo en diversos grupos, deber crear una poltica de configuracin de LiveUpdate aparte para cada grupo.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
573
Cundo usar
Use varios proveedores de actualizaciones de grupo cuando su red incluya cualquiera de las siguientes situaciones: Los equipos cliente de la red no son clientes de una versin anterior. Se admiten varios proveedores de actualizaciones de grupo en los equipos que ejecutan el software Symantec Endpoint Protection 11.0.5 (RU5) o una versin posterior. No es posible usar varios proveedores de actualizaciones de grupo con los clientes de una versin anterior que ejecutan versiones de Symantec Endpoint Protection anteriores a 11.0.5 (RU5). Los clientes de una versin anterior no pueden conseguir contenido de varios proveedores de actualizaciones de grupo. Un cliente de una versin anterior no puede ser designado como proveedor de actualizaciones grupales incluso si cumple los criterios para varios proveedores de actualizaciones de grupo. Es posible crear una poltica de configuracin de LiveUpdate aparte y configurar un proveedor de actualizaciones grupales nico y esttico para un grupo de clientes de una versin anterior. Tiene varios grupos y desea usar diversos proveedores de actualizaciones de grupo para cada grupo. Es posible usar una poltica que especifique las reglas para la eleccin de varios proveedores de actualizaciones de grupo. Si los clientes cambian ubicaciones, no deber actualizar la poltica de configuracin de LiveUpdate. Symantec Endpoint Protection Manager combina varios proveedores de actualizaciones de grupo a travs de sitios y de dominios. Pone la lista a disposicin de los clientes en todos los grupos de su red. Varios proveedores de actualizaciones de grupo pueden funcionar como un mecanismo de conmutacin por error. Varios proveedores de actualizaciones de grupo garantizan una alta probabilidad de que, por lo menos, un proveedor de actualizaciones grupales est disponible en cada subred.
Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo" en la pgina 574. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 575.
574
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
Acerca de los proveedores de actualizaciones de grupo y las versiones anteriores del software
Si tiene clientes de versiones anteriores y usa clientes de versiones anteriores como proveedores de actualizaciones de grupo en su red, se debe asegurar de tener en cuenta las siguientes advertencias:
Los proveedores de actualizaciones de grupo que ejecutan versiones anteriores de Symantec Endpoint Protection no pueden entregar actualizaciones de contenido que ejecuten la versin actual de Symantec Endpoint Protection. No es posible usar varios proveedores de actualizaciones de grupo con clientes de versiones anteriores que ejecutan versiones Symantec Endpoint Protection anteriores a 11.0.5 (RU5).
Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568.
Conjuntos de reglas Un conjunto de reglas incluye las reglas que un cliente debe coincidir para actuar como proveedor de actualizaciones grupales. Reglas Las reglas pueden especificar direcciones IP, nombres de host, claves de registro de Windows de los clientes o sistemas operativos de los clientes. Es posible incluir uno de cada tipo de regla en un conjunto de reglas. Condiciones de reglas Una regla especifica una condicin que un cliente debe coincidir para actuar como proveedor de actualizaciones grupales. Si una regla especifica una condicin con varios valores, el cliente debe coincidir con uno de los valores. Tipos de reglas Descripcin
Direccin IP o nombre Esta regla especifica direcciones IP o nombres de host de los de host clientes.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
575
Tipo de regla
Claves de registro
Descripcin
Esta regla especifica las claves de registro de Windows de los clientes. Esta regla especifica los sistemas operativos de los clientes.
Sistema operativo
Las reglas coinciden segn los operadores lgicos OR y AND de la siguiente manera:
Varios conjuntos de reglas usan el operador OR. Un cliente debe coincidir con al menos un conjunto de reglas para actuar como proveedor de actualizaciones de grupo. Varias reglas usan el operador AND. Un cliente debe coincidir con cada regla de cada que se especifica en un conjunto de reglas para actuar como Proveedor de actualizaciones de grupo. Varios valores para una condicin de regla usan el operador OR. Un cliente debe coincidir con uno de los valores en una condicin de regla para actuar como Proveedor de actualizaciones de grupo.
Por ejemplo, es posible que tenga que crear el conjunto de reglas 1 que incluya una regla de direccin IP con varias direcciones IP. A continuacin, cree el conjunto de reglas 2 que incluya una regla de nombre de host y una regla de sistema operativo, cada una con varios valores. Un equipo cliente debe coincidir con el conjunto de reglas 1 o el conjunto de reglas 2. Un cliente coincide con el conjunto de reglas 1 si contiene una de las direcciones IP. Un cliente solo coincide con el conjunto de reglas 2 si tiene uno de los nombres de host y ejecuta uno de los sistemas operativos especificados. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Acerca de los tipos de proveedores de actualizaciones de grupo" en la pgina 570. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 575.
576
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
proveedor de actualizaciones grupales. Es posible tambin configurar el tipo de proveedor de actualizaciones grupales. Es posible configurar la cantidad de tiempo mximo que los clientes pueden intentar descargar actualizaciones de un Proveedor de actualizaciones de grupo antes de que intenten conseguir actualizaciones de su servidor de administracin predeterminado. Si configura esta vez a 15 minutos, significa que el equipo cliente debe intentar descargar continuamente durante 15 minutos sin resultado correcto. Nota: Si el proveedor de actualizaciones grupales ejecuta un firewall de no propio de Symantec, puede ser recomendable modificar el firewall para permitir que el puerto TCP reciba comunicaciones del servidor. De forma predeterminada, la poltica de Symantec Firewall se configura correctamente. Es posible configurar solamente un nico proveedor de actualizaciones grupales por poltica de configuracin de LiveUpdate por grupo. Para crear un nico proveedor de actualizaciones grupales para varios sitios, es necesario crear un grupo por sitio y una poltica de configuracin de LiveUpdate por sitio. Es posible configurar varios proveedores de actualizaciones de grupo especificando criterios en la poltica de configuracin de LiveUpdate. Los clientes usan los criterios para determinar si califican para actuar como proveedor de actualizaciones grupales. Para configurar un proveedor de actualizaciones grupales
1 2 3 4 5
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En la ventana Poltica de LiveUpdate, haga clic en Configuracin del servidor. En Servidor interno o externo de LiveUpdate, seleccione Usar el servidor de administracin predeterminado. No active Usar un servidor de LiveUpdate. El proveedor de actualizaciones grupales que se configura acta como el servidor predeterminado de LiveUpdate.
6 7 8
En Proveedor de actualizaciones de grupos, seleccione Usar un proveedor de actualizaciones de grupo. Haga clic en Proveedor de actualizaciones grupales. Realice una de las siguientes tareas:
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
577
Siga los pasos en Para configurar un nico proveedor de actualizaciones grupales. Siga los pasos en Para configurar varios proveedores de actualizaciones de grupo.
Nota: Los clientes de una versin anterior pueden usar solamente un nico proveedor de actualizaciones grupales. Los clientes de una versin anterior no admiten varios proveedores de actualizaciones de grupo.
En el cuadro de dilogo Proveedor de actualizaciones grupales, configure las opciones para controlar cmo el contenido se descarga y se almacena en el equipo proveedor de actualizaciones grupales. Haga clic en Ayuda para obtener informacin sobre las descargas de contenido.
En el cuadro de dilogo Proveedor de actualizaciones grupales, en Seleccin de proveedores de actualizaciones de grupo para cliente, haga clic en Direccin IP o nombre de host nico de proveedor de actualizaciones grupales. En el cuadro Direccin IP o nombre de host nico de proveedor de actualizaciones grupales, escriba la direccin IP o el nombre de host del equipo cliente que acta como nico proveedor de actualizaciones grupales. Haga clic en Ayuda para obtener informacin sobre la direccin IP o el nombre de host.
En el cuadro de dilogo Proveedor de actualizaciones grupales, en Seleccin de proveedores de actualizaciones de grupo para cliente, haga clic en Varios proveedores de actualizaciones de grupo. Haga clic en Configure la lista de proveedores de actualizaciones de grupo. En el cuadro de dilogo Lista de proveedores de actualizaciones de grupo, seleccione el nodo de rbol Proveedor de actualizaciones grupales. Haga clic en Agregar para aadir un conjunto de reglas.
2 3 4
578
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
En el cuadro de dilogo Especifique los criterios de las reglas del proveedor de actualizaciones de grupo, en la lista desplegable Marcar, seleccione una de las siguientes opciones:
6 7
Si seleccion Direccin IP del equipo o nombre de host o Claves de registro, haga clic en Agregar. Escriba o seleccione la direccin IP o el nombre de host, la clave de registro de Windows o la informacin del sistema operativo. Haga clic en Ayuda para obtener informacin sobre reglas de configuracin. Ver "Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo" en la pgina 574.
Haga clic en Aceptar hasta que vuelva al cuadro de dilogo Lista de proveedores de actualizaciones de grupo, donde se pueden agregar opcionalmente ms conjuntos de reglas. Escriba una direccin IP o un nombre de host de un proveedor de actualizaciones grupales en el cuadro de texto Especifique el nombre de host o la direccin IP de un proveedor de actualizaciones grupales en una subred diferente que se vaya a utilizar, si no estn disponibles los proveedores de actualizaciones de grupo en la subred local.
Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo
Es posible verificar que los clientes estn disponibles como proveedores de actualizaciones de grupo. Es posible ver una lista de proveedores de actualizaciones de grupo buscndolos en la ficha Clientes.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar un servidor externo de LiveUpdate
579
Nota: Es posible adems seleccionar las propiedades de un cliente. Las propiedades incluyen un campo que indica si el cliente es o no proveedor de actualizaciones grupales. Para buscar los clientes que actan como proveedores de actualizaciones de grupo
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la ficha Clientes, en el cuadro Ver, seleccione Estado del cliente. En el panel Tareas, haga clic en Buscar clientes. En el cuadro Buscar, active Equipos. En el cuadro En el grupo, especifique el nombre de grupo. En Criterios de bsqueda, haga clic en la columna Campo de bsqueda y seleccione Proveedor de actualizaciones grupales. En Criterios de bsqueda, haga clic en la columna Operador de comparacin y seleccione =. En Criterios de bsqueda, haga clic en la columna Valor y seleccione Verdadero. Haga clic en Ayuda para obtener informacin sobre los criterios de bsqueda.
Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568.
1 2 3
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar.
580
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar un servidor interno de LiveUpdate
4 5 6
En Configuracin de Windows, haga clic en Configuracin del servidor. Haga clic en Usar el servidor predeterminado de Symantec LiveUpdate. Haga clic en Aceptar.
1 2 3 4 5 6 7 8
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Mac, haga clic en Configuracin del servidor. Haga clic en Usar el servidor predeterminado de Symantec LiveUpdate. Si su servidor interno del LiveUpdate usa FTP, haga clic en Configuracin avanzada del servidor. Haga clic en el modo FTP que el servidor usa, ya sea Activo o Pasivo. Haga clic en Aceptar.
Configurar un servidor interno de LiveUpdate. Usar un servidor de Symantec LiveUpdate que es externo a su red.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar un servidor interno de LiveUpdate
581
Para usar un servidor interno de LiveUpdate, es necesario realizar las siguientes tareas:
Instale el servidor interno de LiveUpdate. Si proporciona actualizaciones a los clientes de un servidor de administrador 1.x de LiveUpdate, se debe ir a Configuracin avanzada del servidor en la poltica de configuracin de LiveUpdate y habilitar la compatibilidad. Es necesario seleccionar la casilla para habilitar la compatibilidad con la utilidad de administracin de LiveUpdate 1.x. La compatibilidad con el administrador de LiveUpdate 2.x y posterior siempre est habilitada. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580. Para obtener ms informacin acerca de cmo usar un servidor interno de LiveUpdate, consulte la Gua de administracin de LiveUpdate. Nota: Si usa la versin de administrador 1.x de LiveUpdate para administrar su servidor interno de LiveUpdate, es necesario realizar un cambio si usted aplic los paquetes de respuesta personalizados. Los clientes de LiveUpdate que usan la versin actual no pueden autenticar los paquetes de respuesta personalizados. Es necesario eliminar cualquier paquete personalizado del servidor central de LiveUpdate. Use la poltica de configuracin de LiveUpdate para configurar sus clientes para usar ese servidor interno de LiveUpdate.
Para configurar clientes de Windows para que usen un servidor interno de LiveUpdate
1 2 3 4 5 6
En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Configuracin del servidor. En el panel Configuracin del servidor, seleccione Usar un servidor de LiveUpdate. Haga clic en Usar un servidor interno especificado de LiveUpdate y despus haga clic en Agregar. En el cuadro de dilogo Agregar servidor de LiveUpdate, escriba la informacin que se necesita para identificarse y para comunicarse con el servidor que desee usar. Por ejemplo, para la URL:
Si utiliza el mtodo FTP (recomendado), escriba la direccin del FTP del servidor. Por ejemplo: ftp://myliveupdateserver.com
582
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar un servidor interno de LiveUpdate
Si utiliza el mtodo HTTP, escriba la URL del servidor. Por ejemplo: http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot Si utiliza el mtodo LAN, escriba el nombre de la ruta UNC del servidor. Por ejemplo, \\Miservidor\LUDepot
Si es necesario, escriba un nombre de usuario y una contrasea para el servidor. Nota: Si usa un servidor de UNC, LiveUpdate necesita que se use el dominio o el grupo de trabajo adems del nombre de usuario. Si el equipo es parte de un dominio, use el formato dominio_nombre\usuario_nombre. Si el equipo es parte de un grupo de trabajo, use el formato equipo_nombre\usuario_nombre.
En Poltica de LiveUpdate, haga clic en Programacin para configurar una programacin para las actualizaciones con LiveUpdate. Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558.
1 2 3 4
En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Mac, haga clic en Configuracin del servidor. Haga clic en Usar un servidor interno especificado de LiveUpdate y despus haga clic en Agregar.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente
583
En el cuadro de dilogo Agregar servidor de LiveUpdate, escriba la informacin que se necesita para identificarse y para comunicarse con el servidor que desee usar. Por ejemplo, para la URL:
Si utiliza el mtodo FTP (recomendado), escriba la direccin del FTP del servidor. Por ejemplo: ftp://myliveupdateserver.com Si utiliza el mtodo HTTP, escriba la URL del servidor. Por ejemplo: http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot
6 7 8 9
Si es necesario, escriba un nombre de usuario y una contrasea para el servidor y despus haga clic en Aceptar. Si su servidor usa FTP, haga clic en Configuracin avanzada del servidor. Haga clic en el modo de FTP que el servidor usa, Activo o Pasivo y despus haga clic en Aceptar. Si usa la versin de administrador de LiveUpdate 1.x en vez de la versin actual, haga clic en Habilitar compatibilidad para la versin del administrador de LiveUpdate 1.x.
Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente
Symantec recomienda que los equipos cliente usen LiveUpdate para actualizar las definiciones de virus y de riesgos para la seguridad. Sin embargo, si no desea usar LiveUpdate o si LiveUpdate no est disponible, se puede usar un archivo de
584
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Intelligent Updater para actualizar clientes. Los archivos .exe de Intelligent Updater estn diseados para actualizar clientes solamente. Los archivos de Intelligent Updater no contienen la informacin que Symantec Endpoint Protection Manager o un servidor principal de una versin anterior de Symantec AntiVirus necesita para actualizar sus clientes administrados. Un archivo de Intelligent Updater es un archivo que se ejecuta a s mismo y que contiene actualizaciones de definiciones de virus y spyware. Un archivo de Intelligent Updater no proporciona actualizaciones para ningn otro tipo de contenido. Una vez que se descarga el archivo, se puede usar su mtodo de distribucin preferido para distribuir las actualizaciones a sus clientes. Para descargar un archivo de Intelligent Updater
Si usa su navegador web, vaya a uno de los siguientes sitios: http://www.symantec.com/business/security_response/definitions/download/ detail.jsp?gid=savce ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
2 3 4
En el sitio web o en el sitio FTP, haga clic en el archivo apropiado del producto con la extensin .exe. Cuando se le solicite que especifique una ubicacin para guardar el archivo, seleccione una carpeta del disco duro. Distribuya el archivo a los equipos cliente usando su mtodo de distribucin preferido.
Para instalar los archivos de las definiciones de virus y de riesgos para la seguridad en un equipo cliente
1 2
En el equipo cliente, localice el archivo de Intelligent Updater que fue distribuido al cliente. Haga doble clic en el archivo .exe y siga las instrucciones que aparecern en pantalla.
Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542.
Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Algunas empresas grandes se basan en herramientas de distribucin de otro fabricante, como IBM Tivoli o Microsoft SMS, para distribuir actualizaciones de contenido a los equipos cliente. Symantec Endpoint Protection admite el uso de herramientas de distribucin de otro fabricante para actualizar los clientes
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
585
administrados y no administrados que ejecutan sistemas operativos Windows. Los clientes Mac pueden recibir solamente actualizaciones de contenido desde los servidores internos o externos de LiveUpdate. Tabla 22-9 resume las tareas que es necesario realizar para usar una herramienta de distribucin de otro fabricante. Nota: Antes de configurar el uso de herramientas de distribucin de otro fabricante, debe haber instalado ya Symantec Endpoint Protection Manager y los equipos cliente que desee actualizar. Tabla 22-9 Tareas para configurar el uso de herramientas de distribucin de otro fabricante para las actualizaciones Descripcin
Tarea
Configurar Symantec Es posible configurar el servidor de administracin para Endpoint Protection Manager recibir actualizaciones de contenido automticamente o para recibir actualizaciones manualmente. de contenido. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Configurar la poltica de configuracin de LiveUpdate del grupo para permitir la distribucin de la actualizacin de contenido con una herramienta de otro fabricante. Preparar clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante. Si desea usar herramientas de distribucin de otro fabricante para actualizar clientes administrados, es necesario configurar la poltica de configuracin de LiveUpdate del grupo para permitirlo. Ver "Configuracin de la poltica de configuracin de LiveUpdate para permitir la distribucin de contenido de otro fabricante a los clientes administrados" en la pgina 586. Si desea usar las herramientas de distribucin de otro fabricante para actualizar clientes no administrados, debe primero crear una clave de registro en cada cliente no administrado. Ver "Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante" en la pgina 587.
586
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Tarea
Descripcin
Localizar, copiar y distribuir Cada grupo de clientes de Symantec Endpoint Protection el contenido. Manager tiene un archivo index2.dax que se encuentra en el equipo que ejecuta Symantec Endpoint Protection Manager. Estos archivos se encuentran en subcarpetas en la carpeta unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent. Para actualizar clientes, es necesario usar los archivos index2.dax. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Distribucin del contenido usando herramientas de distribucin de otro fabricante" en la pgina 589.
Configuracin de la poltica de configuracin de LiveUpdate para permitir la distribucin de contenido de otro fabricante a los clientes administrados
Si desea usar herramientas de distribucin de otro fabricante para actualizar clientes administrados, es necesario configurar la poltica de configuracin de LiveUpdate del grupo de clientes para permitirlo. Es posible elegir si desea deshabilitar la capacidad de los usuarios de los clientes para realizar manualmente una descarga de LiveUpdate. Cuando haya terminado con este procedimiento, una carpeta aparece en los equipos cliente del grupo en las ubicaciones siguientes:
Clientes de una versin anterior a Symantec Endpoint Protection 11.x con sistemas operativos previos a Vista: unidad:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox Clientes de una versin anterior a Symantec Endpoint Protection 11.x con sistemas operativos Vista: unidad:\Program Data\Symantec\Symantec Endpoint Protection\inbox Sistemas operativos previos a Vista, clientes de la versin 12.1 de Symantec Endpoint Protection unidad:\Documents and Settings\All Users\Application Data\Symantec\CurrentVersion\inbox Sistemas operativos Vista, clientes de la versin 12.1 de Symantec Endpoint Protection unidad:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\inbox
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
587
Para activar la distribucin de contenido de otro fabricante en clientes administrados con una poltica de LiveUpdate
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, en Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En la ventana Poltica de LiveUpdate, en los cuadros de texto Nombre de poltica y Descripcin, escriba un nombre y una descripcin. En Configuracin de Windows, haga clic en Configuracin del servidor. En Administrador de terceros, seleccione Habilitar administracin de contenido de terceros. Desactive el resto de las opciones del origen de LiveUpdate. Haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, haga clic en S. Opcionalmente, es posible cancelar este procedimiento y asignar la poltica despus.
Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante
Si instala clientes no administrados desde el disco del producto, no se puede de forma inmediata usar las herramientas de distribucin de otro fabricante para distribuir el contenido o las actualizaciones de polticas de LiveUpdate a ellos. Como medida de seguridad, de forma predeterminada, estos equipos cliente no confan ni procesan el contenido que las herramientas de distribucin de otro fabricante entregan a ellos. Para usar correctamente las herramientas de distribucin de otro fabricante para entregar actualizaciones, se debe primero crear una clave de registro de Windows en cada uno de los clientes no administrados. La clave le permite usar la carpeta de la bandeja de entrada en clientes no administrados para distribuir el contenido y las actualizaciones de polticas de LiveUpdate usando las herramientas de distribucin de otro fabricante.
588
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Sistemas operativos previos a Vista, clientes de una versin anterior: Unidad:\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox Sistemas operativos Vista, clientes de una versin anterior: Unidad:\Program Data\Symantec\Symantec Endpoint Protection\inbox Sistemas operativos previos a Vista, clientes de la versin 12.1 de Symantec Endpoint Protection Unidad:\Documents and Settings\All Users\Application Data\Symantec\ CurrentVersion\inbox Sistemas operativos Vista, clientes de la versin 12.1 de Symantec Endpoint Protection Unidad:\ProgramData\Symantec\Symantec Endpoint Protection\ CurrentVersion\inbox
Una vez que se crea la clave de registro, se puede usar una herramienta de distribucin de otro fabricante para copiar el contenido o las actualizaciones de polticas en esta carpeta. El software de cliente de Symantec Endpoint Protection despus confa y procesa las actualizaciones. Para preparar clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante
En cada equipo cliente, use regedit.exe u otra herramienta de edicin de registros de Windows para crear una de las siguientes claves de registro de Windows:
En los clientes que ejecutan Symantec Endpoint Protection 12.1, cree HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SPE\TPMState
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
589
En los clientes que ejecutan Symantec Endpoint Protection 11.x, cree HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState
Ver "Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente" en la pgina 584. Ver "Distribucin del contenido usando herramientas de distribucin de otro fabricante" en la pgina 589.
590
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
los clientes que ejecutan las versiones de Symantec AntiVirus o de Symantec Client Security anteriores a las versiones 11.x de Symantec Endpoint Protection. Nota: Los monikers de contenido cambian tpicamente con cada gran versin. A veces, pueden adems cambiar para una versin menor. Symantec no cambia tpicamente los monikers para las actualizaciones de versiones ni los parches de mantenimiento. Para ver una asignacin del moniker a su tipo de contenido, abra el archivo ContentInfo.txt. El archivo ContentInfo.txt se ubica tpicamente en la carpeta unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content. Por ejemplo, es posible que vea la entrada siguiente:
{535CB6A4-441F-4e8a-A897-804CD859100E}: SESC Virus Definitions Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages
Cada grupo de clientes de Symantec Endpoint Protection Manager tiene su propio archivo index2. El archivo index2 para cada grupo de clientes se encuentra en una carpeta para ese grupo. Las carpetas para los grupos de clientes se pueden encontrar en unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent. El nombre de la carpeta para un grupo de clientes corresponde al nmero de serie de la poltica de grupo. Es posible encontrar el nmero de serie en el cuadro de dilogo Propiedades del grupo o en la ficha Detalles de la pgina Clientes. Los primeros cuatro valores hexadecimales de cada nmero de serie de la poltica de grupo coinciden con los primeros cuatro valores hexadecimales de la carpeta de ese grupo. El archivo index2.dax que los clientes administrados usan est cifrado. Para ver los contenidos del archivo, abra el archivo index2.xml que est disponible en la misma carpeta. El archivo index2.xml proporciona una lista de los monikers de contenido y de sus nmeros de secuencia (revisin). Por ejemplo, es posible que vea la entrada siguiente:
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1" FullSize="30266080" LastModifiedTime="1186471722609" Moniker= "{535CB6A4-441F-4e8a-A897-804CD859100E}" Seq="80806003"/>
La poltica de contenidos de LiveUpdate para un grupo especifica una revisin determinada del contenido o el ltimo contenido. El nmero de serie en el archivo index2 debe coincidir con el nmero de serie que corresponde a la especificacin de contenido en la poltica de contenido del grupo de LiveUpdate. Por ejemplo, si la poltica est configurada para Usar el ltimo disponible para todos los tipos de contenido, el nmero de serie para cada tipo es el ltimo contenido disponible.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
591
En este ejemplo, la distribucin funciona solamente si el archivo index2 usa los nmeros de serie (revisiones) que corresponden a la ltima revisin de contenido. La distribucin genera un error si los nmeros de secuencia se corresponden con cualquier otra revisin. Nota: Es necesario usar el comando Copy para colocar los archivos en la carpeta \inbox del cliente. Usar el comando Move no activa el procesamiento de la actualizacin, y la actualizacin genera errores. Si comprime el contenido en un nico archivo de almacenamiento para la distribucin, no debe descomprimirla directamente en la carpeta \inbox. Si distribuye el contenido de virus y de spyware a los clientes de versiones anteriores que usan Symantec Endpoint Protection 11.x, el esquema de moniker cambia. Es posible usar las definiciones de la versin 12.x para actualizar clientes de versiones anteriores, pero es necesario cambiar el nombre del moniker de destino antes de distribuirlas. Para distribuir contenido a clientes con herramientas de distribucin de otro fabricante
1 2
En el equipo con Symantec Endpoint Protection Manager, cree una carpeta de trabajo, tal como \Dir_Trabajo. Realice una de las acciones siguientes:
Para un cliente administrado, en la consola, en la ficha Clientes, haga clic con el botn derecho en el grupo para actualizar y despus haga clic en Propiedades. Para un cliente no administrado, en la consola, en la ficha Clientes, haga clic con el botn derecho en Mi empresa y despus haga clic en Propiedades.
3 4
Anote los primeros cuatro valores hexadecimales de Nmero de serie de la poltica, tal como 7B86. Navegue a la carpeta siguiente: \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
5 6
Localice la carpeta que contiene los primeros cuatro valores hexadecimales que coinciden con el Nmero de serie de la poltica. Abra esa carpeta y despus copie el archivo index2.dax en su carpeta de trabajo.
592
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Abra y lea ContentInfo.txt para detectar el contenido que cada carpeta de moniker de destino incluye. El contenido de cada directorio es moniker de destino\nmero de secuencia\full.zip|full.
Copie el contenido de cada carpeta \moniker de destino en la carpeta de trabajo, como \Dir_Trabajo. clientes de una versin anterior de Symantec Endpoint Protection 11.x, es necesario tomar las medidas siguientes:
Para los equipos de 32 bits, copie el contenido de {535CB6A4-441F-4e8a-A897-804CD859100E}\nmero de secuencia\full.zip. Cambie el nombre de contenido a {C60DC234-65F9-4674-94AE-62158EFCA433}\nmero de secuencia\full.zip y despus copie el contenido en su carpeta de trabajo. Para los equipos de 64 bits, copie el contenido de {07B590B3-9282-482f-BBAA-6D515D385869}\nmero de secuencia\full.zip. Cambie el nombre de contenido a {1CD85198-26C6-4bac-8C72-5D34B025DE35}\nmero de secuencia\full.zip y despus copie el contenido en su carpeta de trabajo.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
593
11 Elimine todos los archivos y las carpetas de cada \moniker de destino de modo
que solamente permanezcan en la carpeta de trabajo la estructura de carpetas y archivos siguiente: \\Dir_Trabajo\moniker de destino\ltimo nmero de secuencia\full.zip Su carpeta de trabajo ahora contiene la estructura de carpetas y archivos para distribuir a sus clientes.
594
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Captulo
23
Supervisin de proteccin de endpoints Configurar preferencias de la elaboracin de informes Cmo iniciar sesin en los informes desde un navegador web independiente Acerca de los tipos de informes Ejecucin y personalizacin de informes rpidos Guardado y eliminacin de informes personalizados Creacin de informes programados Cmo editar el filtro usado para un informe programado Imprimir y guardar una copia de un informe Ver registros Ejecucin de comandos en el equipo cliente desde los registros
596
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
pueden usar notificaciones para permanecer informado sobre los eventos a medida que ocurren. Es posible usar los informes y los registros para determinar las respuestas a las clases siguientes de preguntas:
Nota: Symantec Endpoint Protection extrae los eventos que aparecen en los informes de los registros de eventos de sus servidores de administracin. Los registros de eventos contienen marcas de hora correspondientes la zona horaria de los equipos cliente. Cuando el servidor de administracin recibe los eventos, convierte los grupos fecha/hora del evento a Hora del meridiano de Greenwich (GMT) para la insercin en la base de datos. Al crear informes, el software de informes muestra informacin sobre eventos en la hora local del equipo en el que se ven los informes.
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
597
Descripcin
La lista siguiente describe algunas de las tareas que se pueden realizar para supervisar el estado de seguridad de sus equipos cliente.
Obtener un recuento de virus y de otros riesgos para la seguridad detectados, y ver detalles de cada virus y riesgo para la seguridad. Ver "Visualizacin de riesgos" en la pgina 602. Obtener un recuento de equipos desprotegidos en su red y ver los detalles de cada uno. Ver "Ver el sistema de proteccin" en la pgina 601. Ver el nmero de equipos con definiciones actualizadas de virus y de spyware. Ver "Ver el sistema de proteccin" en la pgina 601. Consultar el estado operativo en tiempo real de sus equipos cliente. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver el nmero de equipos que estn desconectados. Ver "Cmo encontrar equipos sin conexin" en la pgina 601. Revisar los procesos que se ejecutan en su red. Ver "Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos" en la pgina 388. Localizar qu equipos estn asignados a cada grupo. Ver "Visualizacin de equipos asignados" en la pgina 201. Consultar la informacin de licencias en los equipos cliente, que incluye el nmero de puestos vlidos, de puestos sobre-implementados, de puestos caducados y de fecha de caducidad. Ver "Comprobar el estado de la licencia" en la pgina 120.
Ver "Visualizacin del inventario de clientes" en la pgina 603. Ver "Visualizacin de un informe de estado diario o semanal" en la pgina 600. Localizar qu equipos cliente necesitan proteccin Es posible realizar las siguientes tareas para ver o buscar qu equipos necesitan proteccin adicional:
Ver el nmero de equipos que tienen Symantec Endpoint Protection deshabilitado. Ver "Ver el sistema de proteccin" en la pgina 601. Ver el nmero de equipos con definiciones desactualizadas de virus y de spyware. Ver "Ver el sistema de proteccin" en la pgina 601. Buscar los equipos que no se han analizado recientemente. Ver "Cmo encontrar equipos no analizados" en la pgina 602. Ver destinos y fuentes de ataque. Ver "Visualizacin de destinos y fuentes de ataque" en la pgina 604. Ver registros de eventos. Ver "Ver registros" en la pgina 616.
598
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
Tarea
Proteger sus equipos cliente
Descripcin
Es posible ejecutar comandos desde la consola para proteger los equipos cliente. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Por ejemplo, se pueden eliminar riesgos para la seguridad en los equipos cliente. Ver "Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados" en la pgina 292.
Configurar notificaciones para alertarlo cuando ocurren los eventos de seguridad Crear informes rpidos personalizados e informes programados para la supervisin continuada
Es posible crear y configurar las notificaciones para que se activen cuando ocurren ciertos eventos relacionados con la seguridad. Por ejemplo, se puede configurar una notificacin para que ocurra cuando un intento de intrusin ocurre en un equipo cliente. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Es posible crear y generar informes rpidos personalizados y se pueden programar informes personalizados para ejecutarlos regularmente con la informacin que desee ver. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Ver "Creacin de informes programados" en la pgina 613. Ver "Guardado y eliminacin de informes personalizados" en la pgina 611. Ver "Configurar preferencias de la elaboracin de informes" en la pgina 605.
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
599
Tarea
Descripcin
Reducir al mnimo la Por motivos de seguridad, puede ser recomendable conservar los expedientes del registro cantidad de espacio que por un perodo ms largo. Sin embargo, si tiene una gran cantidad de clientes, es posible los registros de clientes que haya un gran volumen de datos de registro de clientes. ocupan Si su servidor de administracin se queda sin espacio, puede ser recomendable disminuir los tamaos de los registros y la cantidad de tiempo que la base de datos guarda los registros. Es posible reducir el volumen de datos de registro realizando las siguientes tareas: Cargue solamente algunos de los registros de los clientes en el servidor y cambie la frecuencia con la cual los registros de los clientes se cargan. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Especifique cuntas entradas de registro puede mantener el equipo cliente en la base de datos y cunto tiempo puede guardarlas. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Reduzca el nmero de clientes que cada servidor de administracin administra.
Reduzca la frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Reduzca la cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos. Ver "Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes" en la pgina 716.
600
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
Tarea
Descripcin
Exportar los datos de La exportacin de los datos de registro es til para acumular todos los registros de la red registro a una ubicacin entera en una ubicacin centralizada. La exportacin de los datos de registro tambin es centralizada til cuando se utiliza un programa de otro fabricante, tal como una hoja de clculo, para organizar o manipular los datos. Adems, es recomendable exportar los datos en sus registros antes de eliminar los registros. Es posible exportar los datos de algunos registros a un archivo de texto delimitado por comas. Es posible exportar los datos de otros registros a un archivo de texto delimitado por tabulaciones, que se llama archivo de volcado, o a un servidor Syslog. Ver "Exportar datos de registro a un archivo de texto" en la pgina 711. Ver "Exportar datos a un servidor Syslog" en la pgina 710. Ver "Exportar datos de registro a un archivo de texto delimitado por comas" en la pgina 714. Ver "Visualizacin de registros de otros sitios" en la pgina 622. Solucionar problemas con los informes y los registros Es posible solucionar algunos problemas con la elaboracin de informes. Ver "Solucin de problemas de elaboracin de informes" en la pgina 1077.
La cantidad de detecciones de virus de acciones borradas, sospechosas, bloqueadas, en cuarentena y eliminadas La cronologa de definiciones de virus de la distribucin Los principales diez riesgos e infecciones
Estado del equipo La deteccin de virus La instantnea del estado de proteccin La cronologa de definiciones de virus de la distribucin La distribucin de riesgos por da Los principales diez riesgos e infecciones
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
601
1 2
En la consola, haga clic en Pgina principal. En la pgina Inicio, en el panel Informes favoritos, haga clic en Estado diario de Symantec Endpoint Protection o Est. semanal Symantec Endpoint Protection.
El nmero de equipos con definiciones de virus actualizadas. El nmero de equipos con definiciones de virus desactualizadas. El nmero de equipos sin conexin. El nmero de equipos deshabilitados.
Ver "Supervisin de proteccin de endpoints" en la pgina 595. Para ver la proteccin del sistema
En la consola, haga clic en Pgina principal. La proteccin del sistema se muestra en el panel Estado del endpoint.
En el panel Estado del endpoint, haga clic en Ver detalles para ver ms informacin de la proteccin del sistema.
1 2 3
En la consola, haga clic en Pgina principal. En la Pgina principal, en el panel Estado del endpoint, haga clic en el vnculo que representa el nmero de equipos sin conexin. Para obtener ms informacin sobre los equipos sin conexin, haga clic en el vnculo Ver detalles.
602
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado del equipo. Haga clic en Opciones avanzadas. En el cuadro de lista Estado de conexin, haga clic en Desconectado. Haga clic en Ver registro. De forma predeterminada, aparece una lista de los equipos que han estado desconectados durante las ltimas 24 horas. La lista incluye el nombre de cada equipo, la direccin IP y la ltima vez que se registr con su servidor. Es posible ajustar el intervalo de tiempo para visualizar los equipos desconectados para cualquier intervalo que desee ver.
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Informe seleccionado Se selecciona el Anlisis. Se seleccionan los Equipos no analizados.
Visualizacin de riesgos
Es posible conseguir informacin sobre los riesgos en su red. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
603
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Informe seleccionado Seleccione Riesgo. Seleccione Equipos infectados y en riesgo.
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Informe seleccionado Seleccione Riesgo. Seleccione Nuevos riesgos detectados en la red.
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Seleccione Riesgo.
604
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Estado del equipo.
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Se selecciona Proteccin contra amenazas de red.
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Se selecciona Proteccin contra amenazas de red.
Principales tipos de ataque Principales destinos de ataque Principales fuentes de ataque Principales notificaciones de trfico
Supervisin de proteccin con los informes y los registros Configurar preferencias de la elaboracin de informes
605
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Se selecciona Proteccin contra amenazas de red.
Seleccionar un informe Se selecciona Informe completo. Opcin Configurar Es posible seleccionar opcionalmente los informes que se deben incluir en el informe detallado.
Las opciones de visualizacin de la pgina Supervisin y de la Pgina principal Los umbrales de Estado de seguridad Las opciones de visualizacin que se utilizan para los registros y los informes, as como la carga de la versin anterior del archivo de registro
Los umbrales del estado de seguridad que configur determinan en qu momento se considera deficiente el mensaje Estado de seguridad de la Pgina principal de Symantec Endpoint Protection Manager. Los umbrales se expresan como porcentaje y reflejan cundo se considera que su red no cumple con sus polticas de seguridad. Por ejemplo, es posible configurar el porcentaje de equipos con definiciones de virus desactualizadas que activa un estado de seguridad malo. Es posible tambin configurar cuntos das de antigedad necesitan las definiciones para calificar como obsoletas. Symantec Endpoint Protection determina lo que es actual cuando se calcula si las firmas o las definiciones son obsoletas de la siguiente manera. Su estndar son las definiciones de virus ms recientes y las fechas de las firmas IPS que estn disponibles en el servidor de administracin en el cual se ejecuta la consola. Nota: Si tiene solamente Symantec Network Access Control instalado, no tiene una ficha Estado de seguridad para configurar los umbrales de seguridad. Para obtener informacin sobre las opciones de preferencia que puede configurar, haga clic en Ayuda en cada ficha, en el cuadro de dilogo Preferencias.
606
Supervisin de proteccin con los informes y los registros Cmo iniciar sesin en los informes desde un navegador web independiente
1 2
En la consola, en la Pgina principal, haga clic en Preferencias. Haga clic en una de las siguientes fichas, segn el tipo de preferencias que desee configurar:
3 4
Configure los valores para las opciones que desee modificar. Haga clic en Aceptar.
El nombre del host del servidor de administracin. Nota: Cuando se escribe la direccin URL de elaboracin de informes independiente HTTPS en su navegador, el navegador puede mostrar una advertencia. La advertencia aparece porque el certificado que el servidor de administracin usa est autofirmado. Para resolver este problema, se puede instalar el certificado en el almacn de certificados de confianza de su navegador. El certificado admite nombres de host solamente; por lo tanto, use el nombre del host en la URL. Si usa el host local, la direccin IP o el nombre de dominio completo, una advertencia an aparece. Su nombre de usuario y contrasea para el servidor de administracin.
Supervisin de proteccin con los informes y los registros Acerca de los tipos de informes
607
Nota: Es necesario tener Internet Explorer 6.0 o posterior instalado. Otros navegadores web no se admiten. Para iniciar sesin en los informes desde un navegador web independiente
1 2
Abra un navegador web. Escriba la URL de elaboracin de informes predeterminada en el cuadro de texto de direccin en el siguiente formato: https://nombre del host del servidor de administracin:8445/reporting Nota: La direccin URL de elaboracin de informes predeterminada de Symantec Endpoint Protection versin 11 es http://direccin del servidor de administracin:8014/reporting. Si migra de la versin 11, deber actualizar los marcadores de su navegador.
Cuando aparece el cuadro de dilogo de inicio de sesin, escriba su nombre de usuario y contrasea, y despus haga clic en Iniciar sesin. Si tiene ms de un dominio, en el cuadro de texto Dominio, escriba su nombre de dominio.
Informes rpidos, que se ejecutan segn sea necesario. Informes programados, que se ejecutan de forma automtica en funcin de la programacin que configure.
Los informes incluyen los datos de eventos que se recopilan de los servidores de administracin y de los equipos cliente que se comunican con esos servidores. Es posible personalizar los informes para proporcionar la informacin que desea ver. Se predefinen los informes rpidos, pero puede personalizarlos y guardar los filtros que usaba para crear informes personalizados. Es posible usar los filtros personalizados para crear informes programados personalizados. Cuando programa un informe para ejecutar, puede configurarlo para enviarlo por correo electrnico a uno o ms destinatarios. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610.
608
Supervisin de proteccin con los informes y los registros Acerca de los tipos de informes
De forma predeterminada, siempre se ejecuta un informe programado. Puede modificar la configuracin de cualquier informe programado que an no haya ejecutado. Tambin puede eliminar uno o todos los informes programados. Ver "Creacin de informes programados" en la pgina 613. Es posible tambin imprimir y guardar informes. Ver "Imprimir y guardar una copia de un informe" en la pgina 615. Tabla 23-2 describe los tipos de informes que estn disponibles. Tabla 23-2 Tipos de informes disponibles como informes rpidos e informes programados Descripcin
Muestra informacin sobre las polticas que los clientes y las ubicaciones utilizan actualmente. Contiene informacin sobre actividades de modificacin de polticas, tales como los tiempos y los tipos de eventos, las modificaciones de polticas, los dominios, los sitios, los administradores y las descripciones. Muestra informacin sobre los eventos donde se bloque un cierto tipo de comportamiento. Estos informes incluyen informacin sobre alertas de seguridad de la aplicacin, destinos bloqueados y dispositivos bloqueados. Los destinos bloqueados pueden ser claves de registro, archivos dll, archivos y procesos de Windows. Muestra informacin sobre el estado de cumplimiento de la red. Estos informes incluyen informacin sobre los servidores de Enforcer, los clientes Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Muestra informacin sobre el estado operativo de los equipos de la red, como qu equipos tienen funciones de seguridad desactivadas. Estos informes incluyen informacin sobre versiones, sobre los clientes que se han registrado en el servidor, el inventario de clientes y el estado en lnea.
Tipo de informe
Auditora
Cumplimiento
Supervisin de proteccin con los informes y los registros Acerca de los tipos de informes
609
Tipo de informe
Descripcin
Proteccin contra amenazas Muestra informacin sobre prevencin de intrusiones, de red ataques en el firewall y trfico y paquetes del firewall. Los informes de la proteccin contra amenazas de red permiten realizar un seguimiento de la actividad del equipo y de su interaccin con otros equipos y otras redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Riesgo Muestra informacin sobre eventos de riesgo en los servidores de administracin y sus clientes. Incluye informacin sobre el anlisis de amenazas proactivo TruScan. Muestra la informacin sobre la actividad de anlisis de spyware y virus. Muestra informacin sobre tiempos del evento, tipos de evento, sitios, dominios, servidores y niveles de gravedad. Los informes del sistema contienen informacin que es til para solucionar los problemas del cliente.
Analizar
Sistema
Si tiene varios dominios en la red, muchos informes permiten ver los datos de todos los dominios, de un sitio o de algunos sitios. La configuracin predeterminada para todos los informes rpidos es mostrar todos los dominios, grupos, servidores y as sucesivamente, segn sea necesario para el informe que selecciona para crear. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Nota: Algunos informes predefinidos contienen la informacin que se obtiene de Symantec Network Access Control. Si no ha comprado ese producto, sino que ejecuta uno de los informes de ese producto, el informe estar vaco. Si tiene solamente Symantec Network Access Control instalado, un nmero significativo de informes est vaco. Los informes de Control de aplicaciones y dispositivos, de Proteccin contra amenazas de red, de Riesgos y de Anlisis no contienen datos. Los informes de Cumplimiento y de Auditora contienen datos, al igual que algunos de los informes de Estado del equipo y del Sistema.
610
Supervisin de proteccin con los informes y los registros Ejecucin y personalizacin de informes rpidos
1 2 3 4
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desea ejecutar. En el cuadro de lista Seleccionar un informe, seleccione el nombre del informe que desea ejecutar. Haga clic en Crear informe.
1 2 3
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desea personalizar. En el cuadro de lista Seleccionar un informe, seleccione el nombre de informe que desea personalizar. Para el informe Estado de cumplimiento de la red y el informe Estado de cumplimiento, en el cuadro de lista Estado, seleccione una configuracin de filtros guardada que se desee usar o deje el filtro predeterminado. Para el informe Correlacin principal de detecciones de riesgos, se pueden seleccionar los valores para los cuadros de lista Eje X y Eje Y a fin de especificar cmo desea ver el informe. Para el informe Histograma de estadsticas de anlisis, se pueden seleccionar los valores para Amplitud de clases y Nmero de contenedores. Para algunos informes, se puede especificar cmo agrupar los resultados del informe en el cuadro de lista Grupo. Para otros informes, se puede seleccionar un destino en el campo Destino en el cual se filtren los resultados del informe.
Supervisin de proteccin con los informes y los registros Guardado y eliminacin de informes personalizados
611
4 5 6
En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin de filtro guardada que desee utilizar o deje el filtro predeterminado. En Qu configuracin de filtros desea utilizar?, en el cuadro de lista Intervalo de tiempo, seleccione el intervalo de tiempo para el informe. Si selecciona Definir fechas especficas, despus use los cuadros de lista Fecha de inicio y Fecha de finalizacin. Estas opciones configuran el intervalo de tiempo sobre el cual se desea ver informacin. Cuando genera un informe de estado del equipo y selecciona Definir fechas especficas, especifica que desea ver todas las entradas que impliquen un equipo que no se ha registrado en su servidor desde la hora que especific en el campo de fecha y hora.
Si desea configurar las opciones adicionales para el informe, haga clic en Configuracin avanzada y configure las opciones que desee. Es posible hacer clic en Ms informacin para ver las descripciones de las opciones del filtro en la ayuda contextual. Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Es posible guardar las opciones de configuracin del informe si piensa que querr ejecutar este informe de nuevo en el futuro.
Ver "Guardado y eliminacin de informes personalizados" en la pgina 611. Ver "Imprimir y guardar una copia de un informe" en la pgina 615. Ver "Creacin de informes programados" en la pgina 613.
612
Supervisin de proteccin con los informes y los registros Guardado y eliminacin de informes personalizados
Nota: Las opciones de configuracin del filtro que guarda estn disponibles para la cuenta del inicio de sesin del usuario solamente. Otros usuarios con privilegios de elaboracin de informes no tienen acceso a la configuracin guardada. Ver "Cmo editar el filtro usado para un informe programado" en la pgina 614. Puede eliminar las configuraciones de informe que usted crea. Si se elimina una configuracin, el informe ya no estar disponible. El nombre de la configuracin de informe predeterminado aparece en el cuadro de lista Utilizar informe guardado, y la pantalla vuelve a completarse con las opciones de configuracin predeterminadas. Nota: Si elimina un administrador del servidor de administracin, tiene la opcin de guardar los informes que cre el administrador eliminado. La propiedad de los informes se cambia, as como los nombres del informe. El nuevo nombre del informe tiene el formato "OriginalName('AdminName')". Por ejemplo, un informe creado por el administrador JSmith llamado Monday_risk_reports, se cambiara su nombre a Monday_risk_reports(JSmith). Ver "Acerca de los administradores" en la pgina 651. Para guardar un informe personalizado
1 2 3 4 5
En la consola, haga clic en Informes. En la ficha Informes rpidos, seleccione un tipo de informe del cuadro de lista. Modifique cualquier configuracin bsica o configuracin avanzada para el informe. Haga clic en Guardar filtro. En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para este filtro de informes. Solo se muestran los primeros 32 caracteres del nombre cuando el filtro se agrega a la lista Usar un filtro guardado. Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar. Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro guardado para los informes y los registros relacionados.
6 7
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, seleccione un tipo de informe.
Supervisin de proteccin con los informes y los registros Creacin de informes programados
613
3 4 5
En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro guardado. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S.
1 2 3
En la consola, haga clic en Informes. En la ficha Informes programados, haga clic en Agregar. En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y, opcionalmente, escriba una descripcin ms larga. Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la descripcin, solo 255 caracteres se guardan en la descripcin.
614
Supervisin de proteccin con los informes y los registros Cmo editar el filtro usado para un informe programado
4 5 6 7 8
Si no desea que se ejecute este informe, anule la seleccin de la casilla de verificacin Activar este informe programado. Seleccione el tipo de informe que desee programar del cuadro de lista. Seleccione el nombre del informe especfico que desee programar del cuadro de lista. Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista. En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en el cual desea que el informe sea enviado por correo electrnico a los destinatarios (horas, das, semanas o meses). A continuacin, escriba el valor para el intervalo de tiempo que usted seleccion. Por ejemplo, si desea que el informe le sea enviado da por medio, seleccione das y despus escriba 2. En el cuadro de texto Iniciar despus de, escriba la fecha en que desea que el informe se inicie o haga clic en el icono del calendario y seleccione la fecha. A continuacin, seleccione la hora y los minutos de los cuadros de lista. electrnico separadas por comas. Es necesario haber configurado las propiedades del servidor de correo para que las notificaciones de correo electrnico funcionen.
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre.
Supervisin de proteccin con los informes y los registros Imprimir y guardar una copia de un informe
615
Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable. Ver "Guardado y eliminacin de informes personalizados" en la pgina 611. Nota: Cuando se asocia un filtro guardado a un informe programado, asegrese de que el filtro no contenga fechas personalizadas. Si el filtro especifica una fecha personalizada, usted obtendr el mismo informe cada vez que se ejecute el informe. Ver "Creacin de informes programados" en la pgina 613. Para editar el filtro utilizado para un informe programado
1 2 3 4 5 6
En la consola, haga clic en Informes. Haga clic en Informes programados. En la lista de informes, haga clic en el informe programado que desee editar. Haga clic en Editar filtro. Realice los cambios del filtro que desee. Haga clic en Guardar filtro. Si desea conservar el filtro de informes original, d a este filtro editado un nuevo nombre.
7 8
Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
616
Nota: De forma predeterminada, Internet Explorer no imprime las imgenes y los colores de fondo. Si esta opcin de impresin est deshabilitada, el informe impreso se ver diferente del informe creado por el usuario. Puede cambiar la configuracin en el navegador para imprimir las imgenes y los colores de fondo. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Para imprimir una copia de un informe
1 2
En la ventana de informes, haga clic en Imprimir. En el cuadro de dilogo Imprimir, seleccione la impresora que desee, si es necesario, y haga clic en Imprimir.
Cuando se guarda un informe, se guarda una captura de pantalla del entorno de seguridad que corresponde a los datos actuales de la base de datos de informes. Si ejecuta el mismo informe ms adelante, a partir de la misma configuracin de filtro, el nuevo informe mostrar datos diferentes. Para guardar una copia de un informe
1 2 3 4 5
En la ventana de informes, haga clic en Guardar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar. En el cuadro de dilogo Guardar como, en el cuadro de dilogo de seleccin Guardar en, vaya a la ubicacin donde desea guardar el archivo. En el cuadro de lista Nombre de archivo, modifique el nombre de archivo predeterminado, si lo desea. Haga clic en Guardar. El informe se guarda en formato de archivo de pgina web MHTML en la ubicacin que seleccion.
Ver registros
Puede generar una lista de eventos para ver desde los registros que se basan en un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de contenido tiene una configuracin de filtro predeterminada que puede utilizarse como est o modificarse. Es posible adems crear y guardar nuevas configuraciones de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un filtro existente que usted cre previamente. Si guarda la configuracin del filtro, puede generar la misma vista de registro en una fecha posterior sin tener que volver a configurar las opciones. Es posible eliminar las configuraciones de filtro personalizadas si ya no las necesita.
617
Nota: Si se producen errores de base de datos cuando se visualizan los registros que incluyen una gran cantidad de datos, puede ser recomendable modificar los parmetros de tiempo de espera de la base de datos. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Ver "Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros" en la pgina 1081. Debido a que los registros contienen cierta informacin que se recopila a intervalos, es posible actualizar las vistas de los registros. Para configurar la frecuencia de actualizacin del registro, visualice el registro y seleccinelo del cuadro de lista Actualizacin automtica en la parte superior derecha de la vista de ese registro. Nota: Si ve datos de registro usando fechas especficas, los datos permanecen iguales cuando se hace clic en Actualizacin automtica. Los informes y los registros siempre muestran el idioma en el que se instal el servidor de administracin. Para ver esta informacin cuando utiliza una consola o un navegador remoto de Symantec Endpoint Protection Manager, la fuente apropiada debe estar instalada en el equipo. Ver "Acerca de los registros" en la pgina 618. Ver "Guardado y eliminacin de registros personalizados con filtros" en la pgina 621. Para ver un registro
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro que desea ver. En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardado o deje el valor Predeterminado. Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje el valor predeterminado. Si selecciona Definir fechas especficas, defina la fecha o las fechas y la hora para las cuales desea visualizar entradas.
618
Haga clic en Configuracin avanzada para limitar la cantidad de entradas que se visualizan. Es posible adems configurar cualquier otra Configuracin avanzada disponible para el tipo de registro que seleccion. Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn.
Despus de tener la configuracin de vista que desea, haga clic en Ver registro. La vista de registro aparece en la misma ventana.
619
Nota: Si tiene solamente Symantec Network Access Control instalado, solo algunos de los registros contienen datos; algunos registros estn vacos. Los registros de auditora, de cumplimiento, de estado del equipo y del sistema contienen datos. Si tiene solamente Symantec Endpoint Protection instalado, los registros de cumplimiento y los registros de Enforcer estn vacos, pero el resto de los registros contienen datos. Es posible ver la informacin sobre las notificaciones creadas en la ficha Notificaciones y la informacin sobre el estado de los comandos en la ficha Estado del comando. Es posible adems ejecutar comandos desde algunos registros. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. La Tabla 23-3 describe los distintos tipos de contenido que es posible ver y las acciones que pueden efectuarse desde cada registro. Tabla 23-3 Tipo de registro
Auditora
Tipos de registros
Contenido y acciones
Los registros de auditora contienen informacin sobre la actividad de modificacin de polticas. La informacin disponible incluye la hora y el tipo de evento; la poltica modificada; el dominio, el sitio y el nombre de usuario implicado; y una descripcin. No hay ninguna accin asociada a este registro.
El registro de control de aplicaciones y el registro de control de dispositivos contienen informacin sobre los eventos en los que se bloque determinado tipo de comportamiento. Los siguientes registros de control de aplicaciones y dispositivos estn disponibles: Control de aplicaciones, que incluye informacin sobre proteccin contra intervenciones Control de dispositivos
La informacin disponible incluye la hora en que ocurri el evento, las medidas tomadas, el dominio y el equipo que estaban implicados, el usuario que estaba implicado, la gravedad, la regla que estaba implicada, el proceso de llamada y el destino. Es posible crear un control de aplicaciones o una excepcin de Proteccin contra intervenciones del registro Control de aplicaciones. Ver "Exclusin de aplicaciones del control de aplicaciones" en la pgina 528.
620
Tipo de registro
Cumplimiento
Contenido y acciones
Los registros de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes Enforcer y el trfico de Enforcer, y sobre cumplimiento de los hosts. No hay ninguna accin asociada a estos registros.
Los registros de estado del equipo contienen informacin sobre el estado operacional de los equipos cliente de la red en tiempo real. La informacin disponible incluye el nombre del equipo, la direccin IP, el estado infectado, las tecnologas de proteccin, el estado Auto-Protect, las versiones, la fecha de las definiciones, el usuario, la hora del ltimo registro, la poltica, el grupo, el dominio y el estado que indica que debe reiniciar. Es posible adems borrar el estado infectado de los equipos desde este registro.
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron realizados a los archivos ejecutables. Adems contienen la informacin sobre las conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que pasan a travs de l. Estos registros adems contienen algunos de los cambios operacionales que se realizan en los equipos, como detectar aplicaciones de red y configurar software. No hay ninguna accin asociada a estos registros. SONAR El El registro de SONAR contiene informacin sobre las amenazas que se han detectado durante el anlisis de amenazas de SONAR. Estos son los anlisis en tiempo real que detectan aplicaciones potencialmente maliciosas cuando se ejecutan en sus equipos cliente. La informacin disponible incluye elementos, como la hora de la incidencia, la accin real del evento, el nombre de usuario, el equipo o el dominio, la aplicacin o el tipo de aplicacin, el recuento y el archivo o la ruta. Ver "Acerca de SONAR" en la pgina 379. Riesgo El registro de riesgos contiene informacin sobre eventos de riesgo. La informacin disponible incluye la hora del evento, la accin real del evento, el nombre de usuario, el equipo o el dominio, el nombre del riesgo o el origen, el recuento y el archivo o la ruta.
621
Tipo de registro
Analizar
Contenido y acciones
El Registro de anlisis contiene informacin sobre la actividad de anlisis de virus y spyware. La informacin disponible incluye elementos, tales como el inicio del anlisis, el equipo, la direccin IP, el estado, la duracin, las detecciones, los elementos analizados, los elementos omitidos y el dominio. No hay ninguna accin asociada a estos registros.
Sistema
Los registros de sistema contienen informacin sobre eventos tales como cundo se inician y se detienen los servicios. No hay ninguna accin asociada a estos registros.
1 2 3
En la ventana principal, haga clic en Supervisin. En la ficha Registros, seleccione el tipo de vista de registro para la que desea configurar un filtro, desde el cuadro de lista Tipo de registro. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro para el que desea configurar un filtro.
622
4 5 6 7 8
En el cuadro de lista Usar un filtro guardado, seleccione el filtro desde el cual desea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado. En la seccin Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada. Modifique cualquiera de las opciones. Haga clic en Guardar filtro. En el cuadro de dilogo que aparece, en el cuadro Nombre del filtro, escriba el nombre que desee utilizar para esta configuracin de filtro de registro. Solo se muestran los primeros 32 caracteres del nombre cuando el filtro guardado se agrega a la lista de filtros. Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de lista Usar un filtro guardado.
1 2 3
En el cuadro de lista Usar un filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Al lado del cuadro de lista Usar un filtro guardado, haga clic en el icono Eliminar. Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en S.
Supervisin de proteccin con los informes y los registros Ejecucin de comandos en el equipo cliente desde los registros
623
1 2
Abra un navegador web. Escriba el nombre del servidor o la direccin IP y el nmero de puerto, 9090, en el cuadro de texto de la direccin, de la siguiente manera: http://192.168.1.100:9090 La consola empieza a descargar. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE.
3 4
En el cuadro de dilogo de inicio de sesin de la consola, escriba su nombre de usuario y su contrasea. En el cuadro de texto Servidor, si no se completa automticamente, escriba el nombre del servidor o la direccin IP y el nmero de puerto 8443, de la siguiente manera: http://192.168.1.100:8443
624
Supervisin de proteccin con los informes y los registros Ejecucin de comandos en el equipo cliente desde los registros
Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Nota: Si ejecuta un comando de anlisis y selecciona un Anlisis personalizado, el anlisis utiliza la configuracin del anlisis de comando que usted configur en la pgina Anlisis definido por el administrador. El comando usa la configuracin que est en la poltica de proteccin antivirus y antispyware que se aplica a los equipos cliente seleccionados. Si ejecuta un comando Reiniciar equipo cliente, el comando se enva inmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones que el administrador haya configurado para ese cliente. Es posible configurar opciones de reinicio de clientes en la ficha Configuracin general. Ver "Cmo reiniciar equipos cliente" en la pgina 143. Desde el registro de Riesgos, es posible adems eliminar los archivos de Cuarentena. Ver "Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente" en la pgina 344. Para ejecutar un comando desde el registro Estado del equipo
1 2 3 4 5
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione un comando del cuadro de lista Accin. Haga clic en Start(Iniciar). Si hay opciones de configuracin para el comando que usted seleccion, aparecer una nueva pgina donde es posible configurar las opciones apropiadas.
Supervisin de proteccin con los informes y los registros Ejecucin de comandos en el equipo cliente desde los registros
625
7 8
En el cuadro de mensaje de confirmacin del comando que aparece, haga clic en S. En el cuadro de dilogo Mensaje, haga clic en Aceptar. Si el comando no se pone en cola correctamente, es posible que se deba repetir este procedimiento. Se puede verificar si el servidor no funciona. Si la consola ha perdido conectividad con el servidor, es posible finalizar la sesin en la consola y a continuacin volver a iniciarla para ver si ayuda.
1 2
Haga clic en Supervisin. En la ficha Estado del comando, seleccione un comando de la lista y a continuacin haga clic en Detalles.
1 2 3
Haga clic en Supervisin. En la ficha Estado del comando, haga clic en el icono Cancelar anlisis de la columna Comando del comando de anlisis que desee cancelar. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
1 2 3 4 5 6
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione uno o ms equipos de la lista y a continuacin active Cancelar todos los anlisis de la lista de comandos. Haga clic en Start(Iniciar). Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S para cancelar todos los anlisis en curso y puestos en cola de los equipos seleccionados. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
626
Supervisin de proteccin con los informes y los registros Ejecucin de comandos en el equipo cliente desde los registros
Captulo
24
Administracin de notificaciones
En este captulo se incluyen los temas siguientes:
Cmo administrar notificaciones Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico Visualizacin y reconocimiento de notificaciones Cmo guardar y eliminar los filtros de notificaciones administrativas Cmo configurar notificaciones de administrador Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
628
esta red es configurar una notificacin cuando dos eventos de riesgo se detectan en el plazo de un minuto. Si tiene 100 a 1000 equipos, detectar cinco eventos de riesgo en el plazo de un minuto puede ser un punto de partida ms til. Las notificaciones se administran en la pgina Supervisin. Es posible usar la Pgina principal para determinar el nmero de notificaciones no reconocidas que necesitan atencin. La Tabla 24-1 enumera las tareas que se pueden realizar para administrar notificaciones. Tabla 24-1 Tarea
Aprenda sobre notificaciones Confirme que se configur el servidor de correo electrnico para habilitar notificaciones por correo electrnico
Revise las notificaciones Revise las notificaciones configuradas previamente configuradas previamente proporcionadas por Symantec Endpoint Protection. Consulte las notificaciones Consulte las notificaciones no reconocidas y respndalas. no reconocidas Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635. Configure las nuevas notificaciones Cree opcionalmente notificaciones para que les recuerden al usuario y a otros administradores sobre problemas importantes. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Ver "Acerca de activar las notificaciones para los clientes remotos" en la pgina 250. Cree filtros de notificacin Cree opcionalmente los filtros para expandir o para limitar su vista de todas las notificaciones que se han activado. Ver "Cmo guardar y eliminar los filtros de notificaciones administrativas" en la pgina 637.
629
630
condicin de activacin solamente para equipos especficos. O puede configurar notificaciones para tomar medidas especficas cuando se activan. De forma predeterminada, algunas de estas condiciones se habilitan cuando se instala Symantec Endpoint Protection Manager. Las condiciones de notificacin que se habilitan de forma predeterminada se configuran para registrar el servidor y para enviar correos electrnicos a los administradores del sistema. Ver "Cmo administrar notificaciones" en la pgina 627. Ver "Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones" en la pgina 639. Tabla 24-2 Notificacin
Error de autenticacin
La incorporacin de un cliente Un cambio en el grupo de un cliente Un cambio en el nombre de un cliente La eliminacin de un cliente Un cambio en el hardware de un cliente
631
Notificacin
Alerta de seguridad de cliente
Descripcin
Esta notificacin se activa en funcin de cualquiera de los siguientes eventos de seguridad:
Eventos de cumplimiento Eventos de proteccin contra amenazas de red Eventos de trfico Eventos de paquetes Eventos de control de dispositivos Eventos de control de aplicaciones
Es posible modificar esta notificacin para especificar el tipo, la gravedad y la frecuencia de las condiciones que activan el perodo de la notificacin dentro del cual ocurren estos eventos. Algunos de estos tipos de incidencia necesitan que adems active el registro en la poltica asociada. Contenido de proteccin de descargas desactualizado Alerta a los administradores con respecto al contenido de la proteccin de descarga desactualizado. Es posible especificar la antigedad en la cual las definiciones activan la notificacin. Esta notificacin se activa cuando el dispositivo Enforcer se desconecta. La notificacin indica el nombre de cada Enforcer, su grupo y la hora de su ltimo estado. Esta notificacin se activa cuando una aplicacin en la lista de aplicaciones comerciales se detecta o cuando una aplicacin en la lista de aplicaciones supervisadas por el administrador se detecta. Alerta a los administradores con respecto a las firmas IPS desactualizadas. Es posible especificar la antigedad en la cual las definiciones activan la notificacin. Esta notificacin alerta a administradores y, opcionalmente, a partners con respecto a licencias pagadas que han caducado o que estn a punto de caducar. Esta condicin de notificacin se habilita de forma predeterminada.
632
Notificacin
Problema de implementacin excesiva
Descripcin
Esta notificacin alerta a administradores y, opcionalmente, a partners con respecto a licencias pagas sobreimplementadas. Esta condicin de notificacin se habilita de forma predeterminada.
Caducidad de licencia de prueba La notificacin alerta a los administradores con respecto a las licencias de prueba caducadas. Esta notificacin est habilitada de forma predeterminada. Nueva aplicacin reconocidas Esta notificacin se activa cuando el aprendizaje de la aplicacin detecta una nueva aplicacin. Esta notificacin se activa cuando un equipo cliente habilita una aplicacin detectada por Diagnstico Insight de descargas. Un administrador puede usar esta informacin para ayudar a evaluar si desea bloquear o permitir la aplicacin. Esta notificacin se activa siempre que se detecta un nuevo riesgo por anlisis de spyware y virus. Esta notificacin se activa cuando descarga un nuevo paquete de software u ocurre lo siguiente: Un paquete cliente se descarga mediante LiveUpdate. Se actualiza el servidor de administracin.
Es posible especificar si la notificacin se activa solamente ante nuevas definiciones de seguridad, nuevos paquetes cliente o ambas opciones. De forma predeterminada, se habilita la opcin de configuracin Paquetes de cliente y la opcin Definiciones de seguridad se deshabilita para esta condicin. Esta condicin de notificacin se habilita de forma predeterminada.
633
Notificacin
Ataque de riesgo
Descripcin
La notificacin alerta a los administradores con respecto a ataques de riesgos para la seguridad. Configure el nmero y el tipo de incidencias de los nuevos riesgos y del perodo dentro del cual debe ocurrir para activar la notificacin. Los tipos incluyen instancias en cualquier equipo, instancias en un solo equipo o instancias en equipos distintos. Esta condicin de notificacin se habilita de forma predeterminada
Los problemas de estado del servidor activan la notificacin. La notificacin detalla el nombre del servidor, el estado, el motivo y el estado en lnea/sin conexin ms actualizado. Esta condicin de notificacin se habilita de forma predeterminada.
Esta notificacin se activa ante la deteccin de un nico evento de riesgo y proporciona los detalles sobre el riesgo. Los detalles incluyen el usuario y el equipo implicados, y las medidas tomadas por el servidor de administracin. Alerta a los administradores con respecto a definiciones de SONAR desactualizadas. Es posible especificar la antigedad en la cual las definiciones activan la notificacin. Esta notificacin se activa ante ciertos eventos del sistema y proporciona el nmero de eventos que se detectaron. Los eventos del sistema incluyen los eventos siguientes:
Actividades del servidor Actividades de Enforcer Errores de replicacin Eventos de restauracin y copia de seguridad Errores del sistema
Equipos no administrados
Esta notificacin se activa cuando el servidor de administracin detecta equipos no administrados en la red. La notificacin proporciona detalles, incluida la direccin IP, la direccin MAC y el sistema operativo de cada equipo no administrado.
634
Notificacin
Caducidad de la licencia de actualizacin
Descripcin
A las actualizaciones de versiones anteriores de Symantec Endpoint Protection Manager a la versin actual se les conceden licencias de actualizacin. Esta notificacin se activa cuando esa licencia de actualizacin est por caducar. Alerta a los administradores con respecto a definiciones de virus desactualizadas. Es posible especificar la antigedad en la cual las definiciones activan la notificacin.
Administracin de notificaciones Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico
635
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin para el cual desea establecer una conexin al servidor de correo electrnico. En Tareas, haga clic en Editar propiedades de servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor de correo electrnico. Especifique la configuracin del servidor de correo electrnico. Para obtener informacin acerca de las opciones de configuracin en este cuadro de dilogo, haga clic en Ayuda.
636
1 2
En la consola, haga clic en Pgina principal. En la Pgina principal, en el panel Estado de seguridad, haga clic en Ver notificaciones. Una lista de notificaciones no reconocidas recientes aparece en la ficha Notificaciones.
Opcionalmente, en la lista de notificaciones, en la columna Informe, haga clic en el icono de documento si existe. El informe de la notificacin aparece en otra ventana de navegador. Si no hay icono de documento, toda la informacin de la notificacin aparece en la columna Mensaje en la lista de notificaciones.
1 2
En la consola, haga clic en Supervisin y, a continuacin, en la ficha Notificaciones. Opcionalmente, en la ficha Notificaciones, del men Usar un filtro guardado, seleccione un filtro guardado. Ver "Cmo guardar y eliminar los filtros de notificaciones administrativas" en la pgina 637.
3 4
Opcionalmente, en la ficha Notificaciones, del men Intervalo de tiempo, seleccione un intervalo de tiempo. En la ficha Notificaciones, haga clic en Ver notificaciones.
Vea las notificaciones. Ver "Para ver las notificaciones no reconocidas recientes" en la pgina 636. Ver "Para ver todas las notificaciones" en la pgina 636.
En la ficha Notificaciones, en la lista de notificaciones, en la columna Rec., haga clic en el icono rojo para reconocer la notificacin.
1 2
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, haga clic en Condiciones de notificacin. Se muestran todas las condiciones de notificacin que estn configuradas en la consola. Es posible filtrar la lista seleccionando un tipo de notificacin del men Mostrar tipo de notificacin.
637
Intervalo de tiempo Estado de reconocimiento Tipo de notificacin Creado por Nombre de la notificacin
Por ejemplo, se puede crear un filtro que muestre solamente las notificaciones de ataques de riesgo no reconocidos publicadas durante las ltimas 24 horas. Para agregar un filtro de notificacin
1 2 3 4 5
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, haga clic en Configuracin avanzada. En el encabezado Qu configuracin de filtros desea utilizar?, configure los criterios para el filtro. Haga clic en Guardar filtro. En la ficha Notificaciones, en el cuadro Nombre del filtro, escriba el nombre de un filtro y, a continuacin , haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, en el men Usar un filtro guardado, elija un filtro. A la derecha del men Usar un filtro guardado, haga clic en el icono X. En el cuadro de dilogo Eliminar filtro, haga clic en S.
638
Registrar la notificacin en la base de datos. Enviar un mensaje de correo electrnico a uno o ms individuos. Ejecutar un archivo por lotes.
Nota: Para enviar notificaciones por correo electrnico, es necesario configurar un servidor de correo electrnico para comunicarse con el servidor de administracin. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Se elige la condicin de notificacin de una lista de tipos de notificacin disponibles. Una vez que se elige el tipo de notificacin, configrela de la siguiente manera:
Especifique los filtros. No todos los tipos de notificaciones proporcionan filtros. Cuando lo hacen, se pueden usar los filtros para limitar las condiciones que activan la notificacin. Por ejemplo, se puede restringir una notificacin para que se active solamente cuando los equipos en un grupo especfico se afectan. Especifique la configuracin. Todos los tipos de notificaciones proporcionan configuracin, pero la configuracin especfica vara de tipo a tipo. Por ejemplo, una notificacin de riesgo puede permitirle especificar qu tipo de anlisis activa la notificacin. Especifique las acciones. Todos los tipos de notificaciones proporcionan acciones que se pueden especificar.
Administracin de notificaciones Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
639
1 2 3 4
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, haga clic en Condiciones de notificacin. En la ficha Notificaciones, haga clic en Agregar y despus haga clic en un tipo de notificacin. En el cuadro de dilogo Agregar condicin de notificacin, proporcione la siguiente informacin:
En el cuadro de texto Nombre de la notificacin, escriba un nombre para etiquetar la condicin de notificacin. En el rea Qu configuracin de filtros desea utilizar?, si est presente, especifique la configuracin del filtro para la condicin de notificacin. En el rea Qu configuracin desea para esta notificacin?, especifique las condiciones que activan la notificacin. En el rea Qu debe ocurrir cuando se active esta notificacin?, especifique las medidas que se deben tomar cuando se activa la notificacin.
Ver "Cmo administrar notificaciones" en la pgina 627. Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635.
Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
Cuando Symantec Endpoint Protection est instalado en un nuevo servidor, muchas de las condiciones configuradas previamente de notificacin se habilitan de forma predeterminada. Una actualizacin a Symantec Endpoint Protection de una versin previa, sin embargo, puede afectar qu condiciones de notificacin se habilitan de forma predeterminada. Puede adems afectar su configuracin predeterminada. Las condiciones siguientes de notificacin se habilitan de forma predeterminada en una nueva instalacin de Symantec Endpoint Protection:
Lista de clientes modificada Nuevo software de cliente Emisin de implementacin en exceso Emisin de licencia paga
640
Administracin de notificaciones Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
Ataque de riesgo Estado del servidor Caducidad de la licencia del software de prueba Definiciones de virus desactualizadas
Cuando un administrador actualiza el software de una versin anterior, todas las condiciones existentes de notificacin de la versin anterior se conservan. Sin embargo, las condiciones existentes de notificacin Nuevo paquete de software se convierten en condiciones de notificacin Nuevo software de cliente. La condicin Nuevo software de cliente tiene dos opciones de configuracin que no estn presentes en la condicin Nuevo paquete de software : Paquete cliente y Definiciones de seguridad. Cuando se actualiza el software, ambas opciones de configuracin se habilitan para las condiciones de notificacin de este tipo que se conservan en la actualizacin. Las notificaciones Nuevo software de cliente que son condiciones creadas despus de la actualizacin, sin embargo, tienen la configuracin Paquete cliente habilitada y la configuracin Definiciones de seguridad deshabilitada de forma predeterminada. Nota: Cuando la configuracin Definiciones de seguridad en la condicin de notificacin Nuevo software de cliente se habilita, puede hacer que un gran nmero de notificaciones se enven. Esta situacin puede ocurrir cuando hay muchos clientes o cuando hay actualizaciones de definiciones de seguridad frecuentemente programadas. Si no desea recibir notificaciones frecuentes sobre actualizaciones de definiciones de seguridad, se puede editar la condicin de notificacin para deshabilitar la configuracin Definiciones de seguridad Varias condiciones de notificacin pueden tener una nueva configuracin que no apareci en versiones anteriores: Enviar correo electrnico a administradores del sistema. Si esa configuracin es nueva para una condicin de notificacin, se deshabilita de forma predeterminada para cualquier condicin existente de ese tipo despus de la actualizacin. Cuando un tipo predeterminado de condicin de notificacin no se ha agregado en una instalacin anterior, esa condicin de notificacin se agrega en la instalacin actualizada. Sin embargo, el proceso de actualizacin no puede determinar qu condiciones predeterminadas de notificacin puede haber eliminado deliberadamente el administrador en la instalacin anterior. Con una excepcin, por lo tanto, toda la configuracin de acciones siguiente se deshabilita en cada condicin predeterminada de notificacin en una instalacin actualizada: Enviar correo electrnico a administradores del sistema, Registrar la notificacin, Ejecutar el archivo por lotes y Enviar correo electrnico a. Cuando se deshabilitan estas cuatro acciones, la condicin de notificacin no se procesa,
Administracin de notificaciones Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
641
aunque la condicin misma est presente. Los administradores pueden editar las condiciones de notificacin para habilitar alguna o todas estas opciones de configuracin. Tenga en cuenta que la condicin de notificacin Nuevo software de cliente es una excepcin: puede producir notificaciones de forma predeterminada cuando se agrega durante el proceso de actualizacin. A diferencia de las otras condiciones de notificacin predeterminadas, la configuracin de las acciones Registrar la notificacin y Enviar correo electrnico a administradores del sistema se habilitan para esta condicin. Si la versin previa del software no admite licencias, se habilita una condicin de notificacin Caducidad de licencia de actualizacin. Algunos tipos de condicin de notificacin no estn disponibles en las versiones previas del software. Esas condiciones de notificacin se habilitan de forma predeterminada cuando se actualiza el software. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629.
642
Administracin de notificaciones Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
Captulo
25
Administracin de dominios
En este captulo se incluyen los temas siguientes:
644
Si es un proveedor de servicios administrados (MSP), es posible que deba administrar varias compaas independientes, adems de proveedores de servicios de Internet. Para cumplir estas necesidades, es posible crear varios dominios. Por ejemplo, es posible crear un dominio separado para cada pas, regin o compaa. Ver "Adicin de un dominio" en la pgina 645. Figura 25-1 Descripcin general de los dominios de Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager
Cliente A
Cliente B
Cliente C
https
https
https
Consola de SEPM
Consola de SEPM
Consola de SEPM
Dominio A
Dominio B
Dominio C
Cuando se agrega un dominio, el dominio est vaco. Es necesario configurar el dominio para que sea el dominio actual. A continuacin, agregue grupos, clientes, equipos y polticas a este dominio. Es posible copiar polticas y clientes de un dominio a otro. Para copiar polticas entre dominios, se debe exportar la poltica del dominio de origen e importarla al dominio de destino. Para copiar clientes entre dominios, es posible usar la herramienta SylinkDrop. Esta herramienta reemplaza el archivo de comunicacin de un cliente para permitir que el cliente se comunique con un servidor de administracin diferente. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 1070. Es posible deshabilitar un dominio si ya no lo necesita. Asegrese de que no est configurado como dominio actual cuando intenta deshabilitarlo. Ver "Cmo configurar el dominio actual" en la pgina 646.
645
Adicin de un dominio
Cree un dominio para ordenar una jerarqua de grupos, usuarios, clientes y polticas en su organizacin. Por ejemplo, puede agregar dominios para ordenar usuarios por divisin. Ver "Acerca de los dominios" en la pgina 643. Nota: Es posible agregar un ID de dominio para la recuperacin despus de un desastre. Si todos los servidores de administracin de su organizacin fallan, debe reconstruir el servidor de administracin usando el mismo ID que el servidor anterior. Es posible encontrar el ID de dominio anterior en el archivo sylink.xml en cualquier cliente. Para agregar un dominio
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Tareas, haga clic en Agregar dominio. En el cuadro de dilogo Agregar dominio, escriba un nombre de dominio, un nombre de compaa opcional y la informacin de contacto opcional. Si desea agregar un ID de dominio, haga clic en Avanzadas y escriba el valor en el cuadro de texto. Haga clic en Aceptar.
646
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. Seleccione el dominio para el cual desee agregar un titular de inicio de sesin. En Tareas, haga clic en Editar propiedades del dominio. En la ficha Titular de inicio de sesin, seleccione Proporciona un aviso legal a los administradores cuando inician sesin en Symantec Endpoint Protection Manager. Escriba el ttulo y el texto del titular. Haga clic en Ayuda para obtener ms informacin. Haga clic en Aceptar.
6 7
Ver "Acerca de los dominios" en la pgina 643. Ver "Adicin de un dominio" en la pgina 645.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Dominios, haga clic en el dominio que desee convertir en dominio actual. En Tareas, haga clic en Administrar dominio.
647
5 6
En el cuadro de dilogo Administrar dominio, para confirmar, haga clic en S. Haga clic en Aceptar.
Ver "Acerca de los dominios" en la pgina 643. Ver "Adicin de un dominio" en la pgina 645.
648
Captulo
26
Cmo administrar dominios y cuentas de administrador Acerca de los administradores Agregar una cuenta de administrador Acerca de los derechos de acceso Configurar los derechos de acceso para un administrador del dominio Configurar los derechos de acceso para un administrador limitado Cambiar el tipo de administrador Configurar la autenticacin para las cuentas de administrador Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin Especificar la autenticacin SecurID para administrador de Symantec Endpoint Protection Manager Cmo cambiar una contrasea de administrador Permitir que los administradores guarden las credenciales de inicio de sesin Cmo permitir a los administradores restablecer contraseas olvidadas Restablecer una contrasea olvidada
650
Restablecimiento de la contrasea y el nombre de usuario del administrador a admin Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
Decidir si aadir varios Decida si aadir dominios adicionales para varios negocios. dominios Ver "Acerca de los dominios" en la pgina 643. Ver "Adicin de un dominio" en la pgina 645. Ver "Cmo configurar el dominio actual" en la pgina 646. Decidir quin necesita Decida quin necesita acceder a Symantec Endpoint Protection una cuenta Manager. Decida si el acceso debe estar restringido o sin restriccin. Ver "Acerca de los administradores" en la pgina 651. Crear cuentas Cree una cuenta para los administradores y los usuarios que necesitan acceso a Symantec Endpoint Protection Manager. Ver "Agregar una cuenta de administrador" en la pgina 655. Conceder derechos de acceso Obtenga informacin sobre los tipos de derechos de acceso y de las tareas que los administradores pueden realizar cuando se conceden los derechos de acceso. Ver "Acerca de los derechos de acceso" en la pgina 656. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658. Cambie el tipo de administrador Si es necesario, se puede cambiar el tipo de administrador si las responsabilidades de un administrador cambian. Ver "Cambiar el tipo de administrador" en la pgina 659.
651
Tarea
Bloquear una cuenta de administrador
Descripcin
Es posible bloquear una cuenta de administrador una vez que alguien ha intentado iniciar sesin en Symantec Endpoint Protection Manager demasiadas veces. Ver "Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin" en la pgina 668.
Es posible realizar las siguientes tareas para las contraseas: Es posible permitir que el administrador restablezca la contrasea olvidada de otro administrador. Modificar la contrasea de un administrador. Ver "Cmo cambiar una contrasea de administrador" en la pgina 664. Restablecer la contrasea de administrador de la cuenta a admin.
Ver "Restablecimiento de la contrasea y el nombre de usuario del administrador a admin" en la pgina 667.
652
dominio. Por ejemplo, puede configurar los derechos de grupo para permitir un acceso completo de administrador limitado, ningn acceso o acceso de solo lectura a grupos especficos en un dominio. O, se pueden conceder derechos del sitio que permiten que un administrador limitado vea o administre las bases de datos y los servidores. Ver "Acerca de los dominios" en la pgina 643. Cuando se instala Symantec Endpoint Protection Manager, se crea un administrador del sistema predeterminado que se llama admin. Es posible entonces crear cuentas para administradores adicionales. Ver "Acerca de los derechos de acceso" en la pgina 656. Tabla 26-2 Roles de administrador y responsabilidades Responsabilidades
Un administrador del sistema puede realizar las siguientes tareas:
Rol de administrador
Administrador del sistema
Crear y administrar el resto de las cuentas del administrador del sistema, las cuentas del administrador y las cuentas del administrador limitado para todos los dominios. Administrar las bases de datos y los servidores de administracin. Administrar dispositivos Enforcer.
653
Rol de administrador
Administrador
Responsabilidades
Un administrador, que tambin se denomina administrador del dominio, puede realizar las siguientes tareas:
Crear y administrar cuentas de administrador y cuentas de administrador limitado dentro de un nico dominio. Es posible especificar los derechos de acceso para ejecutar informes y administrar sitios. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Es posible autorizar administradores para administrar completamente un sitio con Derechos del sitio, incluidos la base de datos y todos los servidores para un sitio. Los administradores que estn autorizados completamente para administrar un sitio pueden modificar los derechos del sitio para otros administradores y administradores limitados. Los administradores no pueden modificar sus propios derechos del sitio. Los administradores del sistema deben realizar esta funcin. Para los administradores que no estn autorizados a administrar un sitio con Derechos del sitio, el administrador no puede modificar los derechos del sitio para otros administradores y administradores limitados. Administrar los derechos de contrasea para los administradores limitados y otros administradores que tienen derechos de acceso iguales o menos restrictivos. No puede administrar mdulos de aplicacin Enforcer.
654
Rol de administrador
Administrador limitado
Responsabilidades
Se puede conceder el acceso a un administrador limitado para realizar tareas dentro de un nico dominio. Estas tareas incluyen: Ejecutar informes en equipos, direcciones IP, grupos y servidores especificados. Ver pginas de Inicio, Supervisin e Informes en la consola solamente si se le han concedido derechos de informes. Administrar los grupos dentro de un nico dominio.
Administrar completamente un sitio o ver o administrar la base de datos o los servidores seleccionados para un sitio dentro de un nico dominio. Ver o administrar los paquetes de instalacin. Administrar polticas Los administradores limitados que no tienen acceso a una poltica especfica y a opciones de configuracin relacionadas no pueden ver ni modificar la poltica. Adems, no pueden aplicar, reemplazar o retirar una poltica. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658. No pueden crear otras cuentas de administrador limitado. Solamente un administrador del sistema o un administrador pueden crear cuentas de administrador limitado. Administrar los derechos de la contrasea para su propia cuenta solamente.
Es posible definir un rol de administrador para cada tipo de administrador en su organizacin. Por ejemplo, una compaa grande puede usar los siguientes tipos de administradores:
Un administrador que instale el servidor de administracin y los paquetes de instalacin de clientes. Despus de que el producto est instalado, un administrador a cargo de las operaciones asume el control. Estos administradores probablemente sean administradores del sistema. Un administrador de las operaciones mantiene los servidores, las bases de datos e instala los parches. Si tiene un nico dominio, el administrador de operaciones podra ser un administrador del dominio que est autorizado completamente para administrar sitios.
655
Un administrador de antivirus, que crea y mantiene las polticas antivirus y antispyware y de LiveUpdate en los clientes. Este administrador probablemente sea un administrador del dominio. Un administrador de escritorio, que est a cargo de la seguridad y de crear y mantener las polticas de firewall y las polticas de prevencin de intrusiones para los clientes. Este administrador probablemente sea un administrador del dominio. Un administrador del departamento de soporte tcnico, que crea informes y tiene acceso de solo lectura a las polticas. El administrador antivirus y el administrador de escritorio leen los informes que el administrador del departamento de soporte tcnico enva. Es probable que el administrador del departamento de soporte tcnico sea un administrador limitado al que se le conceden derechos de informes y derechos de polticas.
Ver "Agregar una cuenta de administrador" en la pgina 655. Ver "Acerca de los derechos de acceso" en la pgina 656. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Tareas, haga clic en Agregar un administrador. Una vez que agrega una cuenta de administrador, puede cambiar el nombre de usuario haciendo clic en Editar el administrador.
656
En el cuadro de dilogo Agregar administrador, en las fichas General, Derechos de acceso y Autenticacin, especifique la informacin de la cuenta. Haga clic en Ayuda para obtener ms informacin.
657
Tabla 26-3
Los administradores con autorizacin completa para administrar un sitio pueden modificar los derechos del sitio de otros administradores y de administradores limitados, aunque no pueden modificar los derechos del sitio para ellos mismos.
658
Administracin de cuentas de administrador Configurar los derechos de acceso para un administrador del dominio
Los administradores del sistema deben modificar los privilegios del sitio para los administradores que estn autorizados completamente a administrar un sitio. Los administradores limitados no pueden cambiar los derechos de sitio de administradores. Los administradores limitados pueden cambiar los derechos de sitio de otros administradores limitados con iguales o menos privilegios restringidos de sitio.
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Seleccione un administrador del dominio. Es posible tambin configurar los derechos de acceso cuando se crea una cuenta de administrador del dominio. Ver "Agregar una cuenta de administrador" en la pgina 655.
4 5
En Tareas, haga clic en Editar administrador. En la ficha Derechos de acceso, asegrese de que la opcin Administrador del dominio est seleccionada y realice una de las siguientes acciones:
Haga clic en Derechos de informes. Haga clic en Ayuda para obtener ms informacin. Haga clic en Derechos del sitio. Haga clic en Ayuda para obtener ms informacin.
659
y el administrador limitado no podr iniciar sesin en el servidor de administracin. Ver "Acerca de los derechos de acceso" en la pgina 656. Nota: Las derechos de elaboracin de informes son necesarios para integrar Symantec Endpoint Protection Manager con la versin 1 de Symantec Protection Center. Asegrese de que se concedan derechos de elaboracin de informes para cualquier administrador limitado que use la versin 1 de Protection Center para acceder a la consola de Symantec Endpoint Protection Manager. Para obtener ms informacin, consulte la ayuda de la versin 1 de Protection Center. Para configurar los derechos de acceso para un administrador limitado
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Seleccione el administrador limitado. Es posible tambin configurar los derechos de acceso cuando se crea una cuenta de administrador limitado. Ver "Agregar una cuenta de administrador" en la pgina 655.
4 5
En Tareas, haga clic en Editar administrador. En la ficha Derechos de acceso, seleccione una opcin y despus haga clic en el botn correspondiente para configurar los derechos de acceso. Haga clic en Ayuda para obtener ms informacin. Si desea autorizar al administrador limitado a crear solamente las polticas no compartidas para una ubicacin, seleccione Solo permitir la edicin de polticas especficas de la ubicacin. Haga clic en Aceptar.
660
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Administradores, seleccione el administrador. En Tareas, haga clic en Editar administrador. En la ficha Derechos de acceso, seleccione el tipo de administrador y configure los derechos de acceso. Haga clic en Ayuda para obtener ms informacin. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administradores, haga clic en Administradores. Seleccione al administrador. En Tareas, haga clic en Editar administrador.
Administracin de cuentas de administrador Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin
661
5 6
En la ficha Autenticacin, seleccione el mtodo de autenticacin. Haga clic en Ayuda para obtener ms informacin. Haga clic en Aceptar.
Si desea autenticar a los administradores que utilizan un mecanismo de RSA SecurID, es necesario habilitar la autenticacin cifrada ejecutando el asistente para la instalacin de RSA. Ver "Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin" en la pgina 662. Si desea autenticar a los administradores que usan una cuenta de directorio, deber configurar una cuenta en el servidor del directorio. Ver "Agregar servidores de directorios" en la pgina 700.
Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin
Si su red corporativa incluye un servidor RSA, es necesario instalar el software para un agente de RSA ACE en el equipo en el cual usted instal Symantec Endpoint Protection Manager y configurarlo como cliente de autenticacin de SecurID. Para configurar el servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin
Instale el software para el agente de RSA ACE en el mismo equipo en el cual usted instal el servidor de administracin. Es posible instalar el software ejecutando el archivo .msi de Windows del disco del producto del agente de autenticacin de RSA. Copie los archivos nodesecret.rec, sdconf.rec y agent_nsload.exe del servidor de RSA ACE al equipo en el cual usted instal el servidor de administracin. En la lnea de comandos, escriba el siguiente comando:
agent_nsload -f nodesecret.rec -p
2 3
4 5 6 7
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desea conectar un servidor RSA. En Tareas, haga clic en Configurar autenticacin SecurID. En el panel Asistente para configurar la autenticacin SecurID, haga clic en Siguiente.
662
Administracin de cuentas de administrador Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin
En el panel Aptitudes del panel del Asistente para configurar la autenticacin SecurID, lea los requisitos previos de modo que se puedan cumplir todos los requisitos. Haga clic en Siguiente. autenticacin SecurID, busque la carpeta en la cual reside el archivo sdconf.rec. Es posible adems escribir el nombre de ruta.
10 En el panel Cargar archivo RSA del panel del Asistente para configurar la
11 Haga clic en Siguiente. 12 Haga clic en Prueba para probar su configuracin. 13 En el cuadro de dilogo Configuracin de prueba, escriba el nombre de usuario
y la contrasea para su SecurID y despus haga clic en Prueba. Ahora autentica correctamente. Ver "Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin" en la pgina 662.
Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin
Si desea autenticar a los administradores que utilizan Symantec Endpoint Protection Manager con RSA SecurID, es necesario activar la autenticacin cifrada ejecutando el asistente para la instalacin de RSA. Para autenticar los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin
1 2 3 4
Instale un servidor RSA ACE, si es necesario. Registre el equipo en el cual usted instal el servidor de administracin como host vlido en el servidor RSA ACE. Cree el archivo de secreto de nodo para el mismo host. Asegrese de que el archivo sdconf.rec en el servidor RSA ACE sea accesible en la red.
Administracin de cuentas de administrador Especificar la autenticacin SecurID para administrador de Symantec Endpoint Protection Manager
663
Asigne una tarjeta o clave de SecurID sincronizada a una cuenta de servidor de administracin; active el nombre de inicio de sesin en el servidor RSA ACE. Asegrese de que el administrador tenga el PIN o la contrasea de RSA disponible.
Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Para iniciar sesin en el servidor de administracin con RSA SecurID, el administrador necesita un nombre de inicio de sesin, el token (hardware) y un nmero de pin. Ver "Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin" en la pgina 661. Ver "Configurar la autenticacin para las cuentas de administrador" en la pgina 660.
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Administradores. En Tareas, haga clic en Agregar administrador. En el cuadro de dilogo Agregar administrador, escriba el nombre de un usuario que usted configur previamente para el cliente RSA ACE. Al lado de Tipo de autenticacin, haga clic en Cambiar.
664
5 6
En el cuadro de dilogo Autenticacin del administrador, seleccione Autenticacin de RSA SecurID y despus haga clic en Aceptar. Haga clic en Aceptar.
Los administradores del sistema pueden cambiar la contrasea para todos los administradores. Los administradores del dominio pueden cambiar la contrasea para otros administradores del dominio y administradores limitados dentro del mismo dominio. Los administradores limitados pueden cambiar sus propias contraseas solamente.
Nota: Cuando configura el servidor de administracin en el Asistente para la configuracin del servidor de administracin, se selecciona una instalacin predeterminada o personalizada. Si selecciona la instalacin predeterminada, la contrasea especificada es igual que la contrasea de cifrado. Si modifica la contrasea del administrador, la contrasea de cifrado no se modifica. Si la contrasea se restablece para reparar un bloqueo de la cuenta de administrador, el administrador debe an esperar a que el perodo de bloqueo caduque. El perodo predeterminado de bloqueo es de 15 minutos. Ver "Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin" en la pgina 668. Para modificar la contrasea de un administrador
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Administradores, seleccione la cuenta de administrador a la cual desea cambiarle la contrasea y haga clic en Editar el administrador. Escriba la contrasea para la cuenta de administrador en cuya sesin est actualmente.
Administracin de cuentas de administrador Permitir que los administradores guarden las credenciales de inicio de sesin
665
Escriba y confirme la nueva contrasea de la cuenta a la cual desea cambiarle la contrasea. La contrasea debe tener seis o ms caracteres de largo. Se permiten todos los caracteres.
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Dominios, seleccione el dominio para el cual permitir que los administradores guarden las credenciales de inicio de sesin. Haga clic en Editar propiedades del dominio. En la ficha Contraseas, seleccione Permitir a los usuarios guardar credenciales al iniciar sesin. Haga clic en Aceptar.
666
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione el sitio local. Nota: Solo se controla esta configuracin para el sitio local.
4 5 6
Haga clic en Editar propiedades del sitio. En la ficha Contraseas, seleccione Permitir a los administradores que restablezcan las contraseas. Haga clic en Aceptar.
Nota: Por razones de seguridad, las entradas no se verifican en el servidor. Para comprobar si la restauracin de la contrasea fue correcta, es necesario revisar el correo electrnico del administrador.
Administracin de cuentas de administrador Restablecimiento de la contrasea y el nombre de usuario del administrador a admin
667
Si hay configurado un servidor de correo, se usa el servidor de correo para enviar el mensaje de correo electrnico. Si el mensaje de correo electrnico no se puede enviar por ningn motivo, se usa el servicio SMTP para enviar el mensaje de correo electrnico. Recomendamos configurar un servidor de correo. Para restablecer una contrasea olvidada
En el equipo del servidor de administracin, haga clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager. En la pantalla Inicio de sesin, haga clic en Olvid su contrasea?. En el cuadro de dilogo Olvid su contrasea, escriba el nombre de usuario para la cuenta cuya contrasea desea restablecer. Para los administradores del dominio y los administradores limitados, escriba el nombre de dominio para la cuenta. Si no configur dominios, deje el campo del dominio en blanco.
2 3
Haga clic en Contrasea temporal. Un mensaje de correo electrnico que contiene un vnculo para activar la contrasea temporal se enva al administrador. Como precaucin de seguridad, el administrador debe cambiar la contrasea temporal inmediatamente despus de iniciar sesin.
668
Administracin de cuentas de administrador Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
Advertencia: Para Symantec Endpoint Protection Enterprise Edition, no use la cuenta admin cuando configure la autenticacin de Active Directory. Es necesario usar una nueva cuenta de administrador para usar la autenticacin de Active Directory. Para obtener ms informacin, consulte el artculo de la base de conocimientos Cmo configurar una cuenta de administrador de SEPM para usar su autenticacin de Active Directory. Para restablecer la contrasea de administrador
1 2 3
Abra el Explorador de Windows en el equipo que ejecuta Symantec Endpoint Protection Manager. Localice la carpeta Unidad:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Tools. Haga doble clic en resetpass.bat. El nombre de usuario y la contrasea se restablecen a admin.
Inicie sesin en Symantec Endpoint Protection Manager usando admin tanto para el nombre de usuario como para la contrasea y modifique la contrasea.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Administradores, seleccione el administrador. En Tareas, haga clic en Editar administrador.
Administracin de cuentas de administrador Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
669
En la ficha General, en el cuadro de texto Direccin de correo electrnico, escriba la direccin de correo electrnico del administrador. El servidor de administracin enva un mensaje de correo electrnico a esta direccin cuando bloquea la cuenta del administrador. Es necesario seleccionar la casilla de seleccin Enviar una alerta de correo electrnico al Administrador cuando se bloquee la cuenta para enviar el mensaje de correo electrnico.
Seleccione Bloquear la cuenta despus del nmero especificado de intentos de inicio de sesin incorrectos y despus use las flechas para seleccionar el nmero de intentos de inicio de sesin fallidos que se permiten antes de que la cuenta est bloqueada. La opcin predeterminada es cinco intentos de inicio de sesin fallidos. El intervalo de valor es de 1 a 10. Seleccione Bloquear la cuenta para el nmero especificado de minutos y despus use las flechas para seleccionar el nmero de minutos durante los cuales la cuenta se bloquea. Seleccione o anule la seleccin de Enviar una alerta de correo electrnico al Administrador cuando se bloquee la cuenta. Haga clic en Aceptar.
8 9
670
Administracin de cuentas de administrador Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
Seccin
Captulo 27. Administracin de servidores Captulo 28. Administracin de servidores de directorio Captulo 29. Administracin de bases de datos Captulo 30. Administracin de la conmutacin por error y el balanceo de carga Captulo 31. Preparacin para la recuperacin despus de un desastre
672
Captulo
27
Administracin de servidores
En este captulo se incluyen los temas siguientes:
Administrar servidores Acerca de los tipos de servidores de Symantec Endpoint Protection Cmo administrar la conexin entre el servidor de administracin y los equipos cliente Mejora del rendimiento del cliente y del servidor Exportar e importar opciones del servidor Acerca de los tipos de certificado de servidor Actualizar un certificado de servidor Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos Hacer copia de seguridad de un certificado de servidor Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Administrar servidores
Es posible configurar Symantec Endpoint Protection Manager para integrarlo con muchos de los diversos tipos de servidores en su entorno de red.
674
Configure los permisos Es posible permitir o denegar el acceso al servidor de de la comunicacin del administracin. Se administra el acceso del servidor agregando servidor las excepciones basadas en una direccin IP de un nico equipo o de un grupo de equipos. Ver "Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager" en la pgina 689. Modifique la configuracin del servidor Para modificar la configuracin de la base de datos o restaurar su base de datos en un equipo diferente, se puede modificar la configuracin del servidor. Ver "Reinstalar o reconfigurar Symantec Endpoint Protection Manager" en la pgina 1059. Configure el servidor de correo Para usar un servidor de correo especfico en su red, es necesario configurar el servidor de correo. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Administre servidores Es posible integrar Symantec Endpoint Protection con los de directorios servidores de directorios para ayudar a administrar cuentas de administrador o a crear las unidades organizativas. Ver "Agregar servidores de directorios" en la pgina 700. Establezca la configuracin de proxy si se usa un servidor proxy para conectarse a los servidores de Symantec LiveUpdate Importe o exporte las propiedades de servidor Para configurar Symantec Endpoint Protection Manager para conectarse a Internet a travs de un servidor proxy, es necesario configurar la conexin del servidor proxy. Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet" en la pgina 555. Es posible exportar la configuracin del servidor a un archivo XML y se puede reimportar la misma configuracin. Ver "Exportar e importar opciones del servidor" en la pgina 682.
675
Tarea
Administre los certificados de servidor
Descripcin
El servidor de Symantec Endpoint Protection Manager usa el protocolo HTTPS para la comunicacin entre todos los servidores, clientes y dispositivos Enforcer opcionales en una red. El servidor se identifica y se autentica a s mismo con un certificado de servidor. Es posible que sea necesario hacer copia de seguridad o actualizar un certificado de servidor. Ver "Acerca de los tipos de certificado de servidor" en la pgina 682. Ver "Actualizar un certificado de servidor" en la pgina 683. Ver "Hacer copia de seguridad de un certificado de servidor" en la pgina 686.
Si elige autenticar cuentas de administrador usando RSA SecurID, se debe adems configurar el servidor de administracin para comunicarse con el servidor RSA. Ver "Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin" en la pgina 661. Es posible que sea necesario mover el software del servidor de administracin de un equipo a otro por los siguientes motivos: Es necesario mover el servidor de administracin de un entorno de prueba a un entorno de producto. El equipo en el cual el servidor de administracin se ejecuta tiene un error de hardware.
Es posible mover el software del servidor de administracin de las siguientes maneras: Instale el servidor de administracin en otro equipo y realice la replicacin. Ver "Adicin de un partner de replicacin" en la pgina 180. Instale el servidor de administracin en otro equipo usando el archivo de recuperacin. Ver "Reinstalar o reconfigurar Symantec Endpoint Protection Manager" en la pgina 1059.
El servidor de administracin se ejecuta como servicio automtico. Es necesario detener el servicio del servidor de administracin cuando se actualiza o realiza la recuperacin despus de un desastre. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
676
Sitio Un sitio incluye uno o ms servidores de administracin, una base de datos (Microsoft SQL Server o la base de datos integrada) y opcionalmente, uno o ms dispositivos Enforcer situados tpicamente juntos en la misma ubicacin del negocio. El sitio en el cual se inicia sesin es el sitio local y se puede modificar directamente. Cualquier sitio con excepcin del sitio local se conoce como sitio remoto. Se conectan sitios usando la replicacin. Servidor de administracin El equipo en el cual el software de Symantec Endpoint Protection Manager est instalado. Desde el servidor de administracin, las polticas pueden ser creadas y asignadas a diversos grupos organizativos. Es posible supervisar clientes, ver informes, registros y alertas, y configurar los servidores y las cuentas de administrador. Varios servidores de administracin en un nico sitio proporcionan funcionalidades de conmutacin por error y de balanceo de carga. Servidor de bases de datos La base de datos usada por Symantec Endpoint Protection Manager. Hay una base de datos por sitio. La base de datos puede estar en el mismo equipo que el servidor de administracin o en otro equipo si se usa una base de datos de SQL Server. Enforcer Symantec Network Access Control usa un Enforcer para permitir o para denegar el acceso a la red de la empresa. Symantec Network Access Control incluye los siguientes tipos de Enforcers: Gateway Enforcer, LAN Enforcer e Integrated Enforcer. Partner de replicacin Una relacin creada entre dos sitios para habilitar la replicacin de datos entre ellos.
Administracin de servidores Cmo administrar la conexin entre el servidor de administracin y los equipos cliente
677
Tarea
Decida si usar la lista de servidores de administracin predeterminada
678
Tarea
Descripcin
Configurar las opciones de Es posible establecer una configuracin de comunicacin configuracin para una ubicacin aparte para las ubicaciones y para los grupos. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Comprobar si el cliente est conectado al servidor de administracin Es posible comprobar el icono de estado en el cliente y en la consola de administracin. El icono de estado muestra si el cliente y el servidor se comunican. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Un equipo puede tener el software de cliente instalado, pero no tener el archivo de comunicaciones correcto. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219. Solucionar problemas de conectividad con el servidor de administracin Si el servidor de administracin y el cliente no se conectan, se pueden solucionar los problemas de conexin. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Ver "Investigacin de problemas de proteccin usando el archivo de la solucin de problemas en el cliente" en la pgina 1066.
679
Cambiar la configuracin de Use el modo extraccin en vez del modo de transferencia para controlar con cunta comunicacin entre servidor frecuencia el servidor de administracin descarga las polticas y las actualizaciones y cliente de contenido a los equipos cliente. En el modo de extraccin, el servidor de administracin puede admitir ms clientes. Aumente el intervalo de latidos de modo que el cliente y el servidor se comuniquen menos frecuentemente. Para los casos con menos de 100 clientes por servidor, aumente el latido entre 15 y 30 minutos. Para casos de 100 a 1000 clientes, aumente el latido entre 30 y 60 minutos. Redes ms grandes podran necesitar un intervalo de latidos ms largo. Aumente el clculo aleatorio de descarga entre una y tres veces el intervalo de latidos. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Para obtener ms informacin sobre la configuracin de intervalos de latidos, consulte el white paper Prcticas recomendadas de elevacin y determinacin de tamao de Symantec Endpoint.
680
Tarea
Descripcin
Ordenar aleatoriamente y Las actualizaciones de contenido varan de tamao y frecuencia, dependiendo del reducir de actualizaciones de tipo de contenido y de la disponibilidad. Es posible reducir el efecto de la descarga y contenido la importacin de un conjunto completo de actualizaciones de contenido usando los mtodos siguientes: Distribuya la carga del cliente en varios servidores de administracin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Use los mtodos alternativos para distribuir el contenido, tal como el proveedor de actualizaciones de grupo o las herramientas de distribucin de otro fabricante. Un proveedor de actualizaciones de grupo le ayuda a conservar el ancho de banda descargando capacidad de procesamiento del servidor a un cliente que descargue el contenido. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente" en la pgina 584. Ordene aleatoriamente la hora a la que LiveUpdate descarga contenido a los equipos cliente. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Descargue las actualizaciones de contenido cuando los usuarios no estn activamente usando el equipo cliente. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566.
Los anlisis antivirus y antispyware reducen al mnimo el efecto sobre los recursos de los equipos cliente. Es posible tambin cambiar cierta configuracin del anlisis para mejorar el rendimiento de equipos sin reducir la proteccin. Por ejemplo, se pueden configurar anlisis para omitir los archivos de confianza o para analizar cuando el equipo est inactivo. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
681
Tarea
Descripcin
Reducir el volumen del Es posible configurar las opciones del registro para optimizar los requisitos de registro del cliente de la base almacenamiento y cumplir con las polticas de empresa que controlan la retencin de datos de datos registrados. La base de datos recibe y almacena un flujo constante de entradas en sus archivos de registro. Es necesario administrar los datos que se almacenan en la base de datos de modo que los datos almacenados no consuman todo el espacio libre en el disco disponible. Si hay demasiados datos, pueden causar que el equipo en el cual se ejecuta la base de datos se bloquee. Es posible reducir el volumen de datos de registro realizando las siguientes tareas:
Cargue solamente algunos de los registros de los clientes en el servidor y cambie la frecuencia con la cual los registros de los clientes se cargan. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Especifique cuntas entradas de registro puede mantener el equipo cliente en la base de datos y cunto tiempo puede guardarlas. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Reduzca el nmero de clientes que cada servidor de administracin administra. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Reduzca la frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Reduzca la cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos. Ver "Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes" en la pgina 716.
Realizar las tareas de Para aumentar la velocidad de la comunicacin entre el cliente y el servidor, es mantenimiento de la base de necesario programar tareas de mantenimiento de la base de datos regulares. datos Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708.
682
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, expanda Sitio local (Sitio nombre del sitio) y seleccione el servidor de administracin que desea exportar. Haga clic en Exportar propiedades del servidor. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Exportar.
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, expanda Sitio local (Sitio nombre del sitio) y seleccione el servidor de administracin para el que desea importar la configuracin. Haga clic en Importar propiedades del servidor. Seleccione el archivo que desea importar y despus haga clic en Importar. Haga clic en S.
683
Archivo de almacn de claves JKS (.jks) Una herramienta Java que se llama keytool.exe genera el archivo del almacn de claves. Symantec admite solamente el formato del estndar de claves de Java (JKS). El formato de extensin de criptografa de Java (JCEKS) necesita una versin especfica de Java Runtime Environment (JRE). El servidor de administracin admite solamente un archivo del almacn de claves JCEKS que se genera con la misma versin que el kit de desarrollo de Java (JDK) en el servidor de administracin. El almacn de claves debe contener un certificado y una clave privada. La contrasea del almacn de claves debe ser igual que la contrasea principal. Archivo de almacn de claves PKCS12 (.pfx y .p12) Archivo de claves privadas y certificado (formato DER y PEM) Symantec admite certificados y claves privadas no cifrados en los formatos DER o PEM. Los archivos de clave privada PKCS8 cifrados no se admiten.
Sera aconsejable hacer una copia de seguridad de la informacin sobre el certificado como medida de seguridad. Si se daa el servidor de administracin o se olvida la contrasea del almacn de claves, es posible extraer fcilmente la contrasea. Ver "Actualizar un certificado de servidor" en la pgina 683. Ver "Hacer copia de seguridad de un certificado de servidor" en la pgina 686.
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el servidor de administracin para el cual desea actualizar el certificado de servidor. En Tareas, haga clic en Administrar certificado del servidor y haga clic en Siguiente. En el panel Administrar certificado de servidor, haga clic en Actualizar el certificado de servidor y en Siguiente. En el panel Actualizar certificado del servidor, realice una de las siguientes tareas y, a continuacin, haga clic en Siguiente :
Haga clic en Archivo de almacn de claves JKS (.jks) Haga clic en Archivo de almacn de claves PKCS12 (.pfx y .p12)
684
Administracin de servidores Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos
Haga clic en Archivo de claves privadas y certificados. Este certificado usa los formatos DER y PEM.
6 7
Para cada tipo del certificado, siga las instrucciones en los paneles y haga clic en Finalizar. Cierre sesin y reinicie el servidor de administracin antes de que el certificado sea eficaz. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
Descripcin
Deshabilitar la Deshabilite las comunicaciones seguras entre el servidor y los clientes. verificacin de firmas Ver "Cmo configurar comunicaciones seguras para evitar dejar hurfanos a los de polticas clientes" en la pgina 685. Esperar a que todos Dependiendo del nmero de clientes administrados que se conectan al servidor, el los clientes reciban la proceso de implementar la poltica actualizada puede tardar una semana o ms. Las poltica actualizada instalaciones grandes pueden tardar varios das en completar el proceso porque los equipos administrados deben estar en lnea para recibir la nueva poltica. Algunos usuarios pueden estar de vacaciones y sus equipos, desconectados.
Administracin de servidores Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos
685
Paso Tarea
3 Actualizar el certificado de servidor
Descripcin
Ver "Actualizar un certificado de servidor" en la pgina 683. Si migra o actualiza el servidor de administracin, realice la migracin del servidor. Ver "Migrar un servidor de administracin" en la pgina 161.
Habilitar la Vuelva a habilitar las comunicaciones seguras entre el servidor y los clientes verificacin de firmas repitiendo el paso 1 y seleccionando Habilitar comunicacin segura entre el servidor de polticas de administracin y los clientes mediante el uso de certificados digitales para autenticacin. Esperar a que todos Puede tardar una semana o ms en actualizar todos los clientes. los clientes reciban la poltica actualizada Restaurar la relacin Si el servidor que usted actualiz replica con otros servidores de administracin, de replicacin restaure la relacin de replicacin. (opcional) Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161.
Cmo configurar comunicaciones seguras para evitar dejar hurfanos a los clientes
Cuando los clientes usan la comunicacin segura con el servidor, un certificado de seguridad digitalmente firmado se intercambia entre los clientes y el servidor. Este intercambio establece una relacin de confianza entre el servidor y los clientes. Cuando el certificado cambia en el servidor, la relacin de confianza se quiebra y los clientes ya no pueden comunicarse. Se llama a este problema dejar hurfanos a los clientes. Es necesario deshabilitar comunicaciones seguras entre los clientes y el servidor para evitar que dejen hurfanos a los clientes administrados durante la migracin o la actualizacin. Una vez que se migra o actualiza al servidor, se activan comunicaciones seguras. Nota: Use este proceso para actualizar un servidor de administracin o varios servidores de administracin al mismo tiempo. Ver Tabla 27-4 en la pgina 684.
686
1 2
En la consola, haga clic en Clientes > Polticas > Configuracin general. En la ficha Configuracin de seguridad, anule la seleccin de Habilitar comunicacin segura entre el servidor de administracin y los clientes mediante el uso de certificados digitales para autenticacin. Haga clic en Aceptar.
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el servidor de administracin de cuyo certificado de servidor desea hacer copia de seguridad. En Tareas, haga clic en Administrar certificado del servidor y haga clic en Siguiente. En el panel Administrar certificado de servidor, haga clic en Hacer copia de seguridad del certificado del servidor y en Siguiente. En el panel Hacer copia de seguridad del certificado de servidor, haga clic en Examinar para especificar una carpeta de copia de seguridad y en Abrir. Observe que se hace una copia de respaldo del certificado de servidor de administracin en la misma carpeta.
6 7
En el panel Hacer copia de seguridad del certificado de servidor, haga clic en Siguiente. Haga clic en Finalizar.
Administracin de servidores Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes
687
Descripcin
Compruebe que En algunas redes, el puerto 433 puede estar vinculado ya a otra aplicacin o servicio. el puerto SSL Antes de que habilite la comunicacin SSL, es necesario comprobar y ver si el puerto predeterminado predeterminado (433) est disponible. est disponible Ver "Cmo verificar la disponibilidad del puerto" en la pgina 687. Segn sea Si el puerto 433 no est disponible, elija un puerto sin usar del amplio rango de puertos necesario, (49152-65535). Ajuste la configuracin de servidor para usar el nuevo puerto. cambie el puerto Ver "Cmo cambiar la asignacin del puerto SSL" en la pgina 688. SSL predeterminado Habilitar la comunicacin SSL con el cliente Edite el archivo httpd.config de Apache para permitir la comunicacin SSL con el cliente. Ver "Cmo habilitar la comunicacin SSL entre el servidor de administracin y el cliente" en la pgina 689.
Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
688
Administracin de servidores Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes
1 2
Abra una lnea de comandos y ejecute el comando netstat -an En la columna Direccin local, busque una entrada que finalice con el nmero de puerto que desee comprobar. Por ejemplo, para consultar si el puerto 443 est disponible, busque en la columna Direccin local una entrada que finalice en 443. Si ninguna entrada finaliza en 443, el puerto est disponible.
Ver "Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes" en la pgina 687.
1 2
En un programa de edicin de texto, abra el archivo %SEPM%\apache\conf\ssl\sslForClients.conf. Edite la cadena, Listen 443 con el nuevo nmero de puerto. Por ejemplo, si el nuevo nmero de puerto es 53300, la cadena editada se convierte en Listen 53300. Guarde el archivo y cierre el programa de edicin de texto. Reinicie Symantec Endpoint Protection Manager. Para verificar que el nuevo puerto funcione correctamente, en un navegador web, entre a la URL https://ServerHostName:<new port number>/secars/secars.dll?hello.secars. En la URL, ServerHostName es el nombre del equipo para Symantec Endpoint Protection Manager. Si se muestra la palabra hola, el cambio del puerto es correcto. Si se muestra un error de la pgina, repita los primeros pasos y verifique que la cadena tenga el formato correcto. Adems compruebe si escribi la URL correctamente. En la consola, en la ficha Polticas, haga clic en Componentes de polticas > Listas de servidores de administracin.
3 4 5
Administracin de servidores Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
689
En la lista de servidores de administracin, haga clic en el servidor de administracin que se est configurando para usar SSL y despus haga clic en Editar. En la ventana Editar el servidor de administracin, haga clic en Personalizar puerto HTTPS y despus especifique el nuevo nmero de puerto. Haga clic en Aceptar.
8 9
1 2 3 4
En un programa de edicin de texto, abra el archivo %SEPM%\apache\conf\httpd.conf. Busque la entrada #Include conf/ssl/sslForClients.conf Elimine la marca hash (#) de la cadena de texto y despus guarde el archivo. Reinicie Symantec Endpoint Protection Manager. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
Ver "Detencin e inicio del Servidor Web Apache" en la pgina 1067. Ver "Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes" en la pgina 687.
Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Es posible proteger la consola principal concediendo o negando el acceso a los equipos en los cuales una consola remota est instalada. De forma predeterminada, a todas las consolas se les permite el acceso. Los administradores pueden iniciar sesin en la consola principal localmente o remotamente desde cualquier equipo en la red. Adems de conceder o de negar el acceso globalmente, es posible especificar excepciones por la direccin IP. La lista de excepciones niega automticamente el acceso si ha elegido conceder acceso a todas las consolas remotas. Inversamente, si se niega el acceso a todas las consolas remotas, se concede automticamente el acceso a todas las excepciones.
690
Administracin de servidores Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Cuando se crea una excepcin, el equipo que usted especific debe tener una direccin IP esttica. Es posible adems crear una excepcin para un grupo de equipos especificando una mscara de subred. Por ejemplo, es posible permitir el acceso en todas las reas que se administran. Sin embargo, es posible negar el acceso a una consola que se encuentra en un rea pblica. Para conceder o negar el acceso a una consola remota
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor cuyo permiso de acceso a la consola desea modificar. En Tareas, haga clic en Editar las propiedades del servidor. En la ficha General, haga clic en Acceso concedido o Acceso denegado. Si desea especificar las direcciones IP de los equipos que estn exentos de los permisos de acceso de la consola, haga clic en Agregar. Los equipos que se agregan se convierten en excepciones a las cuales se concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso denegado, los equipos que se especifican se convierten en los nicos a los que se permite el acceso. Cree una excepcin para un solo equipo o un grupo de equipos.
En el cuadro de dilogo Denegar acceso a la consola, haga clic en una de las siguientes opciones:
Equipo individual Para un equipo, escriba la direccin IP. Grupo de equipos Para varios equipos, escriba la direccin IP y la mscara de subred para el grupo.
Haga clic en Aceptar. Los equipos ahora aparecen en la lista de excepciones. Para cada direccin IP y mscara, aparece el estado de los permisos. Si modifica Acceso concedido por Acceso denegado, o viceversa, todas las excepciones se modifican tambin. Si ha creado excepciones para negar el acceso, ahora tienen acceso.
Haga clic en Editar todo para modificar las direcciones IP o los nombres de host de los equipos que aparecen en la lista de excepciones. El editor de direcciones IP aparece. El editor de direcciones IP es un programa de edicin de texto que permite editar direcciones IP y mscaras de subred.
Administracin de servidores Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
691
692
Administracin de servidores Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Captulo
28
Acerca de las unidades organizativas y el servidor LDAP Acerca de la sincronizacin de unidades organizativas Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager Buscar usuarios en un servidor de directorios LDAP Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP Agregar servidores de directorios
694
modificarlas de cualquier manera, es necesario realizar estas tareas en el servidor LDAP. El servidor de administracin sigue automticamente sincronizado con la estructura que se implementa en el servidor de directorios si se activa la sincronizacin. Adems, es posible crear grupos en la consola y copiar usuarios en ellos desde las OU. El mismo usuario puede existir en el grupo en el servidor de administracin y una OU. En esta situacin, la prioridad del grupo es mayor que la prioridad de la OU. Por lo tanto, la poltica del grupo se aplica al usuario o al equipo.
Copiar un usuario de una unidad organizativa a un grupo Eliminar ese usuario del servidor LDAP posteriormente
Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP
Los administradores pueden importar informacin sobre cuentas de usuario y del equipo desde un servidor de directorios LDAP usando el protocolo LDAP. Si planea importar la informacin sobre usuarios y cuentas, debe primero establecer una conexin entre Symantec Endpoint Protection Manager y un servidor de directorios.
Administracin de servidores de directorio Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager
695
Ver "Agregar servidores de directorios" en la pgina 700. Es posible despus buscar e importar informacin sobre usuarios y cuentas realizando las siguientes tareas:
Buscar usuarios en el servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 696. Importar la informacin sobre las cuentas de usuario. Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 698.
Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager
Es posible configurar los servidores de directorio para importar y sincronizar usuarios con Symantec Endpoint Protection Manager. Es necesario haber agregado los servidores de directorios antes de sincronizar la informacin sobre los usuarios. Nota: Si elimina una conexin del servidor de directorio de Symantec Endpoint Protection Manager, debe eliminar cualquier unidad organizativa (OU) que cre antes de sincronizar datos entre los servidores. Ver "Agregar servidores de directorios" en la pgina 700. Para sincronizar cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desea agregar un servidor de directorios. En Tareas, haga clic en Editar propiedades de servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidores de directorios. Active Sincronizar con servidores de directorios si no est marcada. Esta es la opcin predeterminada.
Para configurar la programacin para cuantas veces desea sincronizar al servidor de administracin con el servidor del directorio, realice una de las siguientes acciones:
696
Para sincronizar automticamente cada 24 horas, haga clic en Programacin automtica. La configuracin predeterminada se programa para sincronizar cada 86 400 segundos. Tambin puede personalizar el intervalo al editar el archivo tomcat\etc\conf.properties. Para especificar la frecuencia de sincronizacin deseada, haga clic en Sincronizar cada y especifique el nmero de horas.
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo al que desea importar usuarios. En Tareas, haga clic en Importar usuarios de Active Directory o LDAP. En el cuadro de dilogo Importar usuarios de Active Directory o LDAP, escriba la direccin IP o el nombre de host en el cuadro Servidor. En el cuadro Puerto del servidor, escriba el nmero de puerto del servidor de LDAP o del servidor de Active Directory. El nmero de puerto predeterminado es 389.
Si desea conectarse con el servidor de directorios usando Secure Sockets Layer (SSL), haga clic en Usar conexin segura. Si no activa esta opcin, se utiliza una conexin sin cifrar.
697
Enumere los usuarios haciendo clic en Enumerar usuarios. Es posible adems escribir una consulta LDAP para localizar los nombres de los usuarios que desee importar en el cuadro Base de bsqueda LDAP. Es posible especificar opciones de bsqueda, tales como pares de atributo y valor. Los atributos deben estar separados por comas.
CN DC L ST O OU C STREET NombreComn ComponenteDominio NombreLocalidad NombreEstadoOProvincia NombreOrganizacin NombreUnidadOrganizativa NombrePas DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo, Microsoft Active Directory no admite O. El orden en el cual se especifican los pares de atributos y valores es importante, ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP. Si durante la instalacin de un servidor de directorios, usted especific un nombre de dominio de tipo DNS tal como itsupport.sygate.com, es posible consultar un servidor de directorios, pues itsupport es un nombre de dominio NetBIOS NT tpico. Para realizar una consulta en ese servidor de Active Directory, especifique la base de la bsqueda LDAP en este orden:
CN=Users, DC=itsupport, DC=sygate, DC=com
Es posible utilizar caracteres comodn o expresiones regulares en la base de bsqueda. Por ejemplo:
CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com
Esta consulta devuelve todos los nombres de usuario que se inician con la letra a. Otro ejemplo representa las organizaciones en las cuales es posible realizar una bsqueda de directorio estructural, tal como:
698
Administracin de servidores de directorio Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible especificar cualquier opcin aplicable donde se desee iniciar la bsqueda en el directorio LDAP.
o=mycorp.com or o=engineering.mycorp.com
Es posible especificar una comparacin lgica usando > o < en una cadena de bsqueda LDAP. Una consulta LDAP que proporciona ms de 1000 resultados puede fallar. Asegrese de configurar la base de bsqueda de forma que se informen menos de 1000 usuarios.
8 9
Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas autorizadas. Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea. servidor LDAP. Si se marca Mostrar solo usuarios que no se hayan agregado a ningn grupo, solo aparecen los usuarios que no se han agregado.
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible tambin importar usuarios desde una lista de resultados de bsqueda de un servidor LDAP. Ver "Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP" en la pgina 694. Para importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
1 2
En la consola, haga clic en Clientes. En el rbol Lista de grupos, seleccione el grupo al que desee agregar usuarios desde el servidor LDAP. Haga clic en Agregar todo si desea agregar todos los usuarios o seleccione usuarios especficos de la lista, y despus haga clic en Agregar.
Haga clic en el nombre del campo segn el cual se clasificar. Es posible clasificar los resultados de la bsqueda por campo en orden ascendente o descendente.
Administracin de servidores de directorio Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP
699
Seleccione uno o ms usuarios desde el rea de Lista de usuarios de LDAP. Es posible utilizar las teclas de seleccin estndar de Windows como Ctrl para seleccionar usuarios no continuos.
5 6 7
Haga clic en Agregar de modo que los nombres de nuevos usuarios aparezcan en el rbol del grupo. Repita este proceso para agregar usuarios a otros grupos, como sea necesario, hasta que haya agregado todos los nuevos usuarios a los grupos apropiados. Haga clic en Cerrar.
Un espacio o un carcter hash (#) que aparece al inicio de una entrada Un carcter de espacio que aparece al final de una entrada Cualquiera de los siguientes caracteres: coma (,), signo ms (+), comilla (), smbolos de menor o mayor que (< o >), signo de igualdad (=), punto y coma (;), barra invertida (\)
Para poder importar un nombre que incluya estos caracteres que se importarn, debe preceder cada carcter con un carcter de barra invertida (\). Para importar una unidad organizativa desde un servidor LDAP
1 2
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo en el que desea agregar la unidad organizativa o el contenedor.
700
3 4 5 6
En Tareas, haga clic en Importar unidad organizativa o contenedor. Elija el dominio. Seleccione la unidad organizativa. Haga clic en Aceptar.
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desea agregar un servidor de directorios. En Tareas, haga clic en Editar las propiedades del servidor. En el cuadro de dilogo Propiedades del servidor para nombre del sitio, en la ficha Servidores de directorios, haga clic en Agregar. En el cuadro de dilogo Agregar servidor de directorios, escriba el nombre para el servidor de directorios que desee agregar en el campo Nombre. En el cuadro de dilogo Agregar servidor de directorios, seleccione Active Directory o LDAP como Tipo de servidor. En el cuadro de dilogo Agregar servidor de directorios, escriba la direccin IP, el nombre de host o el nombre de dominio en el cuadro Nombre o direccin IP del servidor. Es necesario escribir la direccin IP, el nombre de host o el nombre de dominio del servidor de directorios que desee agregar.
701
Si agrega un servidor LDAP, escriba el nmero de puerto del servidor LDAP en el cuadro Puerto LDAP. No es posible modificar los valores si se agrega un servidor de Active Directory. La configuracin de puerto predeterminado es 389.
Si agrega un servidor LDAP, escriba LDAP BaseDN en el cuadro BaseDN LDAP. directorios en el cuadro Nombre de usuario.
10 Escriba el nombre de usuario de la cuenta autorizada del servidor de 11 Escriba la contrasea para la cuenta del servidor de directorios en el cuadro
Contrasea.
702
Captulo
29
Mantener la base de datos Cmo programar las copias de seguridad de base de datos automticas Cmo programar tareas de mantenimiento de base de datos automticas Exportar datos a un servidor Syslog Exportar datos de registro a un archivo de texto Exportar datos de registro a un archivo de texto delimitado por comas Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes Limpieza manual de datos del registro de la base de datos
704
Symantec Endpoint Protection Manager instala de forma automtica una base de datos integrada. La base de datos contiene informacin sobre las polticas de seguridad, valores de configuracin, datos de ataques, registros e informes. Una vez que se instala Symantec Endpoint Protection Manager, el servidor de administracin comienza a lentificarse despus de algunas semanas o algunos meses. Para mejorar el rendimiento del servidor de administracin, es posible que sea necesario reducir el espacio de almacenamiento de la base de datos y programar diversas tareas de mantenimiento de base de datos. Tabla 29-1 Tarea Descripcin Tareas de administracin de base de datos
Programar copias de Es necesario programar copias de seguridad de la base de datos regulares en caso de que la seguridad de base de base de datos resulte daada. datos regulares Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 707. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057. Opcionalmente, para evitar un barrido automtico de la base de datos hasta despus de que una copia de seguridad ocurra, se pueden barrer manualmente los datos de la base de datos. Ver "Limpieza manual de datos del registro de la base de datos" en la pgina 717. Programar tareas de Es posible acelerar el tiempo de interaccin entre el servidor de administracin y la base de mantenimiento de la datos programando tareas de mantenimiento de la base de datos. Es posible programar el base de datos servidor de administracin para realizar las tareas de mantenimiento siguientes de forma inmediata o para cuando los usuarios no estn en los equipos cliente.
Elimine los datos sin usar del registro de transacciones. Regenere los ndices de la tabla de la base de datos para mejorar las funcionalidades de orden y bsqueda de la base de datos.
Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708. Comprobar peridicamente el tamao del archivo de la base de datos Si usa la base de datos de Microsoft SQL Server en lugar de la base de datos integrada, asegrese de que la base de datos no alcance el tamao de archivo mximo. Ver "Cmo aumentar el tamao del archivo de la base de datos de Microsoft SQL Server" en la pgina 710.
705
Tarea
Descripcin
Calcular el espacio de Antes de decidir cmo reducir la cantidad de espacio de almacenamiento, calcule la cantidad almacenamiento de de espacio libre en disco total que se necesita. la base de datos que El almacenamiento de la base de datos se basa en los factores siguientes: se necesita Tamao del registro y perodo de caducidad.
Cantidad de equipos cliente. Cantidad promedio de virus por mes. Cantidad de eventos que es necesario conservar para cada registro.
Cantidad de actualizaciones de contenido. Las actualizaciones de contenido necesitan cerca de 300 MB cada una. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562. Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561. Cantidad de versiones de los clientes que es necesario conservar para cada idioma. Por ejemplo, su red puede tener clientes de 32 bits y clientes de 64 bits. Cantidad de copias de seguridad que es necesario guardar. El tamao de la copia de seguridad es aproximadamente el 75% del tamao de la base de datos, multiplicado por el nmero de copias de seguridad que se guarde. Para obtener ms informacin sobre cmo calcular el espacio en el disco duro que se necesita, consulte el white paper de SymantecRecomendaciones de tamao y elevacin para Symantec Endpoint Protection.
706
Tarea
Reducir el volumen de datos de registro
Descripcin
La base de datos recibe y almacena un flujo constante de entradas en sus archivos de registro. Es necesario administrar los datos que se almacenan en la base de datos de modo que los datos almacenados no consuman todo el espacio libre en el disco disponible. Si hay demasiados datos, pueden causar que el equipo en el cual se ejecuta la base de datos se bloquee. Es posible reducir el volumen de datos de registro realizando las siguientes tareas:
Cargue solamente algunos de los registros de los clientes en el servidor y cambie la frecuencia con la cual los registros de los clientes se cargan. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Especifique cuntas entradas de registro puede mantener el equipo cliente en la base de datos y cunto tiempo puede guardarlas. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Reduzca la cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos. Ver "Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes" en la pgina 716. Reduzca el nmero de clientes que cada servidor de administracin administra. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Reduzca la frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274.
Por motivos de seguridad, puede ser recomendable conservar la cantidad de registros por un perodo ms largo. Para mantener bajo el volumen de datos de registro, se pueden exportar los datos de registro a otro servidor. Ver "Exportar datos de registro a un archivo de texto" en la pgina 711. Ver "Exportar datos a un servidor Syslog" en la pgina 710.
Crear paquetes de instalacin del cliente con solamente la proteccin que se necesita
Cuantas ms funciones de proteccin se instalan con el cliente, ms espacio ocupa la informacin del cliente en la base de datos. Cree el paquete de instalacin de clientes con solamente el nivel apropiado de proteccin que el equipo cliente necesita. Cuanto ms grupos se agregan, ms espacio ocupa la informacin del cliente en la base de datos. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148.
Administracin de bases de datos Cmo programar las copias de seguridad de base de datos automticas
707
Tarea
Usar el Proveedor de actualizaciones de grupo para descargar el contenido
Descripcin
Si tiene poco ancho de banda o ms de 100 equipos cliente, use el Proveedor de actualizaciones de grupo para descargar el contenido. Por ejemplo, 2000 clientes que usan el Proveedor de actualizaciones de grupo son el equivalente de usar cuatro o cinco servidores de administracin para descargar el contenido. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Para reducir el espacio libre en disco y el tamao de la base de datos, puede reducir el nmero de revisiones de contenido que se mantiene en el servidor. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562.
Es posible recuperar una base de datos daada restaurando la base de datos en el mismo equipo en el cual fue instalada originalmente. Es posible instalar la base de datos en un diferente equipo. Ver "Cmo restaurar la base de datos" en la pgina 1058.
Ver "Cmo verificar la conexin con la base de datos" en la pgina 1073. La informacin de la base de datos se almacena en las tablas, tambin llamadas esquemas de base de datos. Puede ser recomendable el esquema para la elaboracin de informes especializada. Para obtener ms informacin, consulte la Referencia del esquema de la base de datos de Symantec Endpoint Protection Manager del sitio de la documentacin de Symantec Endpoint Protection.
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic en el icono que representa la base de datos de la que desea hacer copia de seguridad. En Tareas, haga clic en Editar propiedades de la base de datos.
708
Administracin de bases de datos Cmo programar tareas de mantenimiento de base de datos automticas
En el cuadro de dilogo Propiedades de la base de datos, en la ficha Configuracin de copia de seguridad, realice las siguientes tareas.
En la lista desplegable Servidor de copias de seguridad, especifique en qu servidor de administracin desea guardar la copia de seguridad. Seleccione Hacer copia de seguridad de registros si necesita guardar una copia de los registros con fines de seguridad o poltica de la compaa. De lo contrario, deje esta opcin deshabilitada, dado que los registros usan mucho espacio libre en el disco. Especifique el nmero de copias de seguridad si la poltica de empresa lo requiere.
5 6
Asegrese de que Programar copias de seguridad est seleccionado y configure la programacin. Haga clic en Aceptar.
Trunca el registro de transacciones. El registro de transacciones registra casi todos los cambios que ocurren dentro de la base de datos. El servidor de administracin elimina datos sin usar del registro de transacciones. Regenera el ndice. El servidor de administracin desfragmenta los ndices de la tabla de la base de datos para mejorar el tiempo que se tarda en ordenar y buscar en la base de datos.
De forma predeterminada, el servidor de administracin realiza estas tareas segn una programacin. Es posible realizar las tareas de mantenimiento de forma inmediata o ajustar la programacin para cuando los usuarios no estn en sus equipos.
Administracin de bases de datos Cmo programar tareas de mantenimiento de base de datos automticas
709
Nota: Es posible tambin realizar las tareas de mantenimiento de base de datos en Microsoft SQL Server Management Studio. Sin embargo, es necesario realizar estas tareas en Symantec Endpoint Protection Manager o Management Studio, pero no en ambos. Consulte el artculo de la base de conocimientos: Creacin de planes de mantenimiento de la base de datos en MS SQL Server 2005 con SQL Server Integration Services (SSIS). Para ejecutar las tareas de mantenimiento de base de datos cuando lo necesite
1 2 3
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el icono que representa la base de datos. En Tareas, seleccione cualquiera de las siguientes opciones:
4 5
Haga clic en Ejecutar. Una vez que la tarea se completa, haga clic en Cerrar.
Para programar tareas de mantenimiento de base de datos para que se ejecuten de forma automtica
1 2 3 4
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el icono que representa la base de datos. En Tareas, haga clic en Editar propiedades de la base de datos. En la ficha General, seleccione cualquiera de las siguientes opciones o ambas, despus haga clic en Programar tarea y especifique la programacin para cada tarea.
Truncar los registros de transacciones de la base de datos. La programacin predeterminada para esta tarea es cada cuatro horas. Regenerar ndices. La programacin predeterminada para esta tarea es cada domingo a las 2:00.
Advertencia: Si realiza estas tareas en el SQL Server Management Studio, anule la seleccin de estas opciones. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 707.
710
Cmo aumentar el tamao del archivo de la base de datos de Microsoft SQL Server
Si usa la base de datos de Microsoft SQL Server, compruebe peridicamente el tamao de la base de datos para asegurarse de que la base de datos no alcance su tamao mximo. Si se puede, aumente el tamao mximo que la base de datos de Microsoft SQL Server puede tener. Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708. Para aumentar el tamao de la base de datos de Microsoft SQL Server
En el servidor de administracin, localice la ruta de instalacin para Microsoft SQL Server. La ruta predeterminada es C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data.
2 3 4 5 6
Expanda la carpeta Datos, haga clic con el botn derecho en sem5 y haga clic en Propiedades. En el cuadro de dilogo Propiedades de base de datos, seleccione Archivos. En Archivos de base de datos, seleccione sem5_log1 y desplcese hacia la derecha para ver la columna Crecimiento automtico. En la columna Crecimiento automtico, haga clic en el botn de . En el cuadro de dilogo Cambiar crecimiento automtico para sem5_log1, haga clic en No limitar el crecimiento de los archivos y despus haga clic en Aceptar. Haga clic en Aceptar.
1 2
711
3 4 5 6
Haga clic en el sitio local o el sitio remoto desde el cual desee exportar datos de registro. Haga clic en Configurar el registro externo. En la ficha General, en el cuadro de lista Frecuencia de actualizacin, seleccione la frecuencia con la que desea enviar los datos de registro al archivo. En el cuadro de lista Servidor de registro maestro, seleccione el servidor de administracin al que desea enviar los registros. Si usa SQL Server y conecta varios servidores de administracin a la base de datos, especifique a solamente un servidor como servidor de registro maestro.
7 8
Servidor Syslog Especifique la direccin IP o el nombre de dominio del servidor Syslog que recibir los datos de registro. Puerto de destino Seleccione el protocolo para usar y escriba el puerto de destino que el servidor Syslog usa para escuchar mensajes de Syslog. Recurso de registro Escriba el nmero del recurso de registro que desea que use el archivo de configuracin Syslog o use la opcin predeterminada. Los valores vlidos van de 0 a 23.
712
La Tabla 29-2 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados. Los nombres de registro no corresponden uno a uno con los nombres de registro que se usan en la ficha Registros de la pgina Supervisin. Tabla 29-2 Nombres de archivos de texto del registro para Symantec Endpoint Protection Nombre de archivo de texto
scm_admin.log agt_behavior.log scm_agent_act.log scm_policy.log scm_system.log agt_packet.log agt_proactive.log agt_risk.log agt_scan.log agt_security.log agt_system.log agt_traffic.log
Datos de registro
Administracin de servidor Control de aplicaciones y dispositivos Cliente de servidor Poltica de servidor Sistema de servidor Paquete cliente Amenaza proactiva del cliente Riesgos del cliente Anlisis de clientes Seguridad del cliente Sistema del cliente Trfico del cliente
La Tabla 29-3 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados para los registros de Enforcer. Tabla 29-3 Datos de registro
Actividades de Enforcer del servidor Actividad del cliente Enforcer Sistema de Enforcer Trfico de Enforcer
Nombres de archivo de texto de registro para registros Enforcer Nombre de archivo de texto
scm_enforcer_act.log enf_client_act.log enf_system.log enf_traffic.log
713
Nota: Cuando se exporta a un archivo de texto, el nmero de registros exportados puede ser distinto del nmero que se establece en el cuadro de dilogo Registro externo. Esta situacin se presenta cuando se reinicia el servidor de administracin. Despus de reiniciar el servidor de administracin, la cantidad de entradas de registro se restablece a cero, pero ya puede haber entradas en los archivos de registro temporales. En esta situacin, el primer archivo *.log de cada tipo que se genera despus del reinicio contiene ms entradas que el valor especificado. Cualquier archivo de registro que se exporte posteriormente contiene el nmero correcto de entradas. Para exportar datos de registro al archivo de texto
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o en el sitio remoto para el que desee configurar el registro externo. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. En el cuadro de lista Servidor de registro maestro, seleccione el servidor al que desee enviar registros. Si utiliza Microsoft SQL con ms de un servidor de administracin conectado a la base de datos, solo necesita un servidor como Servidor de registro maestro.
7 8
Active Exportar registros a un archivo de volcado. Si es necesario, active Limitar registros de archivos de volcado y escriba el nmero de entradas que se quieran enviar al mismo tiempo al archivo de texto. En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si el tipo de registro seleccionado permite definir el nivel de gravedad, debe activar los niveles de gravedad que desea exportar.
714
Administracin de bases de datos Exportar datos de registro a un archivo de texto delimitado por comas
1 2 3 4 5 6 7
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro que desea exportar. Haga clic en Ver registro. Haga clic en Exportar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar. Especifique el nombre del archivo y la ubicacin, y haga clic en Guardar. Haga clic en Cerrar.
Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin
La poltica de la compaa requerir un aumento del tiempo y del tipo de eventos de registro que conserva la base de datos. Es posible especificar el nmero de entradas almacenadas en los registros y el nmero de das que cada entrada se conserva en el cliente. Es posible configurar si desea cargar o no cada tipo de registro de clientes al servidor y el tamao mximo de las cargas. Si elige no cargar los registros de clientes, las consecuencias sern las siguientes:
No es posible ver los datos de registro del cliente desde la consola de Symantec Endpoint Protection Manager usando la ficha Registros en la pgina Supervisin. No es posible hacer copias de seguridad de los registros de clientes cuando se realiza una copia de seguridad de la base de datos. No es posible exportar los datos de registro de clientes a un archivo o a un servidor de registros centralizado.
Administracin de bases de datos Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos
715
Nota: Una cierta configuracin de registro del cliente es especfica del grupo y algunas se configuran en la poltica de proteccin antivirus y antispyware que se puede aplicar a una ubicacin. Si desea que todas las opciones de configuracin de registro del cliente remoto y de registro de cliente de oficina se diferencien, debe usar grupos en lugar de ubicaciones para administrar clientes remotos. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Para especificar del tamao de registro del cliente y registros para cargar al servidor de administracin
1 2 3
En la consola, haga clic en Clientes y seleccione un grupo. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin de registros de clientes. En el cuadro de dilogo Configuracin de registros de clientes para nombre de grupo, configure el tamao mximo del archivo y el nmero de das que se deben conservar las entradas de registro. Active Cargar en servidor de administracin para los registros que desee que los clientes reenven al servidor. Para el registro de Seguridad y el registro de Trfico, configure el perodo atenuador y el perodo de reduccin inactivo. Esta configuracin determina la frecuencia con la que se agregan los eventos de Proteccin contra amenazas de red.
4 5
Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos
Para ayudar a controlar el espacio en el disco duro, puede disminuir el nmero de entradas de registro que la base de datos guarde. Es posible adems configurar el nmero de das que se guardan las entradas. Nota: La informacin del registro en la ficha consola de Symantec Endpoint Protection Manager Registros en la pgina Supervisin se presenta en los grupos lgicos para que usted los vea. Los nombres del registro en la ficha Configuracin del registro de las propiedades del sitio corresponden al contenido del registro en lugar de los tipos de registro en la ficha Registros de la pgina Supervisin.
716
Administracin de bases de datos Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes
Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Para especificar el perodo de tiempo para mantener entradas de registro en la base de datos
1 2 3 4
En la consola, haga clic en Administrador. En Servidores, expanda Sitio local y haga clic en la base de datos. En Tareas, haga clic en Editar propiedades de la base de datos. En la ficha Configuracin del registro, configure el nmero de entradas y el nmero de das para guardar las entradas de registro para cada tipo de registro. Haga clic en Aceptar.
Administracin de bases de datos Limpieza manual de datos del registro de la base de datos
717
Tabla 29-4
MinDataFreeSpace
Especifica la cantidad de espacio mnima que se debe mantener libre en este directorio. Esta clave es til para asegurarse de que otras aplicaciones que utilizan el mismo directorio tengan suficiente espacio para ejecutarse sin afectar el rendimiento. El valor predeterminado es 0.
IntervalOfInboxSpaceChecking Especifica cunto tiempo el servidor de administracin espera antes de que compruebe la cantidad de espacio en la bandeja de entrada que est disponible para los datos de registro. El valor predeterminado es 30 segundos.
718
Administracin de bases de datos Limpieza manual de datos del registro de la base de datos
1 2 3
Para impedir el borrado automtico de la base de datos hasta despus de crear una copia de seguridad, aumente el tamao del registro del sitio al mximo. Realice la copia de seguridad, segn corresponda. En el equipo donde est instalado el administrador, abra un navegador Web y escriba la siguiente URL: https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action =SweepLogs Cuando haya realizado esta tarea, las entradas de registro para todos los tipos de registros se guardan en la tabla de base de datos alterna. La tabla original se guarda hasta que se inicie el siguiente barrido.
Para vaciar todo excepto las entradas ms actuales, realice un segundo barrido. Se borra la tabla original y las entradas comienzan a almacenarse all de nuevo. Vuelva la configuracin en la ficha Configuracin del registro del cuadro de dilogo Propiedades del sitio a su configuracin preferida.
Captulo
30
Cmo configurar la conmutacin por error y el balanceo de carga Acerca de la conmutacin por error y el balanceo de carga Configuracin de una lista de servidores de administracin Asignar una lista de servidores de administracin a un grupo y a una ubicacin
720
Administracin de la conmutacin por error y el balanceo de carga Acerca de la conmutacin por error y el balanceo de carga
La Tabla 30-1 enumera las tareas que necesita realizar para configurar la conmutacin por error y el balanceo de carga. Tabla 30-1 Proceso para configurar la conmutacin por error y el balanceo de carga Descripcin
Tareas
Leer sobre Es necesario comprender si es necesario configurar una conmutacin por error conmutacin por error y los valores de balanceo de carga y cundo y balanceo de carga. debe hacerse. Ver "Acerca de la conmutacin por error y el balanceo de carga" en la pgina 720. Agregar servidores de administracin a una lista de servidores de administracin. Es posible usar la lista de servidores de administracin predeterminada o agregar los servidores de administracin a una nueva lista de servidores de administracin. Una lista de servidores de administracin incluye las direcciones IP o los nombres del host de los servidores de administracin a los cuales los clientes y los Enforcers pueden conectarse. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Asignar la lista de servidores de administracin personalizada a un grupo. Una vez que haya creado una lista de servidores de administracin personalizada, debe asignar la lista de servidores de administracin a un grupo. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 724.
Reparar problemas de Si el servidor de administracin se desconecta o el servidor de comunicacin con el administracin y el cliente no se comunican, debe tambin servidor de solucionar el problema. administracin. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062.
Administracin de la conmutacin por error y el balanceo de carga Acerca de la conmutacin por error y el balanceo de carga
721
Una lista de servidores de administracin es una lista prioritaria de servidores de administracin que es asignada a un grupo. Es necesario agregar por lo menos dos servidores de administracin a un sitio para distribuir automticamente la carga entre ellos. Es posible instalar ms servidores de administracin que los necesarios para administrar sus clientes y protegerlos contra el error de un servidor de administracin individual. En una lista de servidores de administracin personalizada, cada servidor es asignado a un nivel de prioridad. Un cliente que viene a la red selecciona un servidor de prioridad uno para conectarse al azar. Si el primer servidor que prueba no est disponible y hay otros servidores de prioridad uno en la lista, intenta aleatoriamente conectarse a otro. Si no hay ningn servidor de prioridad uno disponible, el cliente intenta conectarse a uno de los servidores de prioridad dos en la lista. Este mtodo de distribuir las conexiones de los clientes distribuye aleatoriamente la carga del cliente entre sus servidores de administracin. La Figura 30-1 muestra los componentes en diversas subredes. Los servidores de administracin y los servidores de base de datos pueden estar en las mismas subredes. Los servidores se identifican con los nmeros 1 y 2, lo que significa una configuracin de conmutacin por error. Figura 30-1 Configuracin de la conmutacin por error
Clientes
722
Administracin de la conmutacin por error y el balanceo de carga Configuracin de una lista de servidores de administracin
En una configuracin de conmutacin por error, todos los clientes envan trfico al servidor 1 y reciben trfico de este. Si el servidor 1 se desconecta, todos los clientes envan el trfico al servidor 2 y lo reciben de este hasta que el servidor 1 vuelve a estar en lnea. La base de datos se ilustra como instalacin remota, pero adems se puede instalar en un equipo que ejecute Symantec Endpoint Protection Manager. Es posible tambin que desee considerar la conmutacin por error para las actualizaciones de contenido, si se propone usar servidores locales. Todos los componentes que ejecutan LiveUpdate pueden adems usar una lista prioritaria de orgenes de actualizaciones. Sus servidores de administracin pueden usar un servidor y una conmutacin por error local de LiveUpdate para los servidores de LiveUpdate en otras ubicaciones fsicas. Nota: El uso de los servidores internos de LiveUpdate, de los proveedores de actualizaciones de grupo y de la replicacin del sitio no proporciona verdaderas funcionalidades de alta disponibilidad, conmutacin por error, recuperacin despus de un desastre ni balanceo de carga. No es necesario configurar varios sitios para el balanceo de carga. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Determinacin de los sitios que necesita" en la pgina 176. Para obtener ms informacin sobre trabajos de creacin de clsters de conmutacin por error y de balanceo de carga, consulte el artculo de la base de conocimientos: Acerca del balanceo de carga y la creacin de clsters de conmutacin por error en Symantec Endpoint Protection.
Habilite el DNS y ponga un nombre de dominio como la nica entrada en una lista de servidores de administracin personalizada.
Administracin de la conmutacin por error y el balanceo de carga Configuracin de una lista de servidores de administracin
723
Habilite la funcin de reconocimiento de la ubicacin de Symantec Endpoint Protection y use una lista de servidores de administracin personalizada para cada ubicacin. Cree por lo menos una ubicacin para cada uno de sus sitios. Use un dispositivo de hardware que proporcione conmutacin por error o balanceo de carga. Muchos de estos dispositivos adems ofrecen una configuracin para el uso mvil.
Ver "Acerca de la conmutacin por error y el balanceo de carga" en la pgina 720. Para configurar una lista de servidores de administracin
1 2 3 4 5
En la consola, haga clic en Polticas. Expanda Componentes de polticas y haga clic en Listas de servidores de administracin. En Tareas, haga clic en Agregar una lista de servidores de administracin. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Agregar > Nuevo servidor. En el cuadro de dilogo Agregar servidor de administracin, en el cuadro Direccin del servidor, escriba el nombre de dominio completo o la direccin IP de un servidor de administracin o de Enforcer. Si escribe una direccin IP, asegrese de que sea esttica y de que todos los clientes pueden resolverla.
6 7 8 9
Haga clic en Aceptar. Agregue cualquier servidor adicional. Para configurar el balanceo de carga con otro servidor de administracin, haga clic en Agregar > Nueva prioridad. Para cambiar la prioridad de un servidor para el balanceo de carga, seleccione un servidor y, a continuacin, realice una de las siguientes las tareas:
Para obtener clientes para conectarse a ese servidor determinado primero, haga clic en Subir. Para otorgar al servidor una prioridad ms baja, haga clic en Bajar.
724
Administracin de la conmutacin por error y el balanceo de carga Asignar una lista de servidores de administracin a un grupo y a una ubicacin
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, expanda Componentes de polticas y haga clic en Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desea asignar. En Tareas, haga clic en Asignar la lista. En el cuadro de dilogo Aplicar lista de servidores de administracin, marque los grupos y las ubicaciones a las que desee aplicar la lista de servidores de administracin. Haga clic en Asignar. Haga clic en S.
6 7
Para asignar una lista de servidores de administracin a un grupo o la ubicacin en la pgina Clientes
1 2
En la consola, haga clic en Clientes > Polticas. En la ficha Polticas, seleccione el grupo y anule la seleccin de Heredar polticas y configuracin del grupo principal. No es posible configurar ninguna opcin de comunicacin para un grupo a menos que el grupo ya no herede polticas y configuracin de un grupo principal.
Administracin de la conmutacin por error y el balanceo de carga Asignar una lista de servidores de administracin a un grupo y a una ubicacin
725
En el cuadro de dilogo Configuracin de la comunicacin para nombre del grupo, en Lista de servidores de administracin, seleccione la lista de servidores de administracin. El grupo seleccionado utiliza esta lista de servidores de administracin al comunicarse con el servidor de administracin.
726
Administracin de la conmutacin por error y el balanceo de carga Asignar una lista de servidores de administracin a un grupo y a una ubicacin
Captulo
31
Preparacin para la recuperacin despus de un desastre Hacer copia de seguridad de la base de datos y los registros
728
Preparacin para la recuperacin despus de un desastre Preparacin para la recuperacin despus de un desastre
Tabla 31-1
Pasos de alto nivel necesarios para prepararse para la recuperacin despus de un desastre Descripcin
Paso
Paso 1
Accin
Hacer copia de seguridad de la base de datos Haga copia de seguridad de la base de datos de forma regular, preferiblemente por semana. La carpeta de copias de seguridad de la base de datos se guarda en Unidad: \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. El archivo de copia de seguridad se denomina fecha_marca de hora.zip. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729.
Paso 2
El archivo de recuperacin incluye la contrasea de cifrado, el Id. de dominio de los archivos del almacn de claves, los archivos de certificado, los archivos de licencia y los nmeros de puerto. Una vez que instale el servidor de administracin, copie el archivo de recuperacin comprimido a otro equipo. De forma predeterminada, el archivo se encuentra en el siguiente directorio: Unidad:\\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup\recovery_marca de hora.zip El archivo de recuperacin almacena solamente el Id. de dominio predeterminado. Si tiene dominios varios, el archivo de recuperacin no almacena esa informacin. Si es necesario realizar la recuperacin despus de un desastre, se debe volver a agregar dominios adicionales. Ver "Adicin de un dominio" en la pgina 645. Si actualiza el certificado autofirmado a otro tipo de certificado, el servidor de administracin crea un nuevo archivo de recuperacin. Como el archivo de recuperacin tiene una marca de fecha, se puede decir qu archivo es el ltimo archivo. Ver "Actualizar un certificado de servidor" en la pgina 683.
Preparacin para la recuperacin despus de un desastre Hacer copia de seguridad de la base de datos y los registros
729
Paso
Paso 3
Accin
Descripcin
Guarde la direccin IP y el nombre del host Si se produce un error de hardware catastrfico, deber del servidor de administracin en un archivo reinstalar el servidor de administracin y usar la direccin de texto (opcional). IP y el nombre del host del servidor de administracin original. Agregue la direccin IP y el nombre del host a un archivo de texto que se llame Backup.txt.
Paso 4
Copie los archivos de los que usted hizo copia Copie los archivos incluidos en copias de seguridad en un de seguridad de en los pasos anteriores en equipo en una ubicacin segura. otro equipo.
Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057. Ver "Hacer copias de seguridad de los archivos de licencia" en la pgina 122. Consulte el artculo de la base de conocimientos llamado Prcticas recomendadas para la recuperacin despus de un desastre con Symantec Endpoint Protection Manager.
730
Preparacin para la recuperacin despus de un desastre Hacer copia de seguridad de la base de datos y los registros
datos, pero los registros de la base de datos estn vacos de datos cuando se restauran. Es posible conservar hasta 10 versiones de las copias de seguridad del sitio. Debe asegurarse de tener el espacio libre en el disco adecuado para guardar todos los datos si se elige guardar varias versiones. La copia de seguridad de la base de datos puede tardar varios minutos para completarse. Es posible comprobar el Registro del sistema y la carpeta de copias de seguridad para conocer el estado durante la copia de seguridad y despus de ella. Es posible hacer copia de seguridad de la base de datos de forma inmediata o programar la copia de seguridad para hacerla de forma automtica. Es posible hacer copia de seguridad de una base de datos integrada o una base de datos de Microsoft SQL Server que se configure como la base de datos de Symantec Endpoint Protection Manager. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 707. Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. Para hacer copia de seguridad de la base de datos y los registros
En el equipo que ejecuta Symantec Endpoint Protection Manager, en el men Inicio, haga clic en Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Tools > Database Back Up and Restore. En el cuadro de dilogo Database Back Up and Restore, haga clic en Copia de seguridad. En el cuadro de dilogo Hacer copia de seguridad de la base de datos, seleccione la opcin Registros de copias de seguridad y despus haga clic en S. Haga clic en Aceptar. Cuando finalice la copia de seguridad de la base de datos, haga clic en Salir. Copie el archivo de la base de datos de copias de seguridad a otro equipo.
2 3
4 5 6
Para hacer copia de seguridad de la base de datos y los registros dentro de la consola
1 2 3
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el icono que representa la base de datos. En Tareas, haga clic en Hacer copia de seguridad de la base de datos ahora.
Preparacin para la recuperacin despus de un desastre Hacer copia de seguridad de la base de datos y los registros
731
En el cuadro de dilogo Hacer copia de seguridad de la base de datos, seleccione la opcin Registros de copias de seguridad y despus haga clic en S. Haga clic en Aceptar. Haga clic en Cerrar.
5 6
732
Preparacin para la recuperacin despus de un desastre Hacer copia de seguridad de la base de datos y los registros
Seccin
Captulo 32. Introduccin de Symantec Network Access Control Captulo 33. Utilizacin de Symantec Network Access Control Captulo 34. Configuracin de la integridad del host Captulo 35. Adicin de requisitos personalizados Captulo 36. Introduccin de los dispositivos Symantec Network Access Control Enforcer Captulo 37. Instalacin de todos los tipos de dispositivos Enforcer Captulo 38. Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Captulo 39. Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer
734
Captulo 40. Planificacin para la instalacin del dispositivo Gateway Enforcer Captulo 41. Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Captulo 42. Planificacin de la instalacin de un dispositivo LAN Enforcer Captulo 43. Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Captulo 44. Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Captulo 45. Presentacin de los dispositivos Symantec Integrated Enforcer Captulo 46. Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Captulo 47. Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Captulo 48. Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Captulo 49. Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Captulo 50. Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Captulo 51. Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Captulo 52. Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control
Captulo
32
Acerca de Symantec Network Access Control Acerca de los tipos de aplicacin en Symantec Network Access Control Cmo funciona Symantec Network Access Control Cmo funciona la aplicacin automtica Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host Cmo funciona el dispositivo Gateway Enforcer Cmo funciona el dispositivo LAN Enforcer Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS) Cmo funciona On-Demand Client
736
Introduccin de Symantec Network Access Control Acerca de los tipos de aplicacin en Symantec Network Access Control
datos puede dar lugar a tiempo de inactividad y a prdidas financieras que se asocian a productividad perdida. Para evitar estas prdidas, Symantec Network Access Control controla el acceso en el sitio y remoto a los recursos de red corporativa. Symantec Network Access Control proporciona una completa solucin de control de acceso a la red de punta a punta. Symantec Network Access Control usa una poltica de integridad del host y un Symantec Enforcer opcional para detectar y para evaluar qu equipos son compatibles. Los clientes que no cumplen las polticas son dirigidos a un servidor de reparacin. El servidor de reparacin descarga, entre otros elementos, software, parches y actualizaciones de definiciones de virus necesarios para lograr que el equipo cliente cumpla con las polticas. Symantec Network Access Control adems supervisa continuamente los cambios de los endpoints en el estado de cumplimiento. Symantec Network Access Control es un producto que acompaa a Symantec Endpoint Protection. Ambos productos incluyen Symantec Endpoint Protection Manager, que proporciona la infraestructura para instalar y para administrar los clientes de Symantec Network Access Control y Symantec Endpoint Protection. Ver "Acerca de Symantec Endpoint Protection" en la pgina 41. Ver "Acerca de los tipos de aplicacin en Symantec Network Access Control" en la pgina 736. Ver "Cmo funciona la aplicacin automtica" en la pgina 739.
Introduccin de Symantec Network Access Control Acerca de los tipos de aplicacin en Symantec Network Access Control
737
Tabla 32-1
Tipo de aplicacin
Aplicacin automtica Permite que los equipos cliente obtengan y ejecuten el software basada en host que necesitan para reparar automticamente los errores de cumplimiento. Cuando se repara el equipo cliente, este puede acceder con seguridad a la red. La aplicacin basada en host usa el firewall del equipo de escritorio de Symantec para permitir o bloquear el acceso. El firewall se incluye como parte del producto Symantec Endpoint Protection. La aplicacin basada en host incluye los siguientes mtodos: La autoaplicacin usa el firewall de escritorio de Symantec para controlar el acceso a la red, proporcionar la opcin ms fcil y ms rpida para implementar la aplicacin. Es posible implementar la autoaplicacin ms fcil si la organizacin ha implementado ya el producto de Symantec Endpoint Protection. La aplicacin de punto a punto asegura que la comunicacin de cliente a cliente ocurra solamente entre los equipos de la compaa y los equipos que cumplen con las polticas fuera de la compaa. Los equipos que cumplen con las polticas tienen la ltima poltica de seguridad de la compaa.
Ver "Acerca de la reparacin de integridad del host" en la pgina 772. Aplicacin basada en redes Usa los dispositivos de Symantec Enforcer y los Enforcers del software integrado para permitirle controlar el acceso a la red. La aplicacin basada en redes autentica y permite el acceso a la red solamente a los clientes que cumplen los requisitos en la poltica de integridad del host. La aplicacin basada en redes adems comprueba que la poltica sea actual. Adems, si la implementacin incluye un dispositivo Gateway Enforcer, puede permitir que los invitados sin software en cumplimiento accedan a la red temporalmente. Estos dispositivos Enforcer permiten que los invitados accedan al instalar clientes bajo demanda en los equipos invitados y eliminarlos cuando los invitados terminan la sesin. Los accesos de invitado funcionan con clientes de Windows y Mac. Necesita un dispositivo Enforcer.
Ver "Cmo funciona Symantec Network Access Control" en la pgina 738. Ver "Cmo implementar Symantec Network Access Control" en la pgina 754.
738
Introduccin de Symantec Network Access Control Cmo funciona Symantec Network Access Control
Paso Accin
1
Detecta todos los El endpoint se conecta a la red. Enforcer determina la intentos de acceso a su configuracin del endpoint. red. Se comprueba el cumplimiento de la configuracin en comparacin con la poltica. Comprueba que todos los equipos cliente que accedan a su red cumplan con los requisitos de su poltica de seguridad.
Tome medidas en Para los equipos cliente que no cumplen con los requisitos, funcin en el resultado un dispositivo Enforcer: del anlisis de Repara descargando, instalando y ejecutando el software polticas. que se necesita. Permite el acceso limitado.
Supervisa el endpoint Supervisa y elabora informes sobre dispositivos Enforcer, para asegurar el trfico del sistema y estado del cumplimiento. cumplimiento continuo.
La Figura 32-1 muestra cmo Symantec Endpoint Protection Manager impone la poltica de seguridad en un equipo cliente administrado.
739
Figura 32-1
Ver "Cmo funciona la aplicacin automtica" en la pgina 739. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745. Ver "Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 747. Ver "Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)" en la pgina 749. Ver "Cmo funciona On-Demand Client" en la pgina 749.
740
descargar e instalar el software necesario. El software puede incluir una revisin del software, una correccin, una actualizacin de definiciones de virus y ms. El cliente puede dar al usuario la opcin de descargar inmediatamente o de posponer una descarga. La poltica se puede configurar para que el equipo no se pueda conectar a la red empresarial hasta que el software est instalado. Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758. Cada vez que un cliente recibe una nueva poltica de seguridad, ejecuta inmediatamente otra comprobacin de integridad del host. El cliente se puede configurar para descargar y para instalar automticamente las polticas de integridad del host predefinidas o personalizadas ms actuales desde Symantec Endpoint Protection Manager. Si el cliente no puede conectarse a la consola, el cliente On-Demand de Windows o Mac obtiene la poltica de integridad del host del dispositivo Enforcer cuando se descarga por primera vez. Despus de eso, consigue la poltica de integridad del host desde Symantec Endpoint Protection Manager. Es posible considerar algunos de los ejemplos siguientes cuando se configuran los requisitos para el cumplimiento de la integridad del host:
El cliente ejecuta el software antivirus actualizado. Se realiza la comprobacin de integridad del host solamente cuando el cliente intenta conectarse a la red mediante Enforcer. La comprobacin activa las acciones que ocurren silenciosamente en el cliente.
Es posible tambin utilizar Enforcer para hacer cumplir estas polticas. Enforcer es una aplicacin de software o un dispositivo opcional de hardware que media la conectividad del cliente con la red. La mayora de los ejemplos siguientes muestran el uso de Enforcer. Enforcer se puede configurar para que automticamente haga lo siguiente:
Verificar que un cliente se haya instalado en el equipo de un usuario. Solicitar a un cliente descargar polticas de seguridad actualizadas, si estn disponibles. Incite al cliente a ejecutar la comprobacin de integridad del host.
El cliente primero verifica que el software antivirus ms reciente est instalado y lo ejecuta. Si se ha instalado pero no se est ejecutando, el cliente inicia silenciosamente la aplicacin antivirus. Si no est instalado, el cliente descarga el software desde la URL que se especifica en el requisito de integridad del host. Despus, el cliente instala e inicia el software.
Introduccin de Symantec Network Access Control Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host
741
A continuacin, el cliente verifica que los archivos de firmas del antivirus sean actuales. Si los archivos del antivirus no son actuales, el cliente extrae e instala silenciosamente los archivos actualizados. El cliente ejecuta la comprobacin de integridad del host de nuevo y la aprueba. Enforcer recibe los resultados y concede el acceso del cliente a la red de la empresa. En este ejemplo, deben cumplirse los siguientes requisitos:
El servidor de archivos que se utiliza para las actualizaciones de integridad del host tiene los ltimos archivos instalados. El cliente obtiene aplicaciones actualizadas del servidor de archivos. Es posible configurar uno o ms servidores de reparacin que se conecten a la red de la empresa. Desde los servidores de reparacin, los usuarios pueden copiar o descargar automticamente las revisiones y las correcciones necesarias para cualquier aplicacin obligatoria. Si un servidor de reparacin falla, la reparacin de integridad del host tambin fallar. Si el cliente intenta conectarse mediante Enforcer, este bloquea el cliente si la integridad del host falla. Si el cliente est conectado a Symantec Endpoint Protection Manager, se puede configurar la consola para pasar la comprobacin de integridad del host aunque la comprobacin falle. En este caso, Enforcer puede bloquear al cliente. La informacin sobre la comprobacin de integridad del host con fallas se asienta en el registro de seguridad del cliente. El servidor de administracin debe configurarse para enviar las actualizaciones de la poltica de seguridad automticamente a cualquier equipo que ejecute el cliente.
Si Enforcer bloquea al cliente, el cliente intenta recuperarse. La poltica de integridad del host se configura para actualizar los archivos antes de permitir al cliente conectarse a la red. A continuacin, se notifica al usuario que una actualizacin necesita ser proporcionada. Un indicador de progreso para la actualizacin sigue a la actualizacin. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host
Las polticas de seguridad que todos los dispositivos Enforcer ordenan a los clientes de Symantec Network Access Control o Symantec Endpoint Protection que ejecuten en los equipos cliente se llaman polticas de integridad del host. Se crean y
742
Introduccin de Symantec Network Access Control Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host
administran las polticas de integridad del host en la consola de Symantec Endpoint Protection Manager. Las polticas de integridad del host especifican el software que debe ejecutarse en un cliente. Por ejemplo, es posible especificar que el siguiente software de seguridad que se encuentra en un equipo cliente debe cumplir ciertos requisitos:
Cuando un cliente intenta conectarse a la red, ejecuta una comprobacin de integridad del host. A continuacin, enva los resultados a un dispositivo Enforcer. Es posible configurar clientes para que ejecuten comprobaciones de integridad del host en varios momentos. Tpicamente, el dispositivo Enforcer est configurado para verificar que el cliente aprueba la comprobacin de integridad del host antes de conceder acceso a la red al cliente. Si el cliente aprueba la comprobacin de integridad del host, cumple con la poltica de integridad del host en su compaa. Sin embargo, cada tipo de dispositivo Enforcer define los criterios de acceso de red de forma diferente. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
Introduccin de Symantec Network Access Control Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host
743
comunicacin con un servidor de administracin, puede conectarse a otro servidor de administracin que se incluya en la lista de servidores de administracin. Si se reinicia el dispositivo Enforcer, este utiliza la lista de servidores de administracin para restablecer una conexin a un servidor de administracin. Cuando un cliente intenta conectarse a la red a travs del dispositivo Enforcer, el dispositivo Enforcer autentica el identificador nico global (GUID) del cliente. El dispositivo Enforcer enva el GUID al servidor de administracin y recibe una respuesta de aceptacin o de rechazo. Si un dispositivo Enforcer se configura para autenticar el GUID, puede extraer la informacin del servidor de administracin. El dispositivo Enforcer puede entonces determinar si el perfil del cliente se ha actualizado con las ltimas polticas de seguridad. Si la informacin del cliente cambia en el servidor de administracin, el servidor de administracin puede enviar la informacin al dispositivo Enforcer. El dispositivo Enforcer puede realizar de nuevo la autenticacin de hosts en el cliente. Ver "Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager" en la pgina 839. Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891.
744
Introduccin de Symantec Network Access Control Cmo funciona el dispositivo Gateway Enforcer
El dispositivo Enforcer necesita ejecutarse siempre; si no los clientes que intentan conectarse a la red corporativa pueden ser bloqueados. Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
El dispositivo Gateway Enforcer comprueba la existencia de informacin del cliente y la verifica que el cliente haya aprobado la comprobacin de integridad del host. Ver "Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host" en la pgina 741. Si el cliente satisface los requisitos para el acceso, el dispositivo Gateway Enforcer lo conecta a la red. Si un cliente no satisface los requisitos para el acceso, se puede configurar el dispositivo Gateway Enforcer para que realice las siguientes acciones:
Supervisar y registrar determinados eventos. Bloquear usuarios si falla la comprobacin de integridad del host. Mostrar un mensaje emergente en el cliente. Proporcionar al cliente acceso limitado a la red a fin de permitir el uso de recursos de red para la reparacin. Para proporcionar acceso limitado, se reorientan solicitudes HTTP del cliente a un servidor web con la informacin de reparacin. Por ejemplo, este servidor web puede incluir instrucciones sobre dnde obtener software de reparacin. O puede permitir que el cliente descargue el software del cliente Symantec Network Access Control.
Permitir que el cliente acceda a la red aunque no haya aprobado la comprobacin de integridad del host. El dispositivo Gateway Enforcer tiene las funcionalidades de configuracin opcionales siguientes:
Permite que los equipos cliente con direcciones IP de confianza accedan a la red de forma inmediata.
Introduccin de Symantec Network Access Control Cmo funciona el dispositivo LAN Enforcer
745
Es posible configurar qu direcciones IP de clientes comprobar y qu direcciones IP son de confianza. Se concede a los clientes con direcciones IP de confianza el acceso sin la autenticacin adicional. Permite a los equipos que no ejecutan Windows acceder a la red. En este caso, el dispositivo Gateway Enforcer funciona como un puente en vez de un router. Tan pronto como se autentica el cliente, el dispositivo Gateway Enforcer remite los paquetes para permitir que el cliente acceda a la red. Ver Acerca de los dispositivos LAN Enforcer en la pgina 799. Ver "Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer" en la pgina 751. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801.
Modo transparente: Comprueba si el cliente cumple con la poltica de seguridad de la integridad del host, pero no comprueba el nombre de usuario ni la contrasea. El modo transparente no usa un servidor RADIUS, sino que necesita un conmutador compatible con 802.1x. Modo 802.1x completo: Autentica las credenciales del usuario (nombre de usuario y contrasea) adems de comprobar la autenticacin del host del cliente. Se dirige a los clientes que no cumplen a una VLAN de invitado que su organizacin ha configurado para la reparacin de seguridad del cliente. La autenticacin 802.1x completa necesita un servidor RADIUS, un conmutador que pueda utilizar 802.1x o un punto de acceso inalmbrico y software del suplicante (cliente).
En modo transparente, un dispositivo LAN Enforcer usa los mtodos siguientes para procesar solicitudes del equipo cliente para acceder a la red:
746
Introduccin de Symantec Network Access Control Cmo funciona el dispositivo LAN Enforcer
El equipo cliente conecta y enva el inicio de sesin, el cumplimiento de la autenticacin del host y los datos de polticas a travs del EAP. El conmutador o el punto de acceso inalmbrico reenvan los datos del equipo cliente al dispositivo LAN Enforcer. El dispositivo LAN Enforcer verifica que el cliente haya aprobado una comprobacin de integridad del host. Ver "Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host" en la pgina 741. Si el cliente aprueba la comprobacin de integridad del host, Enforcer abre a una parte del conmutador y permite el acceso completo a la red. Si el cliente no aprueba la comprobacin de integridad del host, Enforcer asigna el cliente a la VLAN de cuarentena donde puede acceder a recursos de reparacin.
En modo 802.1x completo, un dispositivo LAN Enforcer hace lo siguiente para procesar solicitudes del equipo cliente para acceder a la red:
El equipo cliente conecta y enva el inicio de sesin, el cumplimiento de la autenticacin del host y los datos de polticas a travs del EAP. El suplicante en el equipo cliente pide al usuario su nombre de usuario y contrasea. El conmutador reenva el nombre de usuario y la contrasea a LAN Enforcer. LAN Enforcer reenva el nombre de usuario y la contrasea al servidor RADIUS. El servidor RADIUS genera un desafo EAP (nombre de usuario y contrasea). LAN Enforcer recibe el desafo EAP y agrega la comprobacin de integridad del host. LAN Enforcer verifica que el cliente haya aprobado una comprobacin de integridad del host. LAN Enforcer comprueba los resultados de la integridad del host y los reenva al servidor RADIUS. El servidor RADIUS realiza la autenticacin EAP y enva el resultado a LAN Enforcer. LAN Enforcer recibe los resultados de la autenticacin y reenva los resultados y la accin que se debe realizar al conmutador. Si el cliente pasa los desafos del EAP y de la integridad del host, el conmutador permite el acceso a la red. Si el cliente no pasa los desafos, el conmutador lo dirige a una VLAN alternativa donde puede acceder a recursos de reparacin.
Introduccin de Symantec Network Access Control Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft
747
El dispositivo LAN Enforcer tiene las funcionalidades de configuracin opcionales adicionales siguientes. Es posible:
Usar un conmutador o un punto de acceso inalmbrico para dirigir al cliente a una VLAN de reparacin. (recomendado) Configurar las respuestas posibles de error en funcin de si se usa la autenticacin EAP o la comprobacin de integridad del host. Conectar varios dispositivos LAN Enforcer a un conmutador para la conmutacin por error de LAN Enforcer. Configurar varios servidores RADIUS para la conmutacin por error del servidor RADIUS.
Ver "Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer" en la pgina 751.
La existencia de un agente. Un identificador nico global (GUID). Cumplimiento de integridad del host La versin del perfil de cada poltica configurada.
Integrated Enforcer para servidores DHCP de Microsoft es un componente de software que interacta con el servidor DHCP de Microsoft. Aunque ambos se deben instalar en el mismo equipo, Integrated Enforcer para servidores DHCP de Microsoft no depende del servidor DHCP. Cuando Integrated Enforcer para servidores DHCP de Microsoft reside en el mismo equipo que el servidor DHCP, elimina la necesidad del hardware adicional.
748
Introduccin de Symantec Network Access Control Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft
Nota: La detencin del servidor DHCP no detiene Integrated Enforcer para servidores DHCP de Microsoft. La detencin de Integrated Enforcer para servidores DHCP de Microsoft no detiene el servidor DHCP. Se usa Symantec Endpoint Protection Manager para configurar las polticas de seguridad. Sin embargo, Integrated Enforcer para servidores DHCP de Microsoft impone las polticas de seguridad. Integrated Enforcer para servidores DHCP de Microsoft autentica los equipos cliente comprobando la respuesta con respecto a los criterios siguientes:
El cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control se ejecutan en un equipo cliente? El cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control tienen el identificador nico global correcto (GUID)? Es el GUID un nmero hexadecimal de 128 bits? Este nmero se asigna a un equipo cliente que ejecute el cliente de Symantec Endpoint Protectiono el cliente de Symantec Network Access Control. El servidor de administracin genera un GUID cuando el cliente se conecta inicialmente. El cliente cumple con la poltica de integridad del host ms actual que el administrador configur en la consola de Symantec Endpoint Protection Manager? El cliente ha recibido la poltica de seguridad ms actual?
Si Integrated Enforcer para servidores DHCP de Microsoft no puede autenticar al cliente, proporciona el acceso a un rea en cuarentena. La zona de cuarentena proporciona recursos de red limitados al cliente. La zona de cuarentena se configura en el mismo equipo que Integrated Enforcer para servidores DHCP de Microsoft y el servidor DHCP de Microsoft. Es posible tambin configurar el acceso a un servidor de reparacin. El servidor de reparacin proporciona a los clientes vnculos a software que les permite cumplir con la seguridad. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 959.
Introduccin de Symantec Network Access Control Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)
749
Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)
Integrated Enforcer para Microsoft Network Access Protection funciona permitiendo que se amplen las funcionalidades de Microsoft Network Access Protection (NAP), que incluyen:
Comprobar el cumplimiento de polticas de seguridad de endpoints. Los clientes que se conectan pueden usar las mismas polticas o diferentes. Controlar el acceso de invitados. Autenticar usuarios finales.
Cuando un Network Policy Server (NPS) est configurado como servidor de polticas de NAP, evala las declaraciones de la seguridad (SoH) enviadas por los clientes que pueden utilizar NAP. Si los clientes estn en buen estado, se pueden conectar a la red. Es posible configurar polticas de NAP en NPS que permitan que los equipos cliente actualicen su configuracin para cumplir con la poltica de seguridad de su organizacin. Se configuran esas polticas segn la documentacin de NPS. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection" en la pgina 960.
750
Su equipo debe aprobar o no aprobar una comprobacin del estado de cumplimiento cuando intenta conectarse a la red protegida de una empresa. Por lo tanto, el estado del acceso a la red protegida de una empresa es de la siguiente manera:
Permitido: se puede conectar a la red. En el modo Permitido no hay ninguna comunicacin con Enforcer o Enforcer no est instalado en la red. Aprobado: puede conectarse a la red mediante Symantec Network Access Control. En cuarentena: Symantec Network Access Control se ha puesto en un rea de cuarentena porque su estado de cumplimiento no se aprob, o la poltica no es la ms reciente.
Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037.
Captulo
33
Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer Acciones que pueden llevarse a cabo con clientes On-Demand Cmo implementar Symantec Network Access Control
752
Utilizacin de Symantec Network Access Control Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer
Bloquea el acceso a la red. Permite acceso a recursos limitados solamente. Permite el acceso cuando el cliente no es compatible y registra esa accin.
El dispositivo Enforcer puede redirigir al cliente a una zona de cuarentena con un servidor de reparacin. El cliente puede entonces obtener el software, las aplicaciones, los archivos de firmas o los parches necesarios del servidor de reparacin. Por ejemplo, una parte de la red puede ya estar configurada para los clientes que se conectan a la red de rea local (LAN) a travs de conmutadores compatibles con 802.1x. Si ese es el caso, es posible usar un dispositivo LAN Enforcer para estos clientes. Es posible tambin usar un dispositivo LAN Enforcer para los clientes que se conectan a travs de un punto de acceso inalmbrico compatible con 802.1x. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745. Ver "Planificacin para la instalacin de un dispositivo LAN Enforcer" en la pgina 879. Si tiene empleados que trabajan remotamente y se conectan mediante VPN, es posible utilizar el dispositivo Gateway Enforcer para esos clientes. Es posible tambin usar el dispositivo Gateway Enforcer si un punto de acceso inalmbrico no es compatible con 802.1x. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Planificacin de la instalacin para un dispositivo Gateway Enforcer" en la pgina 821. Si se requiere amplia disponibilidad, es posible instalar dos o ms dispositivos Gateway o LAN Enforcer en la misma ubicacin para proporcionar conmutacin por error. Ver "Planificacin conmutacin por error de dispositivos Gateway Enforcer" en la pgina 830. Ver "Planificar la conmutacin por error para dispositivos LAN Enforcer" en la pgina 883. Si desea implementar amplia disponibilidad para los dispositivos LAN Enforcer, es necesario instalar varios dispositivos LAN Enforcer y un conmutador compatible con 802.1x. La amplia disponibilidad se obtiene por medio de la adicin de un conmutador compatible con 802.1x. Si instala solamente varios dispositivos LAN Enforcer sin un conmutador compatible con 802.1x, no se obtendr amplia disponibilidad. Es posible configurar un conmutador compatible con 802.1x para amplia disponibilidad.
Utilizacin de Symantec Network Access Control Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer
753
Para obtener informacin sobre la configuracin de un conmutador compatible con 802.1x para amplia disponibilidad, consulte la documentacin que acompaa el conmutador compatible con 802.1x. En algunas configuraciones de red, un cliente puede conectarse a una red a travs de ms de un dispositivo Enforcer. Despus de que el primer dispositivo Enforcer proporciona autenticacin al cliente, los dispositivos Enforcer restantes deben autenticar el cliente antes de que el cliente pueda conectarse a la red.
Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer
Los mdulos de aplicacin Symantec Network Access Control Integrated Enforcer opcionales son mdulos de aplicacin Enforcer proporcionados como componentes del software. Es posible configurarlos para asegurarse de que los clientes que intenten conectarse a la red cumplan con las polticas de seguridad configuradas de su organizacin.
Use Symantec Network Access Control Integrated Enforcer para servidores DHCP para asegurarse de que los clientes del servidor DHCP de Microsoft cumplan con las polticas de seguridad. Use Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection para asegurarse de que los clientes cumplan con las polticas de seguridad del cliente de Microsoft. Es posible tambin utilizar el agente de estado de Symantec para comprobar las polticas de estado de Symantec por sobre las polticas de estado de Microsoft.
Es posible realizar las siguientes tareas con los mdulos de aplicacin Integrated Enforcer:
Asegurarse de que los equipos cliente que intentan conectarse a la red cumplan con las polticas de seguridad que usted configur en Symantec Endpoint Protection Manager. Configurar una conexin a Symantec Endpoint Protection Manager. Iniciar y detener el servicio de Enforcer. Ver el estado de conexin. Consultar los registros de seguridad y del sistema en Symantec Endpoint Protection Manager.
Ver "Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 747.
754
Utilizacin de Symantec Network Access Control Acciones que pueden llevarse a cabo con clientes On-Demand
Ver "Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)" en la pgina 749.
Un Gateway Enforcer configurado para proporcionar clientes On-Demand. Una descarga y una instalacin del cliente On-Demand en los equipos invitados.
Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037. Ver "Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control" en la pgina 1040.
Utilizacin de Symantec Network Access Control Cmo implementar Symantec Network Access Control
755
Accin
Instale los clientes Symantec Endpoint Protection Manager y Symantec Network Access Control. Use Symantec Endpoint Protection Manager para configurar las polticas de integridad del host.
Fase 2
Instale y configure el dispositivo Gateway Para una proteccin de red parcial, controle el acceso conectado Enforcer. por cable e inalmbrico a la red para los clientes administrados y no administrados y para los equipos invitados. Los clientes administrados son los que ejecutan el cliente de Symantec Network Access Control. Los clientes no administrados son los que: No estn ejecutando el software de cliente de Symantec Network Access Control. Estn ejecutando el software de cliente de Symantec Network Access Control, pero no tienen las actualizaciones de polticas ms recientes.
Los clientes invitados son los equipos porttiles, los equipos de escritorio y los servidores que no cumplen sus requisitos de seguridad para elementos, como el software instalado y las contraseas seguras. Estos son dispositivos que poseen invitados, como contratistas, consultores y partners. Es posible permitir a estos clientes invitados conectarse con seguridad y temporalmente a su red con los clientes On-Demand. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Cmo funciona On-Demand Client" en la pgina 749.
756
Utilizacin de Symantec Network Access Control Cmo implementar Symantec Network Access Control
Fase
Fase 3
Accin
Instale y configure un dispositivo LAN Enforcer
Descripcin
Para una proteccin de red completa, se puede controlar el acceso WAN de los equipos cliente y los equipos invitados. Para los clientes administrados, use un dispositivo LAN Enforcer. Para los clientes no administrados, use los dispositivos LAN o Gateway Enforcer.
Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
Ver "Acerca de los tipos de aplicacin en Symantec Network Access Control" en la pgina 736.
Captulo
34
Acciones que pueden llevarse a cabo con polticas de integridad del host Acerca del trabajo con polticas de integridad del host Cmo crear y probar una poltica de integridad del host Acerca de los requisitos de integridad del host Adicin de requisitos de integridad del host Cmo configurar Integridad del host para Mac Cmo habilitar, deshabilitar y eliminar los requisitos de integridad del host Modificar la secuencia de requisitos de integridad del host Adicin de un requisito de integridad del host desde una plantilla Acerca de la configuracin para las comprobaciones de integridad del host Permitir que se apruebe la comprobacin de integridad del host si un requisito falla Configurar las notificaciones de las comprobaciones de integridad del host Acerca de la reparacin de integridad del host Especificar la cantidad de tiempo que el cliente espera para la reparacin Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
758
Configuracin de la integridad del host Acciones que pueden llevarse a cabo con polticas de integridad del host
Acciones que pueden llevarse a cabo con polticas de integridad del host
Use las polticas de integridad del host para asegurarse de que los equipos cliente que accedan a su red cumplan la poltica de seguridad de su organizacin. Por ejemplo, se pueden usar las polticas de integridad del host para asegurarse de que los equipos cliente:
Estn ejecutando aplicaciones de proteccin antivirus y antispyware. Si no lo hacen, permita que lo reparen descargando e instalando las aplicaciones de proteccin antivirus y antispyware necesarias. Tengan las definiciones de virus ms actuales. Si no las tienen, descargue automticamente las actualizaciones de definiciones de virus. Tengan los parches y los Service Packs ms actuales. Si no los tienen, permita que lo reparen descargando e instalando el parche o el Service Pack necesarios. Usan las contraseas seguras y las cambian tan frecuentemente como sea necesario. Sean ms seguros en general. Por ejemplo, deshabilitar el acceso al escritorio remoto si es necesario, controlar la incorporacin y eliminacin de programas, controlar el uso de las herramientas de registro, etc. Tengan software de copia de seguridad instalado. Si no lo tienen, permita que lo reparen descargando e instalando el software de copia de seguridad necesario. Tengan el software que le permite realizar las instalaciones remotas. Si no lo hacen, permita que lo reparen descargando e instalando el software de instalacin remota necesario, posiblemente usando un script personalizado creado por el administrador.
Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
Configuracin de la integridad del host Cmo crear y probar una poltica de integridad del host
759
Descargue las ltimas plantillas de Integridad del host de Symantec. Cree una poltica de integridad del host para probar.
760
Configuracin de la integridad del host Cmo crear y probar una poltica de integridad del host
1 2 3 4 5 6
En la consola de administracin, haga clic en Administrador. En Servidores, haga clic en Sitio local (Mi sitio). En Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio para Sitio local (Mi sitio), haga clic en la ficha LiveUpdate. En la ficha LiveUpdate, haga clic en Editar servidores de origen. En el cuadro de dilogo Servidores de LiveUpdate, haga clic en Aceptar. Nota: Puede usar el servidor predeterminado de Symantec LiveUpdate o puede usar un servidor interno especificado de LiveUpdate. Si usa un servidor interno de LiveUpdate, asegrese de que las plantillas de Integridad del host Windows o de Mac estn presentes y disponibles.
7 8
En el panel Plataformas para descargar, haga clic en Cambiar plataforma. En el cuadro de dilogo Plataformas para descargar, seleccione las plataformas para las cuales desee descargar el contenido de LiveUpdate y haga clic en Aceptar. En el panel Tipos de contenido para descargar, haga clic en Modificar seleccin. la casilla de verificacin Plantillas de integridad del host est seleccionada y despus haga clic en Aceptar.
11 En el cuadro de dilogo Propiedades del sitio para Sitio local (Mi sitio), haga
clic en Aceptar.
13 Si todo est correcto, haga clic en Descargar para comenzar a descargar los
contenidos. Nota: Cuando el panel de LiveUpdate muestra que las plantillas de integridad del host 12.1 para Windows se actualizaron correctamente o las plantillas de integridad del host 12.1 para Mac se actualizaron correctamente, la plantilla de integridad del host se descarg al servidor de administracin.
Configuracin de la integridad del host Cmo crear y probar una poltica de integridad del host
761
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. En Polticas, haga clic para seleccionar Integridad del host. En el panel derecho, si una poltica de integridad del host est resaltada en amarillo, anule la seleccin de la poltica. En Tareas, haga clic en Agregar una poltica de integridad del host. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Haga clic en Requisitos. En el panel Requisitos, seleccione Comprobar siempre la integridad del host y, despus, haga clic en Agregar. En el cuadro de dilogo Agregar requisito, en el men desplegable Tipo, haga clic en Requisito personalizado y, despus, haga clic en Aceptar. En la ventana Requisito personalizado, en el cuadro Nombre, escriba un nombre para el Requisito personalizado. Insertar instrucciones a continuacin y, despus, haga clic en Agregar > IF .. THEN.
15 En el cuadro Texto del cuadro de mensaje, escriba el texto que usted quisiera
mostrar en el mensaje.
762
Configuracin de la integridad del host Acerca de los requisitos de integridad del host
19 En la ventana Integridad del host, haga clic en Aceptar. 20 En la indicacin Asignar poltica, haga clic en S. 21 En el cuadro de dilogo Asignar poltica de integridad del host, seleccione
los grupos a los que desee asignar la poltica. Nota: Una poltica de integridad del host se puede asignar a varios grupos; mientras que un grupo puede solamente tener una nica poltica de integridad del host. Esto significa que si asigna una poltica de integridad del host a un grupo al que ya se le ha asignado otra poltica de integridad del host, la preexistente ser reemplazada por la nueva.
1 2 3 4 5
En la consola, haga clic en Clientes. En el panel derecho, haga clic en la ficha Clientes. En el panel izquierdo, en Equipos, haga clic y resalte el grupo que contiene los equipos cliente a los cuales usted aplic la poltica de integridad del host. En Tareas, haga clic en Ejecutar comando en el grupo > Actualizar contenido. Inicie sesin en un equipo cliente que ejecute Symantec Network Access Control y observe el cuadro de mensaje que aparece. Si la regla activ un error en la prueba, el cuadro de mensaje aparece. Despus de la prueba, deshabilite o elimine la poltica de prueba.
Qu software (aplicaciones, archivos, parches y as sucesivamente) desea exigir para la seguridad empresarial? Qu ocurre si un requisito no se cumple? Por ejemplo:
El cliente puede conectarse a un servidor y restaurar el software para que se cumpla el requisito.
Configuracin de la integridad del host Acerca de los requisitos de integridad del host
763
La comprobacin de la integridad del host puede aprobarse aunque no se cumpla el requisito. La comprobacin de la integridad del host puede no aprobarse y el acceso de red puede ser bloqueado. Un mensaje puede notificar al usuario qu hacer despus.
Qu aplicaciones antivirus, aplicaciones antispyware, aplicaciones de firewall, parches o actualizaciones son obligatorios en el equipo de cada usuario cuando se conecta a la red? Se crea generalmente un requisito separado para cada tipo de software. Los requisitos predefinidos de integridad del host le permiten fcilmente configurar estos requisitos de uso comn. Es posible dar a usuarios el derecho de seleccionar qu aplicaciones de firewall, antispyware o antivirus desean ejecutar en sus equipos. Los requisitos predefinidos le permiten especificar una aplicacin especfica o una lista entera de aplicaciones compatibles aceptables. Es posible crear un requisito personalizado que incluya las aplicaciones que son aceptables en su compaa. Cmo manejar la restauracin del equipo de un usuario para cumplir los requisitos? Normalmente, es necesario configurar un servidor de reparacin con el software obligatorio. Cuando se configura el requisito, es necesario especificar la URL desde la cual el cliente puede descargar e instalar el software obligatorio. Algunos parches necesitan que el usuario reinicie el equipo. Las actualizaciones se terminan en un orden especfico para aplicar todas las actualizaciones antes de que un usuario tenga que reiniciar. Como parte de la poltica de integridad del host, es posible configurar el orden en el cual se seleccionan los requisitos y se intenta la reparacin. Se debe, adems, considerar qu ocurre si un requisito falla y no puede ser restaurado. Para cada requisito, tiene la opcin de permitir que la comprobacin de integridad del host se apruebe aunque ese requisito no lo haga. Como parte de la poltica general de integridad del host, tambin puede configurar mensajes. El cliente muestra estos mensajes al usuario si la comprobacin de integridad del host falla o si se aprueba despus de un fallo anterior. Quiz desee planificar instrucciones adicionales para el usuario en estos mensajes. Adems, es posible configurar una poltica de cuarentena que deba activarse si la integridad del host falla. Es posible simplificar la administracin de aplicaciones obligatorias si incluye aplicaciones similares en un requisito personalizado. Por ejemplo, es posible incluir navegadores de Internet, como Internet Explorer y Firefox, en un requisito.
764
Configuracin de la integridad del host Acerca de los requisitos de integridad del host
Como parte de un requisito personalizado, puede especificar si desea permitir que la comprobacin de integridad del host se apruebe si el requisito falla. Cuando usted planifique cuntas condiciones se deben comprobar en un script, recuerde que esta configuracin se aplica al script del requisito personalizado en conjunto. Este aspecto de la configuracin puede afectar si desea crear varios requisitos personalizados pequeos o uno ms largo que incluya varios pasos.
Es posible que encuentre til configurar una hoja de clculo que represente los requisitos de cumplimiento de integridad del host de su empresa. La poltica de integridad del host incluye los siguientes tipos de requisito:
Los requisitos predefinidos cubren los tipos ms comunes de comprobaciones de integridad del host y permiten elegir entre los siguientes tipos:
Requisito de antivirus Requisito de proteccin antispyware Requisito de firewall Requisito de parche Requisito de Service Pack
Requisitos personalizados, que se definen usando el editor de requisitos personalizados. Ver "Escribir un script de requisito personalizado" en la pgina 789. Plantillas de requisitos de integridad del host, que se actualizan como parte de Symantec Enterprise Protection LiveUpdate. Ver "Adicin de un requisito de integridad del host desde una plantilla" en la pgina 768.
Cuando se agrega un nuevo requisito, es posible seleccionar uno de los tipos de requisitos predefinidos. Se muestra un cuadro de dilogo con el grupo de opciones predefinidas que usted puede configurar. Si la configuracin predefinida no cumple sus necesidades, es posible crear un requisito personalizado. Tambin es posible modificar la posicin de los requisitos. La posicin de un requisito determina el orden en el que se ejecuta. Ver "Modificar la secuencia de requisitos de integridad del host" en la pgina 768.
765
Qu condiciones comprobar Qu acciones (como descargas e instalaciones) el cliente admite como respuesta a la condicin.
Cuando se especifican requisitos de integridad del host, es posible elegir entre los siguientes tipos: requisitos predefinidos, personalizados o de la plantilla. Los requisitos de la plantilla estn disponibles mediante el servicio de LiveUpdate de polticas de integridad del host. Es posible copiar y pegar, y exportar e importar requisitos entre polticas. La configuracin general le permite configurar cundo y cuntas veces el cliente ejecuta una comprobacin de integridad del host, opciones de reparacin y notificaciones. Es posible crear una nueva poltica de integridad del host compartido o no compartido. Una vez que cree una nueva poltica, es posible agregar un requisito predefinido, un requisito personalizado o ambos. Ver "Acerca de los requisitos de integridad del host" en la pgina 762. Para agregar un requisito de integridad del host
1 2
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad de host, haga clic en Requisitos.
766
Configuracin de la integridad del host Cmo configurar Integridad del host para Mac
En la pgina Requisitos, seleccione cundo las comprobaciones de integridad del host deben ejecutarse en el cliente entre una de las siguientes opciones:
Comprobar siempre la integridad del Esta opcin es la predeterminada. Siempre host se realiza una comprobacin de integridad del host en esta ubicacin en el intervalo de frecuencia que usted especifica. Solo compruebe la integridad del host La comprobacin de integridad del host se por medio de Gateway Enforcer realiza en esta ubicacin solamente cuando el cliente se autentica por medio de Gateway Enforcer. Comprobar la integridad del host solo Se realiza una comprobacin de integridad cuando est conectado al servidor de del host en esta ubicacin solamente cuando administracin el cliente est conectado a un servidor de administracin. No comprobar nunca la integridad del Nunca se realiza una comprobacin de host integridad del host en esta ubicacin.
4 5 6
Haga clic en Agregar. En el cuadro de dilogo Agregar requisito, seleccione uno de los tipos de requisito y despus haga clic en Aceptar. Configure las opciones para el requisito. Ver "Acerca de los requisitos de integridad del host" en la pgina 762.
En la pgina Configuracin avanzada, configure las opciones para la comprobacin, la reparacin y las notificaciones de integridad del host. Para obtener ms informacin, haga clic en Ayuda. Ver "Acerca de la configuracin para las comprobaciones de integridad del host" en la pgina 769.
8 9
Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar. Asigne la poltica a grupos o ubicaciones.
Configuracin de la integridad del host Cmo habilitar, deshabilitar y eliminar los requisitos de integridad del host
767
Nota: Cuando se migra de las versiones de Enforcer anteriores a la actual, el proceso de actualizacin no transporta las polticas de Integridad del host para Mac. Se deben especificar de nuevo.
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad de host, haga clic en Requisitos. En la pgina Requisitos, seleccione un requisito y, a continuacin, realice una de las siguientes las tareas:
Para activar un requisito, active la casilla de verificacin Activar para el requisito seleccionado. Para desactivar un requisito, desactive la casilla de verificacin Activar para el requisito seleccionado.
1 2 3 4 5
En la consola, haga clic en Polticas. En Polticas, haga clic en Integridad del host. Seleccione la poltica de integridad del host que desee eliminar del panel derecho. Cuando se selecciona una poltica, se resalta en amarillo. En Tareas, en el panel izquierdo, haga clic en Eliminar la poltica. En el cuadro de dilogo Eliminar poltica, haga clic en S. Nota: No es posible eliminar una poltica que est en uso. Para eliminar una poltica que est en uso, es necesario retirar la poltica de las ubicaciones asignadas primero.
Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758.
768
Configuracin de la integridad del host Modificar la secuencia de requisitos de integridad del host
1 2 3 4
En la consola, abra una poltica de integridad del host. En la pgina de integridad del host, haga clic en Requisitos. En la pgina Requisitos, seleccione el requisito que desee mover y haga clic en Subir o Bajar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar.
Configuracin de la integridad del host Acerca de la configuracin para las comprobaciones de integridad del host
769
4 5 6 7 8
En el cuadro de dilogo Agregar requisito, seleccione Plataforma de cliente y Usar las plantillas existentes y, a continuacin, haga clic en Aceptar. En el cuadro de dilogo Actualizacin en lnea de la integridad del host, expanda Plantillas y seleccione una categora de plantilla. Al lado de cada plantilla que desee agregar, haga clic en Agregar. Haga clic en Importar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Comprobar la integridad del Especifica la frecuencia de las comprobaciones de integridad host cada: del host.
770
Configuracin de la integridad del host Permitir que se apruebe la comprobacin de integridad del host si un requisito falla
Configuracin
Descripcin
Continuar comprobando los Configura la duracin para conservar los resultados de resultados durante integridad del host. Es posible configurar la cantidad de tiempo que un cliente conserva el resultado de una comprobacin de integridad del host anterior. El cliente guarda el resultado incluso si el usuario toma medidas que normalmente daran lugar a una nueva comprobacin de integridad del host. Por ejemplo, el usuario puede descargar nuevo software o modificar una ubicacin. Continuar la comprobacin de requisitos despus de un error Especifica que el cliente contine comprobando los requisitos incluso si un requisito falla. El cliente detiene la comprobacin de integridad del host hasta que se restaure el requisito fallado. El cliente comprueba los requisitos de integridad del host en el orden que se especifica en la poltica de integridad del host. Si habilita esta opcin, la comprobacin de integridad del host falla, pero es posible intentar otras acciones de reparacin, si es necesario. Es posible permitir que la comprobacin de integridad del host se apruebe incluso si un requisito falla. Esta opcin se encuentra en el cuadro de dilogo Requisitos para cada tipo de requisito. Se aplica la opcin por separado para cada requisito.
Configuracin de la integridad del host Configurar las notificaciones de las comprobaciones de integridad del host
771
Si activa la opcin para permitir que la comprobacin de integridad del host se apruebe incluso si el requisito falla, aparecer el siguiente mensaje en la ventana del cliente cuando ocurra el evento:
Host Integrity failed but reported as pass
Para permitir que se apruebe la comprobacin de integridad del host si un requisito falla
1 2 3 4 5 6
En la consola, abra una poltica de integridad del host. En la pgina Integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido o un requisito personalizado y haga clic en Aceptar. En el cuadro de dilogo para el requisito, marque Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Una comprobacin de integridad del host falla. Se aprueba una comprobacin de integridad del host despus de haber fallado.
Los resultados de la comprobacin de integridad del host aparecen en el registro de seguridad del cliente. Se cargan en el registro de Cumplimiento en la pgina Supervisin del servidor de administracin. El registro de seguridad del cliente contiene varios paneles. Si selecciona un tipo de evento de comprobacin de integridad del host, el panel inferior izquierdo muestra si el requisito individual ha aprobado o tiene errores. El panel inferior derecho muestra las condiciones del requisito. Es posible configurar el cliente para suprimir la informacin en el panel inferior derecho. Aunque se pueda necesitar esta informacin al solucionar problemas, es posible que no desee que los usuarios vean la informacin. Por ejemplo, es posible escribir un requisito personalizado que especifique un valor de registro o un nombre de archivo. Los detalles an se registran en el registro de seguridad.
772
Es posible tambin activar una notificacin que d al usuario la opcin de descargar el software de forma inmediata o posponer la reparacin. Ver "Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host" en la pgina 775. Para configurar las notificaciones de las comprobaciones de integridad del host
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Integridad del host, haga clic en Configuracin avanzada. En la pgina Configuracin avanzada, en Notificaciones, para ver la informacin del requisito detallado, active Mostrar un registro detallado de la integridad del host. El panel inferior derecho del registro de seguridad del cliente muestra la informacin completa sobre un requisito de integridad del host.
Mostrar un mensaje de notificacin cuando se produzca un error en la comprobacin de la integridad del host. Mostrarunmensajedenotificacincuandoseapruebeunacomprobacin de la integridad del host despus de haber presentado un error.
Para agregar un mensaje personalizado, haga clic en Establecer texto adicional y escriba hasta 512 caracteres de texto adicional. A continuacin, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
773
Ver "Acerca de la reparacin de aplicaciones y archivos para la integridad del host" en la pgina 773.
Los paquetes de instalacin o los archivos se descargan siempre al directorio temporal. Cualquier ruta relativa se refiere a este directorio. El directorio temporal se define en la variable de entorno TMP si existe, o en la variable de entorno TEMP, si existe. El directorio predeterminado est en el directorio de Windows. Para la ejecucin del archivo, el directorio de trabajo actual se establece siempre como el directorio temporal de Windows. Las variables de entorno se sustituyen antes de la ejecucin. La ruta de directorio de Windows sustituye el comando %windir%. Es posible utilizar %F% (la opcin predeterminada) para ejecutar el archivo que especific en el campo URL de descarga. La variable %F% representa el ltimo archivo descargado. Despus de la descarga, la instalacin o la ejecucin de un comando para restaurar un requisito, el cliente siempre reexamina el requisito. Adems, el cliente registra los resultados como aprobado o error.
774
Configuracin de la integridad del host Especificar la cantidad de tiempo que el cliente espera para la reparacin
con los elementos necesarios conectndose a un servidor de reparacin. Si aplica tales requisitos a los clientes que se conectan a la red mediante Enforcer, usted debe asegurarse de que el cliente, mientras est bloqueado su acceso de red regular, pueda acceder al servidor de reparacin. Si no, el cliente no podr restaurar la integridad del host y continuar sin aprobar el requisito de integridad del host. La forma en que se realiza esta tarea depende del tipo de Enforcer. La siguiente lista ofrece algunos ejemplos:
Para Gateway Enforcer, es posible configurar el mdulo de Gateway Enforcer para que reconozca el servidor de reparacin como una direccin IP interna de confianza. Para LAN Enforcer, si se usa un conmutador con funcionalidad de VLAN dinmica, es posible configurar una VLAN con acceso al servidor de reparacin.
1 2 3 4 5
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido y despus haga clic en Aceptar. En el cuadro de dilogo de cada requisito predefinido, marque Instalar nombre del requisitosi no se instal en el cliente. Marque Descargar paquete de instalacin. Para el requisito Antivirus, marque Descargar el paquete de instalacin.
6 7 8
Marque Especificar el tiempo de espera para volver a intentar la descarga si hay errores. Especifique el tiempo de espera en minutos, horas o das. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Configuracin de la integridad del host Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
775
Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
Si un requisito especifica una accin de reparacin, es posible permitir que el usuario cancele la reparacin. Tambin es posible permitir que el usuario posponga la reparacin hasta un momento ms conveniente. Entre los ejemplos de acciones de reparacin se incluyen la instalacin de una aplicacin o una actualizacin de un archivo de firmas. Es posible establecer un lmite de cuntas veces puede cancelarse una reparacin y durante cunto tiempo el usuario puede posponerla. Los lmites establecidos determinan las selecciones disponibles para el usuario en la ventana de mensaje que el cliente ve cuando es necesaria una reparacin. Tambin es posible agregar texto a la ventana de mensaje. Las opciones de tiempo mnimo y mximo determinan el intervalo de opciones disponibles en la ventana de mensaje. El usuario ve la ventana de mensaje cuando un requisito falla. El intervalo aparece como una lista al lado del icono Recordrmelo ms tarde en la ventana de mensaje . Si el usuario selecciona un perodo para posponer ms breve que la frecuencia de comprobacin de integridad del host, se anula la seleccin del usuario. La ventana de mensaje no aparece de nuevo hasta que el cliente ejecute otra comprobacin de integridad del host. Si el usuario ha optado por recibir un recordatorio en 5 minutos, pero la comprobacin de integridad del host se ejecuta cada 30 minutos, la ventana de mensaje de la reparacin no aparece hasta que hayan pasado 30 minutos. Para que sea menos confuso para el usuario, es posible sincronizar la opcin de tiempo mnima con la opcin de la frecuencia de comprobacin de integridad del host. Si el usuario pospone la reparacin, el cliente registra el suceso. El requisito no se cumple, y la integridad del host se mostrar como no aprobada. El usuario puede ejecutar manualmente una nueva comprobacin de integridad del host en cualquier momento desde la interfaz de usuario del cliente. Si el usuario ha pospuesto una accin de reparacin y, en el intervalo, el cliente recibe una poltica actualizada, la cantidad de tiempo disponible para la reparacin se reajusta al mximo especificado. Para permitir que los usuarios pospongan una reparacin de integridad del host
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad del host, haga clic en Configuracin avanzada. En la pgina Configuracin avanzada, en Opciones del cuadro de dilogo de correccin, establezca un lmite de tiempo mnimo y el lmite de tiempo mximo por el cual un usuario puede posponer la reparacin.
776
Configuracin de la integridad del host Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
4 5
Escriba el nmero mximo de veces que el usuario puede cancelar la reparacin. Para agregar un mensaje personalizado en el equipo cliente, haga clic en Establecer texto adicional. El mensaje que usted escribe se muestra en la ventana de reparacin del cliente si el usuario hace clic en la opcin Detalles. Si no especifica ningn texto adicional, el texto predeterminado de la ventana se repite en el rea Detalles si el usuario hace clic en Detalles.
6 7
En el cuadro de dilogo Introducir texto adicional, escriba un mensaje personalizado de 512 caracteres cmo mximo y haga clic en Aceptar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Para permitir que los usuarios cancelen una reparacin de integridad del host
1 2 3 4 5
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido y despus haga clic en Aceptar. En el cuadro de dilogo de cada requisito predefinido, marque Instalar nombre del requisito si no se instal en el cliente. Marque Descargar paquete de instalacin. Para el requisito Antivirus, marque Descargar el paquete de instalacin.
6 7
Marque Permitir al usuario cancelar la descarga para la reparacin de la integridad del host. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Captulo
35
Acerca de los requisitos personalizados Acerca de las condiciones Acerca de las funciones Acerca de la lgica de los requisitos personalizados Escribir un script de requisito personalizado Mostrar un cuadro de dilogo de mensaje Descargar un archivo Cmo configurar un valor del registro Incremento de un valor DWORD del registro Ejecutar un programa Ejecutar un script Configurar la marca de hora de un archivo Cmo especificar un tiempo de espera para el script de requisito personalizado
778
requisitos personalizados para reparar cualquier problema de conformidad identificado. Es posible crear un script de requisito complejo o simple usando selecciones y campos predefinidos. Los campos y las listas disponibles en los cuadros de dilogo predefinidos del requisito estn disponibles cuando se crean requisitos personalizados. Sin embargo, los requisitos personalizados ofrecen ms flexibilidad. En requisitos personalizados, es posible agregar aplicaciones que no se incluyen en las listas predefinidas de aplicaciones. Es posible crear subconjuntos de las listas predefinidas agregando cada aplicacin individualmente. Ver "Acerca de las condiciones" en la pgina 778. Ver "Acerca de las funciones" en la pgina 785. Ver "Acerca de la lgica de los requisitos personalizados" en la pgina 786.
Comprobaciones de proteccin contra virus Ver "Acerca de las condiciones del antivirus" en la pgina 779. Comprobaciones de la Proteccin antispyware Ver "Acerca de las condiciones antispyware" en la pgina 779. Comprobaciones de firewall Ver "Acerca de condiciones del firewall" en la pgina 780. Comprobaciones y operacin de archivos Ver "Acerca de las condiciones de archivo" en la pgina 781. Comprobaciones y operaciones del registro Ver "Acerca de condiciones del Registro" en la pgina 783. Utilidades
Es posible especificar que las condiciones estn presentes o ausentes (NOT). Es posible incluir varias instrucciones de condicin usando AND u OR.
779
La proteccin contra virus est instalada La proteccin contra virus est en ejecucin El archivo de firmas de la proteccin contra virus est actualizado
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted especifica la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Si selecciona la opcin de cualquier producto antivirus, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la palabra clave O. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas, las siguientes condiciones se deben satisfacer para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que y escriba un nmero de das. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es y seleccione antes de, Despus de, Igual a o No es igual a y especifique una fecha con el formato mm/dd/aaaa. Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
780
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted puede especificar la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Si selecciona Cualquier producto de proteccin contra software espa, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas opciones, deben darse las condiciones siguientes para cumplir el requisito:
Seleccione Comprobar archivo de firmas para especificar la antigedad del archivo. Especifique una cantidad de das como la antigedad mxima del archivo. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es anterior a y seleccione antes de, Despus de, Igual a o No es igual a y especifique una fecha con el formato mm/dd/aaaa. Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Si desea seleccionar aplicaciones de la lista desplegable, es posible seleccionar la opcin cualquier producto de firewall. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la palabra clave O. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
781
Archivo: Comparar el tamao Especifique el nmero de bytes. Es posible seleccionar: igual del archivo con a, no es igual, menor que o mayor que. Archivo: Comparar la versin Especifique una versin del archivo en el formato x.x.x.x del archivo con donde x representa un nmero decimal a partir de 0 a 65535. Es posible seleccionar: igual a, no es igual, menor que o mayor que. Archivo: El archivo existe Especifique el nombre del archivo que se comprobar.
Archivo: La huella digital de Normalmente, esta informacin se obtiene seleccionando archivos es igual a una aplicacin mediante Buscar aplicaciones. Es necesario especificar la huella digital de archivos.
Archivo: Finaliz la descarga Es posible descargar un archivo de una ubicacin que se del archivo especifique a un directorio que se especifique y descargarlo por FTP, UNC o HTTP. Si se requiere autenticacin para acceder a una ubicacin de archivo, es posible especificar el nombre de usuario y la contrasea.
782
Es posible utilizar variables de sistema, valores del registro o una combinacin de ambos para especificar el nombre del archivo y la ruta. Cuando se selecciona una de las opciones de archivo, el cuadro de dilogo muestra ejemplos de maneras de escribir el nombre de archivo y la ruta. Es posible ubicar las aplicaciones que han sido registradas usando la funcin Buscar aplicaciones. Cuando se especifican opciones de archivo en el script de requisitos personalizados, la opcin Buscar aplicaciones proporciona acceso a la misma herramienta de bsqueda que la herramienta Buscar aplicaciones. Es posible buscar los grupos definidos en el servidor de administracin para filtrar las aplicaciones, escribir una consulta de bsqueda y exportar los resultados a un archivo. Para buscar usando variables de entorno del sistema o valores de registro:
Para utilizar la variable de Para especificar el archivo denominado cmd.exe situado bajo entorno del sistema el directorio que se especifica en la variable de entorno WINDIR, escriba el siguiente comando: %WINDIR%\cmd.exe Para utilizar el valor del registro Para leer el valor HKEY_LOCAL_MACHINE\Software\ Symantec\\AppPath como la ruta del archivo sem.exe, escriba el siguiente comando: #HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\sem.exe Para utilizar la variable combinada del registro y el entorno del sistema Utilice el siguiente ejemplo para utilizar la variable combinada del valor del registro y el entorno del sistema: %SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath#.
783
La funcin detecta la versin de idioma del sistema operativo del cliente. Si la versin de idioma no est incluida en el cuadro de dilogo Requisito personalizado, es posible agregar idiomas escribiendo sus identificadores en el campo Identificadores de idioma. Para agregar varios identificadores, utilice una coma para separar cada ID, tal como 0405,0813. Consulte la tabla Identificadores de idioma en la ayuda contextual para conocer la lista de identificadores.
Parche: Comparar Service Pack actual Escriba el nmero del Service Pack que desee con la versin especificada comprobar si existe, por ejemplo, 2. El nmero se limita a dos caracteres. Es posible comprobar las siguientes condiciones: igual a, no igual a, menor que o mayor que. Un nmero seguido por una letra se considera mayor que el nmero solo; por ejemplo, el Service Pack 6a se considera mayor que 6. Asegrese de aplicar los parches uno a la vez. Parche: Parche instalado Escriba el nombre del parche que desea comprobar. Por ejemplo: KB12345. Es posible escribir solamente nmeros y letras en este campo.
Asegrese de que el nmero de parche o Service Pack coincida con la versin correcta del sistema operativo. Si especifica un sistema operativo que no coincide con el parche o el Service Pack, el requisito falla. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
784
Registro: El valor del Registro es igual Especifique un nombre de clave de registro y un a nombre de valor, y especifique con qu datos se comparar el valor. Registro: El valor del registro existe Especifique un nombre de clave de registro para comprobar si tiene el nombre de valor especificado. Especifique un valor para asignarlo a la clave especificada; si la clave no existe, se crear. Esta seleccin reemplaza un valor existente, independientemente de si es del mismo tipo. Si el valor existente es un valor DWORD, pero se especifica un valor de cadena, reemplaza DWORD por el valor de cadena.
Registro: Se increment correctamente Especifique un valor DWORD. Esta seleccin le el valor DWORD del Registro permite realizar conteos, tales como permitir que un equipo sin parche cumpla el requisito no ms que n veces.
Cuando se especifican las claves del registro, recuerde las consideraciones siguientes:
El nombre de la clave se limita a 255 caracteres. Si la clave de registro tiene una barra invertida (\) en el final, se interpreta como una clave de registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\ Si la clave de registro no tiene ninguna barra invertida en el final, se interpreta como un nombre de registro. Por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Cuando se especifican los valores del registro, recuerde las consideraciones siguientes:
El nombre del valor se limita a 255 caracteres. Es posible comprobar si hay valores como DWORD (decimal), Binario (hexadecimal) o Cadena. Para los valores DWORD, es posible comprobar si el valor es menor, igual, diferente o mayor que el valor especificado. Para los valores Cadena, es posible comprobar si los datos del valor son iguales a una cadena determinada o la contienen. Si desea que la comparacin de cadenas incluya la diferenciacin entre maysculas y minsculas, seleccione la casilla de Coincidir maysculas y minsculas.
785
Para los valores Binario, es posible comprobar si los datos del valor son iguales a un fragmento determinado de datos binarios o lo contienen. Los bytes hexadecimales representan los datos. Si especifica el valor "contiene", es posible adems especificar el desplazamiento para estos datos. Si el desplazamiento se deja en blanco, se busca el valor de los datos binarios especificados. Los valores permitidos para el cuadro de edicin hexadecimal son nmeros del 0 al 9 y letras de la "a" a la "f".
786
descargar un archivo
Establecer el valor del Registro Incrementar el valor DWORD del Registro mensaje de registro
Especifica un mensaje personalizado que se agregar al registro de seguridad del cliente y al registro. Ejecuta un programa que ya existe en el equipo cliente. Es posible especificar que el programa se ejecute independientemente de si el usuario ha iniciado sesin. Ejecuta un script personalizado en el equipo cliente. Es posible usar el programa de edicin de texto integrado para crear contenido de script. El script puede ser un archivo por lotes, un archivo INI o cualquier formato ejecutable Windows reconoce. Adems, el script puede contener solamente parmetros que se proporcionarn a otro programa. Marca un archivo especificado en el equipo cliente con la hora y la fecha actuales. Muestra una ventana de cuadro de dilogo de mensaje en el equipo cliente con una opcin Aceptar. Se puede especificar un tiempo de espera predeterminado. Interrumpe momentneamente la ejecucin del script de requisito personalizado por un perodo especificado.
ejecutar un programa
ejecutar un script
esperar
787
Ver "Acerca de la instruccin ELSE" en la pgina 787. Ver "Acerca de la palabra clave NOT" en la pgina 788. Ver "Acerca de las palabras clave AND y OR" en la pgina 788.
Define una estructura en la cual se comprueban las condiciones especficas (IF). Medidas que se toman cuando esas condiciones se evalan como verdaderas (THEN).
Es posible jerarquizar las instrucciones IF, THEN y ENDIF para formar requisitos personalizados ms complejos. Es necesario jerarquizar las instrucciones IF, THEN y ENDIF siempre que una condicin deba ser verdadera antes de que otra condicin pueda ser evaluada. Ver "Agregar una instruccin IF THEN" en la pgina 790.
788
ELSE para identificar las acciones que se tomarn siempre que las condiciones especificadas se consideren falsas. Ver "Adicin de una instruccin ELSE" en la pgina 791.
789
Agregar un requisito personalizado. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
En el cuadro de dilogo Requisito personalizado, escriba un nombre para el requisito. El nombre del requisito puede aparecer en el equipo cliente. El nombre notifica al usuario si el requisito est aprobado o si el requisito ha fallado, o incita al usuario descargar el software.
3 4
Para agregar una condicin, en Script del requisito personalizado, haga clic en Agregar y, a continuacin, en IF..THEN... Con el punto culminante en la condicin vaca bajo el nodo IF, en el panel derecho, seleccione una condicin. La comprobacin de integridad del host busca la condicin en el equipo cliente.
5 6
En la lista desplegable Seleccione una condicin, especifique la informacin adicional obligatoria. En Script del requisito personalizado, haga clic en THEN y, luego, en Agregar. La instruccin THEN proporciona las medidas que deben ser tomadas si la condicin es verdadera.
IF.. THEN Use la instruccin anidada IF.. THEN.. para proporcionar condiciones y acciones adicionales.
790
Funcin Utilice una funcin para definir una accin de reparacin. Ver "Acerca de las funciones" en la pgina 785. Return Utilice una instruccin return para especificar si los resultados de la evaluacin de la condicin pasan o fallan. Cada requisito personalizado debe finalizar con una instruccin que pasa o falla. Comentario Utilice un comentario para explicar la funcionalidad de las condiciones, las funciones o las instrucciones que va a agregar. Ver "Agregar un comentario" en la pgina 791.
En el panel derecho, defina los criterios que agreg. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para agregar ms condiciones, funciones o instrucciones anidadas, en Script del requisito personalizado, haga clic con el botn secundario en el nodo y, despus, haga clic en Agregar.
10 Repita los pasos 7 a 9 segn sea necesario. 11 Para permitir que la comprobacin de integridad del host pase
independientemente del resultado, marque Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
Para agregar la primera instruccin IF THEN, seleccione el nodo principal. Para agregar una instruccin IF THEN en el mismo nivel que una existente, active END IF.
791
Para agregar una instruccin IF THEN anidada, seleccione la lnea bajo la cual desea agregarla.
3 4
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
Haga clic con el botn secundario en la condicin y haga clic en Alternar NOT.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3
En Script del requisito personalizado, haga clic en THEN. Haga clic en Agregar y haga clic en ELSE.
Agregar un comentario
Con fines informativos, se puede elegir agregar un comentario a una declaracin. Para agregar un comentario
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4
En Script del requisito personalizado, seleccione cualquier instruccin que haya agregado y, despus, haga clic en Agregar. Haga clic en Comentario. Haga clic en //Insertar instrucciones aqu y, en el panel derecho, en el campo de texto Comentario, escriba sus comentarios.
792
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3
En Script del requisito personalizado, haga clic con el botn secundario en el elemento del script y, despus, haga clic en Copiar. Haga clic con el botn secundario en una lnea de instruccin vaca y, despus, clic en Pegar
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4
En Script del requisito personalizado, seleccione el elemento del requisito que desee eliminar. Haga clic en Eliminar. Si se le solicita que confirme la eliminacin, haga clic en S.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin.
793
3 4
Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Mostrar cuadro de dilogo del mensaje. Para insertar una condicin, active IFTHEN y seleccione la rama apropiada. A continuacin, seleccione Utilidad: El valor devuelto en el cuadro de dilogo del mensaje es igual a.
5 6 7
Escriba un ttulo para el cuadro de mensaje de hasta 64 caracteres. Escriba el texto para el cuadro de mensaje de hasta 480 caracteres. Seleccione uno de los siguientes iconos para visualizar: Informacin, Pregunta, Advertencia o Error. Aparecen el icono y el texto.
Seleccione la opcin predeterminada para cada conjunto de opciones. de que pase un tiempo sin interaccin de usuario, active Accin que se efectuar para cerrar el cuadro de mensaje tras el tiempo mximo de espera y especifique el tiempo de espera. El valor de tiempo debe ser mayor que 0.
Descargar un archivo
Para un requisito personalizado, es posible especificar que un archivo se descargue en el equipo cliente. Para descargar un archivo
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Archivo: Descargar un archivo.
794
Escriba la direccin URL desde la que el archivo se descarga y la carpeta del equipo cliente en la que desea que el archivo se descargue. Es posible especificar la ubicacin mediante una URL o UNC. Si utiliza una URL, se admiten HTTP y FTP. Si elige HTTP, seleccione Autenticacin requerida slo para HTTP. Escriba el nombre de usuario y la contrasea para la autenticacin.
6 7
Marque Mostrar el cuadro de dilogo del proceso de descarga de modo que los usuarios puedan ver el archivo mientras se descarga en el equipo cliente. Si desea que el usuario pueda cancelar la descarga del archivo, marque Permitir al usuario cancelar la integridad del host para este requisito. Usuarios puede perder trabajos si el archivo se descarga en el momento incorrecto.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4 5 6 7
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Registro: Establecer el valor del Registro. El valor del registro contiene el nombre y el tipo del valor que se comprobarn. Escriba la clave de registro en el campo Clave del Registro. Escriba un nombre del valor para comprobar en el campo Nombre del valor. En Especifique el tipo y los datos, elija uno de los siguientes tipos de valores y contenido:
795
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Registro: Incrementar el valor DWORD del Registro.
4 5
Escriba la clave de registro para comprobar en el campo Clave del Registro. Escriba un nombre del valor para comprobar en el campo Nombre del valor.
Ejecutar un programa
Para un requisito personalizado de integridad del host, es posible especificar una funcin para hacer que el cliente inicie un programa. Para ejecutar un programa
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4 5
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Ejecutar un programa. En el campo de texto de comando, escriba el comando para ejecutar el script. Las variables de entorno se sustituyen antes de la ejecucin. Por ejemplo, %windir% reemplaza la ruta de directorio de Windows.
796
El comando Ejecutar debe incluir la ruta de archivo completa, mostrando el nombre del usuario que inicio sesin. Si no hay ningn usuario conectado, el resultado falla.
Para especificar la cantidad de tiempo que se debe permitir para que se complete la ejecucin del comando, seleccione una de las siguientes opciones:
No esperar La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Esperar hasta que finalice la ejecucin Escriba el tiempo mximo. Escriba el tiempo en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
Opcionalmente, anule la seleccin de Mostrar una nueva ventana de proceso si no desea ver una ventana que muestre el requisito que ejecuta el programa.
Ejecutar un script
En el requisito personalizado de integridad del host, es posible especificar una funcin para hacer que el cliente ejecute un script. Es posible utilizar un lenguaje de programacin de scripts, tal como JScript o VBScript, que se puede ejecutar con Microsoft Windows Script Host. Para ejecutar un script
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4 5 6 7
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Ejecutar un script. Escriba un nombre de archivo para el script, como miscript.js. Escriba el contenido del script. En el campo de texto Ejecutar el comando, escriba el comando para ejecutar el script. Utilice %F para especificar el nombre del archivo de script. El script se ejecuta en el contexto del sistema.
797
Para especificar la cantidad de tiempo que se debe permitir para que se complete la ejecucin del comando, seleccione una de las siguientes opciones:
No esperar La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Esperar hasta que finalice la ejecucin Escriba el tiempo mximo. Escriba el tiempo en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
Opcionalmente, anule la seleccin de Eliminar el archivo temporal despus de haber finalizado o terminado la ejecucin si usted ya no lo necesita. Esta opcin est desactivada y no disponible si se selecciona No esperar.
Cuando el cliente recibe un nuevo perfil. Cuando el usuario ejecuta manualmente una comprobacin de integridad del host.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin.
798
Adicin de requisitos personalizados Cmo especificar un tiempo de espera para el script de requisito personalizado
4 5
Haga clic en Utilidad: Establecer marca de hora. Escriba un nombre de hasta 256 caracteres de largo para la opcin del registro que almacena la informacin sobre la fecha y la hora.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4 5 6
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la condicin. Haga clic en Agregar y, despus, clic en IF..THEN... Haga clic en Utilidad: Comprobar marca de hora. Escriba el nombre que especific para la opcin de registro de hora almacenada. Especifique una cantidad de tiempo en minutos, horas, das o semanas. Si la cantidad de tiempo especificada fue aprobada, o si el valor de la opcin del registro est vaco, la funcin Establecer marca de hora devuelve un valor verdadero.
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
2 3 4 5
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Esperar. Escriba el nmero de segundos que se esperar.
Captulo
36
Acerca de los dispositivos Symantec Network Access Control Enforcer Soporte para soluciones de aplicacin de otros fabricantes
Imagen de dispositivo Symantec Network Access Control Gateway Enforcer Imagen de dispositivo Symantec Network Access Control LAN Enforcer
Adems, todos los mdulos de aplicacin Symantec Enforcer basados en Windows funcionan con los clientes administrados para proteger su red. Estos clientes incluyen el cliente de Symantec Endpoint Protection y el cliente de Symantec Network Access Control.
800
Introduccin de los dispositivos Symantec Network Access Control Enforcer Soporte para soluciones de aplicacin de otros fabricantes
Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Planificacin de la instalacin para un dispositivo Gateway Enforcer" en la pgina 821. Ver "Instalar un dispositivo Enforcer" en la pgina 802.
API de aplicacin universal Symantec ha desarrollado la API de aplicacin universal para permitir que otros proveedores con tecnologa relacionada integren sus soluciones con el software de Symantec. Control de admisin de red de Cisco Los clientes de Symantec son compatibles con la solucin Control de admisin de red de Cisco.
Captulo
37
Acerca de cmo instalar un dispositivo Enforcer Instalar un dispositivo Enforcer Acerca de los indicadores y los controles del dispositivo Enforcer Cmo configurar un dispositivo Enforcer Iniciar sesin en un dispositivo Enforcer Cmo configurar un dispositivo Enforcer
Conozca ms sobre las ubicaciones de los componentes en su red. Localice el disco de instalacin 2 de Symantec Network Access Control Enforcer. Este disco contiene el software para todos los tipos de dispositivos Symantec Network Access Control Enforcer. Identifique el nombre del host que desee asignar al dispositivo Enforcer. El nombre de host predeterminado es Enforcer. Es conveniente modificar este nombre para facilitar la identificacin de cada dispositivo Enforcer en una red.
802
Identifique las direcciones IP de las tarjetas de interfaz de red (NIC) en el dispositivo Enforcer. Identifique la direccin IP, el nombre de host o el ID del dominio del servidor de nombre de dominio (DNS), si es necesario. Solamente los servidores DNS pueden resolver nombres de host. Si desea que el dispositivo Enforcer se conecte a Symantec Endpoint Protection Manager usando un nombre de host, necesita conectarse a un servidor DNS. Es posible configurar la direccin IP del servidor DNS durante la instalacin. Sin embargo, se puede usar el comando de configuracin de DNS para cambiar la direccin IP de un servidor DNS de la consola Enforcer con el comando de configuracin de DNS.
Accin
Aprenda dnde colocar Los dispositivos Enforcer necesitan ser colocados en dispositivos Enforcer en ubicaciones especficas en su red para garantizar que su red. todos los endpoints cumplan con su poltica de seguridad. Ver "Planificacin de la instalacin para un dispositivo Gateway Enforcer" en la pgina 821. Ver "Dnde colocar dispositivos LAN Enforcer" en la pgina 880.
Paso 2
Configure el dispositivo. Conecte el dispositivo Enforcer a su red. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Ver "Acerca de los indicadores y los controles del dispositivo Enforcer" en la pgina 803. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Instalacin de todos los tipos de dispositivos Enforcer Acerca de los indicadores y los controles del dispositivo Enforcer
803
Paso
Paso 3
Accin
Descripcin
Configure el dispositivo. Inicie sesin y configure el dispositivo Enforcer desde la lnea de comandos de Enforcer. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
1 2 3 4 5 6 7
Unidad de DVD-ROM Interruptor Icono de reinicio Puertos USB Luz del disco duro Supervisor Reservado; no utilizar
804
Instalacin de todos los tipos de dispositivos Enforcer Cmo configurar un dispositivo Enforcer
Figura 37-2
Panel trasero del dispositivo Enforcer (se muestra el modelo abierto por defecto)
1 2 3 4 5 6 7 8 9 10
Conector del cable elctrico Conector del mouse Conector del teclado Puertos USB Puerto serie Supervisor Reservado; no utilizar Puertos de red reservados; no utilizar Puerto de red eth0 Puerto de red eth1
Es posible utilizar el puerto serie proporcionado y el cable de serie para conectarse a otro sistema que est conectado a un monitor y un teclado. Alternativamente, es posible conectar un monitor o un teclado directamente. Si se conecta mediante el puerto serie, la velocidad de transferencia en baudios predeterminada que se configura en Enforcer es 9600 bps. Es necesario configurar la conexin en el otro sistema para que coincida. La conexin por el puerto serie es el mtodo preferido. Permite transferir archivos, tales como informacin de depuracin, al equipo conectado para la solucin de problemas. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Instalacin de todos los tipos de dispositivos Enforcer Cmo configurar un dispositivo Enforcer
805
Ver "Acerca de los indicadores y los controles del dispositivo Enforcer" en la pgina 803. Para instalar un dispositivo Enforcer
1 2
Desempaquete el dispositivo Enforcer. Monte el dispositivo Enforcer en un bastidor o colquelo en una superficie llana. Consulte las instrucciones de montaje en bastidor que se incluyen con el dispositivo Enforcer.
3 4
Enchfelo en una toma de corriente. Conecte el dispositivo Enforcer usando uno de los mtodos siguientes:
Conecte otro equipo al dispositivo Enforcer usando un puerto serie. Use un cable de mdem nulo con un conector DB9 (hembra). Es necesario usar software de terminal, como HyperTerminal, CRT o NetTerm, para acceder a la consola de Enforcer. Configure su software de terminal a 9600 bps, 8 bits de datos, sin paridad, 1 bit de parada, control de flujo nulo. Conecte un teclado y el monitor VGA directamente al dispositivo Enforcer.
Conecte los cables Ethernet a los puertos de la interfaz de red de la siguiente manera:
dispositivo Gateway Enforcer Conecte dos cables Ethernet: un cable se conecta al puerto eth0 (NIC interna). El otro cable se conecta al puerto eth1 (NIC externa) en la parte posterior del dispositivo Enforcer. La NIC interna conecta la red protegida y Symantec Endpoint Protection Manager. La NIC externa se conecta a los endpoints. Dispositivo LAN Enforcer Conecte un cable Ethernet al puerto eth0 en la parte posterior del dispositivo Enforcer. Este cable se conecta a la red interna. La red interna se conecta a un conmutador compatible con 802.1x y a cualquier conmutador adicional compatible con 802.1x en su red.
Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
806
Instalacin de todos los tipos de dispositivos Enforcer Iniciar sesin en un dispositivo Enforcer
Nota: El dispositivo Enforcer desconecta automticamente a los usuarios despus de 90 segundos de inactividad. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. Para iniciar sesin en un dispositivo Enforcer con acceso a todos los comandos
En la lnea de comandos, inicie sesin en un dispositivo Enforcer con acceso a todos los comandos escribiendo el comando siguiente:
root
Escriba la contrasea que cre durante la instalacin inicial. La contrasea predeterminada es symantec. La lnea de comandos de la consola para la raz es Enforcer#.
Para iniciar sesin en un dispositivo Enforcer con acceso limitado a los comandos
Si desea iniciar sesin en un dispositivo Enforcer con acceso limitado a los comandos, escriba el comando siguiente en la lnea de comandos:
admin
Escriba la contrasea en la lnea de comandos. La contrasea predeterminada es symantec. La lnea de comandos de la consola para el administrador es Enforcer$.
Instalacin de todos los tipos de dispositivos Enforcer Cmo configurar un dispositivo Enforcer
807
Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. Para configurar un dispositivo Enforcer
Donde:
G L dispositivo Gateway Enforcer Dispositivo LAN Enforcer
Modifique el nombre de host del dispositivo Enforcer o presione Enter (Intro) para dejar el nombre de host del dispositivo Enforcer sin cambios. La configuracin predeterminada o el nombre de host del dispositivo Enforcer es Enforcer. El nombre del dispositivo Enforcer se registra automticamente en Symantec Endpoint Protection Manager durante el latido siguiente. En la lnea de comandos, escriba el comando siguiente si desea modificar el nombre de host del dispositivo Enforcer:
2. Set the host name Note: 1) Input new hostname or press "Enter" for no change. [Enforcer]: hostname nombre de host
Ver "Nombre de host" en la pgina 1141. donde nombre_de_host es el nuevo nombre de host para el dispositivo Enforcer. Asegrese de registrar el nombre de host del dispositivo Enforcer en el servidor de nombres de dominio.
Escriba el comando siguiente para confirmar el nuevo nombre de host del dispositivo Enforcer:
show hostname
808
Instalacin de todos los tipos de dispositivos Enforcer Cmo configurar un dispositivo Enforcer
Escriba la nueva contrasea raz cuando se lo indique escribiendo primero el comando siguiente:
contrasea Contrasea anterior: nueva contrasea
Es necesario modificar la contrasea raz con la que usted iniciaba sesin en el dispositivo Enforcer. El acceso remoto no se habilitar hasta que usted modifique la contrasea. La nueva contrasea debe contener, por lo menos, nueve caracteres y una letra minscula, una letra mayscula, un dgito y un smbolo.
6 7
Escriba la nueva contrasea administrativa. Configure la zona horaria siguiendo estas indicaciones.
Set the time zone Current time zone is [+0000]. Change it? [Y/n] If you click 'Y', follow the steps below: 1) Select a continent or ocean 2) Select a country 3) Select one of the time zone regions 4) Set the date and time Enable the NTP feature [Y/n] Set the NTP server: Note: We set up the NTP server as an IP address
8 9
Configure la fecha y la hora. Configure las opciones de configuracin de red y termine la instalacin siguiendo las indicaciones de Enforcer.
Enter network settings Configure eth0: Note: Input new settings. IP address []: Subnet mask []: Set Gateway? [Y/n] Gateway IP[]: Apply all settings [Y/N]:
Captulo
38
Acerca de actualizar y crear nuevas imgenes del dispositivo Enforcer Matriz de compatibilidad de hardware de Enforcer Determinar la versin actual de una imagen del dispositivo Enforcer Cmo actualizar la imagen de dispositivo Enforcer Crear una imagen de un dispositivo Enforcer
810
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Matriz de compatibilidad de hardware de Enforcer
Es posible seleccionar cualquiera de los siguientes mtodos para actualizar la imagen del dispositivo Enforcer:
Actualizar la imagen actual del dispositivo Enforcer. Ver "Cmo actualizar la imagen de dispositivo Enforcer" en la pgina 811. Instalar una imagen de dispositivo Enforcer diferente sobre una imagen de dispositivo Enforcer anterior. Ver "Crear una imagen de un dispositivo Enforcer" en la pgina 812.
Versin de imagen
Dell R200
Probado completamente y admitido completamente Probado completamente y admitido completamente
Dell R210
Probado completamente y admitido completamente Probado completamente y admitido completamente
Probado No admitido completamente y admitido completamente Probado No admitido completamente y admitido completamente No admitido
Versiones de imgenes Probado 11.0.2, 11.0.3, 11.0.4 y completamente 11.0.5 y admitido completamente Versin de imagen 11.0.0, 11.0.1 Probado completamente y admitido completamente
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Determinar la versin actual de una imagen del dispositivo Enforcer
811
Actualice la imagen del dispositivo Enforcer de 5.1.x a la versin actual con un disco USB (bus de serie universal). Actualice la imagen del dispositivo Enforcer de 5.1.x a la versin actual desde un servidor TFTP.
Para actualizar la imagen del dispositivo Enforcer de 5.1.x con un disco USB
1 2
Copie los dos archivos de la actualizacin, initrd-Enforcer.img.gpg y la lista de paquetes, a un disco USB. Escriba el comando siguiente para actualizar automticamente el dispositivo Enforcer: Enforcer# update Ver "Update" en la pgina 1144.
Para actualizar la imagen del dispositivo Enforcer de 5.1.x con un servidor TFTP
Cargue los dos archivos de actualizacin, initrd-Enforcer.img.gpg y la lista de paquetes, a un servidor TFTP (Protocolo de transferencia de archivos trivial) al que pueda conectarse un dispositivo Enforcer. Ejecute el comando siguiente en la consola del dispositivo Enforcer: Enforcer:# update tftp://direccin IP del servidor TFTP Ver "Update" en la pgina 1144.
812
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Crear una imagen de un dispositivo Enforcer
Seleccione 1 para reiniciar el dispositivo Enforcer despus de aplicar la nueva imagen. No inicie la nueva imagen sin reiniciar el dispositivo Enforcer.
5 6
Inicie sesin en el dispositivo Enforcer. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
1 2
Inserte el disco 2 del producto en la unidad de discos del dispositivo Enforcer. En la lnea de comandos, escriba el comando siguiente: Enforcer:# reboot Este comando reinicia el dispositivo Enforcer.
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Crear una imagen de un dispositivo Enforcer
813
En el men Instalacin, seleccione Instalar Symantec Enforcer desde el disco del producto. Si el men de instalacin no funciona, el dispositivo Enforcer se reinicia desde el disco duro, en vez de hacerlo desde el disco del producto. Para crear una imagen, es necesario reiniciar del disco.
Instale y configure el dispositivo Enforcer. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801.
814
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Crear una imagen de un dispositivo Enforcer
Captulo
39
Acerca de realizar tareas bsicas en la consola de un dispositivo Enforcer Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer Acceso remoto a un dispositivo Enforcer
Nombre de host del dispositivo Enforcer Nombre de grupo del grupo de dispositivos Enforcer al cual pertenece el dispositivo Enforcer determinado Direcciones IP de las tarjetas de interfaz de red (NIC) internas y externas
816
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Direccin IP del servidor DNS, si es necesario Direccin IP del servidor NTP, si es necesario
Sin embargo, debe an configurar una conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager. Se ejecuta el comando spm en la consola del dispositivo Enforcer para configurar esta conexin. No es posible proceder con el uso de un dispositivo Enforcer a menos que se termine esta tarea. Ver "Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager" en la pgina 816. Despus de la instalacin y la configuracin inicial de un dispositivo Enforcer, pueden realizar tareas administrativas de la consola de Enforcer o de Symantec Endpoint Protection Manager. Si se administran varios dispositivos Enforcer, es conveniente administrar todos a partir de una ubicacin centralizada. Todos los dispositivos Enforcer, adems, tienen una interfaz de lnea de comandos (CLI) desde la cual es posible ejecutar comandos para modificar cualquier nmero de parmetros. Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131.
Direccin IP de Symantec Endpoint Protection Manager Consulte al administrador del servidor en que Symantec Endpoint Protection Manager ha sido instalado para obtener la direccin IP. Nombre de grupo de Enforcer al cual desea asignar el dispositivo Enforcer Una vez que finaliza la configuracin del nombre de grupo de Enforcer para el dispositivo Enforcer, el nombre de grupo se registra automticamente en Symantec Endpoint Protection Manager
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
817
Nmero de puerto en Symantec Endpoint Protection Manager que se usa para comunicarse con el dispositivo Enforcer El nmero de puerto predeterminado es 8014. La contrasea cifrada que fue creada durante la instalacin inicial de Symantec Endpoint Protection Manager
Para configurar una conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
1 2
Ver "Configuracin de SPM" en la pgina 818. Es posible utilizar el ejemplo siguiente como gua:
spm ip 192.168.0.64 group CorpAppliance http 8014 key symantec
Este ejemplo configura el dispositivo Enforcer para comunicarse con Symantec Endpoint Protection Manager con direccin IP 192.168.0.64 en el grupo CorpAppliance. Utiliza el protocolo HTTP en el puerto 8014 con la contrasea cifrada o el secreto compartido previamente symantec.
Compruebe el estado de la comunicacin del dispositivo Enforcer y de Symantec Endpoint Protection Manager. Ver "Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer" en la pgina 819.
Configure, implemente e instale o descargue el software de cliente si no lo ha hecho. Para permitir que los invitados (equipos cliente no administrados) descarguen automticamente clientes de Symantec Network Access Control On-Demand, configure un dispositivo Gateway Enforcer para administrar el proceso de descarga automtica. Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037.
818
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Configuracin de SPM
El comando configure SPM configura la conexin entre el dispositivo Enforcer y Symantec Endpoint Protection Manager. Es necesario escribir todos los valores si usted modifica alguno de ellos. Cualquier valor que no se especifique automticamente utiliza los valores predeterminados. El comando configure spm utiliza la sintaxis siguiente:
configure spm {[ip <ipaddress>] | [group <group-name>] | [http <port-number>] | https <port-number>] | [key <key-name>]} | [del key <shared-key>]
donde:
ip <direccin_ip> Le permite agregar la direccin IP de Symantec Endpoint Protection Manager.
del key Elimina la clave secreta compartida. <clave_compartida> group Le permite especificar un nombre de grupo preferido para el dispositivo <nombre_de_grupo> Enforcer. Por lo tanto, se recomienda asignar un nombre de grupo nico para distinguir los dispositivos Enforcer en la consola de Symantec Endpoint Protection Manager. http Le permite especificar el protocolo HTTP y el nmero de puerto para <nmero_de_puerto> comunicarse con Symantec Endpoint Protection Manager. El protocolo predeterminado es HTTP. El nmero de puerto predeterminado para el protocolo HTTP es 80. https Le permite especificar el protocolo HTTPS y el nmero de puerto para <nmero_de_puerto> comunicarse con Symantec Endpoint Protection Manager. Es necesario usar este comando solamente si Symantec Endpoint Protection Manager se ha configurado para usar el protocolo HTTPS. El nmero de puerto predeterminado para el protocolo HTTPS es 443. key Le permite especificar la contrasea cifrada que es necesaria si <nombre_de_clave> Symantec Endpoint Protection Manager ha sido instalado con una.
El ejemplo siguiente describe la configuracin de un dispositivo Enforcer para comunicarse con Symantec Endpoint Protection Manager en la direccin IP 192.168.0.64 en un grupo de Enforcer llamado CorpAppliance. Usa el protocolo HTTP en el puerto 80 con la contrasea cifrada security.
configure spm ip 192.168.0.64 group CorpAppliance http 80 key security
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer
819
Inicie sesin en la consola de Enforcer si no ha iniciado sesin an. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
Escriba el comando siguiente: show status Es posible ver informacin sobre el estado de conexin actual. El ejemplo siguiente indica que el dispositivo Enforcer est en lnea y conectado a Symantec Endpoint Protection Manager con una direccin IP 192.168.0.1 y el puerto de comunicaciones 8014:
Enforcer#: show status Enforcer Status: Policy Manager Connected: Policy Manager: Packets Received: Packets Transmitted: Packet Receive Failed: Packet Transfer Failed: Enforcer Health: Enforcer Uptime: Policy ID:
ONLINE(ACTIVE) YES 192.168.0.1 HTTP 8014 3659 3615 0 0 EXCELLENT 10 days 01:10:55 24/03/2010 21:31:55
Conmutador KVM conectado o dispositivo similar Cliente de SSH que admite un servidor de consola de terminal SSH v2 Cable de serie
820
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Acceso remoto a un dispositivo Enforcer
Captulo
40
Planificacin de la instalacin para un dispositivo Gateway Enforcer Configuracin de la NIC del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer
822
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
Ver "Acerca de los clientes de Symantec Network Access Control On-Demand" en la pgina 1030. Gateway Enforcer en este caso no pasa los paquetes, sino que sirve como host. Esta funcionalidad no es de uso frecuente y se hace as desde la lnea de comandos Enforcer.
configure > advanced > guest-enf enable
Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131. Nota: Si actualiza clientes de Symantec Sygate Endpoint Protection 5.1, es necesario actualizar Symantec Endpoint Protection Manager primero y luego sus Enforcers y sus clientes a la versin 12.1 primero. Una vez que tiene Symantec Endpoint Protection Manager y sus Enforcers en la versin 11.x, es necesario seleccionar Permitir clientes de una versin anterior en el men Enforcer, si tiene clientes de versiones anteriores a 11.x, antes de realizar el paso final. A continuacin finalice la actualizacin a la versin actual. Los dispositivos Gateway Enforcer se utilizan tpicamente en las ubicaciones de red siguientes:
VPN Punto de acceso inalmbrico (WAP) Acceso telefnico (servidor de acceso remoto [RAS]) Segmentos de Ethernet (red de rea local [LAN])
Hay varios tipos de informacin sobre planificaciones que pueden ayudarle a implementar los dispositivos Gateway Enforcer en una red. Disposicin general:
Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer" en la pgina 825. Ver "Acerca de usar dos dispositivos Gateway Enforcer en una serie" en la pgina 825.
Ver "Proteccin del acceso VPN mediante un dispositivo Gateway Enforcer" en la pgina 826. Ver "Proteccin de un punto de acceso inalmbrico mediante un dispositivo Gateway Enforcer" en la pgina 826.
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
823
Ver "Proteccin de servidores mediante un dispositivo Gateway Enforcer" en la pgina 826. Ver "Proteccin de servidores y clientes que no utilizan Windows mediante un dispositivo Gateway Enforcer" en la pgina 827. Ver "Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin" en la pgina 828.
Ver "Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer" en la pgina 825. Tpicamente, los dispositivos Gateway Enforcer se colocan en las ubicaciones siguientes:
VPN Entre los concentradores de la red privada virtual (VPN) y la red corporativa Entre un punto de acceso inalmbrico y la red corporativa
Las organizaciones ms grandes pueden necesitar un dispositivo Gateway Enforcer para proteger cada punto de entrada de la red. Los mdulos de aplicacin Gateway Enforcer tpicamente se ubican en diferentes subredes. En la mayora de los casos, es posible integrar dispositivos Gateway Enforcer en una red corporativa sin tener que realizar cambios de configuracin de hardware. Es posible colocar dispositivos Gateway Enforcer al lado de un punto de acceso inalmbrico (WAP) o una red privada virtual (VPN). En una red corporativa, tambin es posible salvaguardar los servidores que contienen informacin confidencial. Los dispositivos Gateway Enforcer deben utilizar dos tarjetas de interfaz de red (NIC). La Figura 40-1 proporciona un ejemplo de dnde es posible colocar dispositivos Gateway Enforcer en la configuracin de red general.
824
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
Figura 40-1
Clientes internos Clientes inalmbricos internos Punto de acceso inalmbrico NIC externa NIC interna Gateway Enforcer NIC externa NIC interna Gateway Enforcer Backbone corporativa Firewall corporativo Servidor de VPN
Clientes internos NIC externa NIC interna Gateway Enforcer Servidores protegidos
Otra ubicacin donde un dispositivo Gateway Enforcer protege una red es en un servidor de acceso remoto (RAS). Los clientes pueden utilizar una conexin de acceso telefnico para conectarse a una red corporativa. Los clientes de acceso
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
825
telefnico RAS se configuran de forma similar a los clientes inalmbricos y VPN. La NIC externa se conecta al servidor RAS y la NIC interna se conecta a la red.
La NIC interna de un dispositivo Gateway Enforcer debe poder comunicarse con Symantec Endpoint Protection Manager. De forma predeterminada, la NIC interna debe estar frente a Symantec Endpoint Protection Manager. Los clientes deben poder comunicarse con la direccin IP interna del dispositivo Gateway Enforcer. El servidor VPN o el punto de acceso inalmbrico pueden estar en una diferente subred. Esto funciona si los clientes pueden ser dirigidos a la misma subred que la direccin IP interna del dispositivo Gateway Enforcer. Para el dispositivo Gateway Enforcer que protege los servidores internos, la NIC interna se conecta a la VLAN que, a su vez, se conecta a los servidores. Si utiliza varios dispositivos Gateway Enforcer en una configuracin de conmutacin por error, la direccin IP de la NIC interna de cada dispositivo Gateway Enforcer debe tener su propia direccin IP nica.
El dispositivo Gateway Enforcer genera una direccin de NIC externa falsa, basada en la direccin de la NIC interna. No es necesario configurar esta direccin de nuevo si se instala otro dispositivo Gateway Enforcer. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
826
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
827
Enforcer para proteger los servidores en una red. Un dispositivo Gateway Enforcer puede colocarse entre los clientes en una LAN corporativa y los servidores que salvaguarda. La NIC externa hace referencia a la LAN corporativa dentro de la compaa, y la NIC interna hace referencia a los servidores protegidos. Esta configuracin impide que los usuarios o los clientes no autorizados accedan a los servidores. Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Proteccin de servidores y clientes que no utilizan Windows mediante un dispositivo Gateway Enforcer
Es posible instalar los servidores y los clientes en Microsoft Windows y otros sistemas operativos. Sin embargo, el dispositivo Gateway Enforcer no puede autenticar servidores ni clientes que no se ejecuten en un equipo que no admita Microsoft Windows. Si una organizacin incluye los servidores y los clientes con los sistemas operativos en los cuales el software de cliente no est instalado, debe decidir cul de los mtodos siguientes usar:
Implementacin de compatibilidad a travs de un dispositivo Gateway Enforcer. Ver "Implementacin de clientes que no utilizan Windows a travs de un dispositivo Gateway Enforcer" en la pgina 827. Implementacin de compatibilidad sin un dispositivo Gateway Enforcer. Ver "Implementacin de clientes que no utilizan Windows sin un dispositivo Gateway Enforcer" en la pgina 828.
828
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
Un servidor VPN puede admitir clientes que tienen el software de cliente instalado. Los equipos cliente basados en Windows pueden conectarse a la red corporativa a travs de un dispositivo Gateway Enforcer. Otros El servidor VPN admite clientes que ejecutan sistemas operativos que no son de Windows. Entonces, el equipo cliente que no est basado en Windows puede conectarse a la red corporativa sin un dispositivo Gateway Enforcer.
Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin
Es posible configurar el dispositivo Gateway Enforcer para permitir los clientes que no utilizan Windows sin autenticacin. Ver "Requisitos para clientes que no utilizan Windows" en la pgina 829. Cuando un cliente intenta acceder a la red por medio de un dispositivo Gateway Enforcer, el dispositivo Enforcer primero comprueba si el software de cliente ha sido instalado en el equipo cliente. Si el cliente no se ejecuta y la opcin de permitir los clientes que no utilizan Windows est configurada, el dispositivo Gateway Enforcer comprueba el sistema operativo.. Comprueba el sistema operativo enviando paquetes de informacin para sondear el cliente a fin de detectar el tipo de sistema operativo que ejecuta actualmente. Si el cliente ejecuta un sistema operativo que no es Windows, se le permite el acceso de red regular.
Planificacin para la instalacin del dispositivo Gateway Enforcer Configuracin de la NIC del dispositivo Gateway Enforcer
829
el dispositivo Gateway Enforcer permite que el cliente se conecte a la red sin la autenticacin. El dispositivo Gateway Enforcer detecta correctamente el sistema operativo Windows si el cliente con Windows cumple los siguientes requisitos:
La opcin Cliente para redes Microsoft debe estar instalada y habilitada en el cliente. Consulte la documentacin de Windows. El puerto UDP 137 debe estar abierto en el cliente. Debe ser accesible para Gateway Enforcer.
Si un cliente de Windows no cumple estos requisitos, el dispositivo Gateway Enforcer puede interpretar el cliente de Windows como un cliente que no utiliza Windows. Por lo tanto, el dispositivo Gateway Enforcer puede permitir que el cliente que no utiliza Windows se conecte a la red sin autenticacin. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 857.
El Uso compartido de Windows debe estar activado. Se habilita esta configuracin predeterminada. El firewall integrado de Macintosh debe estar apagado. sta es la opcin predeterminada.
Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 857.
830
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer
Nota: Si usa Gateway Enforcer para descargar clientes bajo demanda y ha habilitado el enlace 801.q en el conmutador, compruebe la velocidad de conexin de NIC. Para descargar correctamente el cliente bajo demanda, ambas NIC deben conectarse al conmutador con la misma velocidad de conexin. Ver "Comandos de nivel superior" en la pgina 1139.
Cmo funciona la conmutacin por error con los dispositivos Gateway Enforcer en la red
El dispositivo Gateway Enforcer en funcionamiento se denomina dispositivo Gateway Enforcer activo. El dispositivo Gateway Enforcer de reserva se llama dispositivo Gateway Enforcer en espera. El dispositivo Gateway Enforcer activo
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer
831
tambin se denomina dispositivo Gateway Enforcer primario. Si el dispositivo Gateway Enforcer activo falla, el dispositivo Gateway Enforcer en espera asume el control las tareas de aplicacin. La secuencia en la cual se inician los dos dispositivos Gateway Enforcer es la siguiente:
Cuando se inicia el primer dispositivo Gateway Enforcer, se ejecuta en modo de espera. Mientras est en modo espera, consulta la red para determinar si hay otro dispositivo Gateway Enforcer en ejecucin. Enva tres consultas para buscar otro Gateway Enforcer. Por lo tanto, puede tardar varios minutos en modificar su estado a En lnea. Si el primer dispositivo Gateway Enforcer no detecta otro dispositivo Gateway Enforcer, el primero se convierte en el dispositivo Gateway Enforcer activo. Mientras que el dispositivo Gateway Enforcer activo se ejecute, difunde los paquetes de conmutacin por error en las redes internas y externas. Contina difundiendo los paquetes de conmutacin por error. Cuando se inicia el segundo dispositivo Gateway Enforcer, se ejecuta en modo de espera. Consulta la red para determinar si hay otro dispositivo Gateway Enforcer en ejecucin. El segundo dispositivo Gateway Enforcer detecta el dispositivo Gateway Enforcer activo que se est ejecutando y, por lo tanto, permanece en modo de espera. Si el dispositivo Gateway Enforcer activo falla, se detiene para difundir paquetes de conmutacin por error. El dispositivo Gateway Enforcer en espera ya no detecta un dispositivo Gateway Enforcer activo. Por lo tanto, ahora se convierte en el dispositivo Gateway Enforcer activo que maneja las conexiones de red y la seguridad en esta ubicacin. Si se inicia el otro dispositivo Gateway Enforcer, ste permanece como dispositivo Gateway Enforcer en espera porque detecta que otro dispositivo Gateway Enforcer est funcionando.
Ver "Configurar dispositivos Gateway Enforcer para conmutacin por error" en la pgina 834.
Dnde colocar dispositivos Gateway Enforcer para la conmutacin por error en una red con una o ms VLAN
Se configura un dispositivo Gateway Enforcer para la conmutacin por error por su ubicacin fsica y por la configuracin que se realiza en Symantec Endpoint Protection Manager. Si utiliza un hub que admita varias VLAN, es posible utilizar
832
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer
solamente una VLAN a menos que se integre un conmutador compatible con 802.1q en vez de un hub. El dispositivo Gateway Enforcer para la conmutacin por error se debe configurar en el mismo segmento de la red. No se puede instalar un router o un gateway entre los dos dispositivos Gateway Enforcer. Un router o gateway no remite el paquete de conmutacin por error. Las NIC internas deben conectarse a la red interna mediante el mismo conmutador o hub. Las NIC externas deben conectarse al servidor de VPN externa o al punto de acceso mediante el mismo conmutador o hub. Se utilizan procesos similares para configurar dispositivos Gateway Enforcer para la conmutacin por error en un AP inalmbrico, un RAS de acceso telefnico u otros puntos de acceso. Las NIC externas de ambos dispositivos Gateway Enforcer se conectan a la red externa a travs de un AP inalmbrico o un servidor RAS. Las NIC internas se conectan a la red interna o al rea que est protegida. En la Figura 40-2 se muestra cmo configurar dos dispositivos Gateway Enforcer para que la conmutacin por error proteja el acceso de red en un concentrador VPN.
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer
833
Figura 40-2
VPN
Clientes internos Firewall corporativo Firewall corporativo NIC externa NIC interna Gateway Enforcer 1 NIC externa Hub/VLAN NIC interna Gateway Enforcer 2
Hub/VLAN
Ver "Configurar dispositivos Gateway Enforcer para conmutacin por error" en la pgina 834.
834
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer
Coloque los equipos en la red. Ver "Dnde colocar dispositivos Gateway Enforcer para la conmutacin por error en una red con una o ms VLAN" en la pgina 831.
Configure las NIC internas. Las NIC externas de varios dispositivos Gateway Enforcer deben cada una tener una diferente direccin IP. Ver "Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer" en la pgina 825.
Nota: Las funcionalidades de la conmutacin por error no son posibles si configuran los Enforcers en modo de apertura en caso de error. Elija tener funcionalidades de conmutacin por error o de apertura en caso de error. Las opciones se excluyen mutuamente. Ver "Instalar un dispositivo Enforcer" en la pgina 802.
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer
835
Ver "Planificacin conmutacin por error de dispositivos Gateway Enforcer" en la pgina 830.
836
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer
Captulo
41
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager
En este captulo se incluyen los temas siguientes:
Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway Acerca de la configuracin de la autenticacin en un dispositivo Gateway Configuracin del intervalo de autenticacin Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
838
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager
Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager
Es posible agregar o editar la configuracin para el dispositivo Gateway Enforcer en la consola de Symantec Endpoint Protection Manager. Antes de que pueda proceder, es necesario completar las siguientes tareas:
Instale el software para Symantec Endpoint Protection Manager en un equipo. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. El equipo en el cual el software de Symantec Endpoint Protection Manager est instalado adems se conoce como el servidor de administracin. Conecte el dispositivo Symantec Gateway Enforcer a la red. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. Configure el dispositivo Symantec Gateway Enforcer en la consola local de Gateway Enforcer durante la instalacin. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
Una vez que finalice estas tareas, es posible especificar todas las opciones de configuracin adicionales para el dispositivo Gateway Enforcer en un servidor de administracin. Cuando se instala un dispositivo Gateway Enforcer, un nmero de configuraciones y puertos predeterminados se configuran automticamente. Las configuraciones predeterminadas del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager permiten que todos los clientes se conecten a la red si el cliente aprueba la comprobacin de integridad del host. El dispositivo Gateway Enforcer acta como puente. Por lo tanto es posible completar el proceso de configuracin del dispositivo Gateway Enforcer e implementar clientes sin bloquear el acceso a la red. Sin embargo, es necesario cambiar la configuracin predeterminada en Symantec Endpoint Protection Manager para limitar qu clientes tienen permitido el acceso sin autenticacin. Opcionalmente, hay otras opciones de configuracin predeterminadas de Enforcer para el dispositivo Gateway Enforcer que pueden personalizarse antes de comenzar la implementacin.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
839
Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
Es posible modificar las opciones de configuracin del dispositivo Gateway Enforcer en un servidor de administracin. Las opciones de configuracin se descargan automticamente del servidor de administracin al dispositivo Gateway Enforcer durante el latido siguiente. Para cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione el grupo de mdulos de aplicacin Enforcer del que el dispositivo Gateway Enforcer es un miembro. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual las opciones de configuracin deben modificarse.
840
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
841
En el cuadro de dilogo Configuracin, modifique cualquiera de las opciones de configuracin. El cuadro de dilogo Configuracin de Gateway Enforcer proporciona las categoras siguientes de opciones de configuracin:
General Configuracin de la descripcin del grupo y la lista de servidores de administracin de Enforcer. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842. Autenticacin Configuracin para una variedad de parmetros que afectan el proceso de autenticacin del cliente. Si an no se encuentra una direccin que coincida, el dispositivo Gateway Enforcer comienza la sesin de autenticacin y enva el paquete de desafo. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Intervalo de aut. Configuracin que especifica una direccin IP individual para un cliente o intervalos de direcciones IP para los clientes que necesitan ser autenticados. Es posible tambin especificar una direccin IP individual o intervalos de direcciones IP para los clientes a los que se permite conectarse a una red sin autenticacin. Ver "Configuracin del intervalo de autenticacin" en la pgina 861. Avanzado Configuracin para los parmetros de tiempos de espera de la autenticacin y tiempos de espera de mensaje del dispositivo Gateway Enforcer. Configuracin para las direcciones MAC para los hosts de confianza que el dispositivo Gateway Enforcer permite que se conecten sin autenticacin (opcional). Configuracin para Falsificacin de DNS y Autenticacin local. Configuracin para los protocolos que se permitirn sin bloquear clientes. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873.
842
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway
Configuracin para habilitar el registro de los registros de servidor y los registros de actividades del cliente, y para especificar parmetros del archivo de registro. Ver "Acerca de los informes y registros de Enforcer" en la pgina 953. Ver "Configurar opciones de registro de Enforcer" en la pgina 954.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway
843
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el dispositivo Gateway Enforcer cuya descripcin se desea agregar o editar. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, agregue o edite una descripcin para el grupo de dispositivos Gateway Enforcer en el campo Descripcin. Haga clic en Aceptar.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores.
844
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway
3 4 5 6 7
Seleccione y expanda el dispositivo Gateway Enforcer cuya descripcin se desea agregar o editar. Seleccione el dispositivo Gateway Enforcer cuya descripcin desea agregar o editar. En Tareas, haga clic en Editar propiedades de Enforcer. En el cuadro de dilogo Propiedades de Enforcer, agregue o edite una descripcin para el dispositivo Gateway Enforcer en el campo Descripcin. Haga clic en Aceptar.
Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties
Los dispositivos Gateway Enforcer deben poder conectarse a los servidores en los cuales Symantec Endpoint Protection Manager est instalado. Symantec Endpoint Protection Manager incluye un archivo que ayuda a administrar el trfico entre los clientes, los servidores de administracin y los mdulos de Enforcer opcionales, como un dispositivo Gateway Enforcer. Este archivo se denomina lista de servidores de administracin. La lista de servidores de administracin especifica a qu Symantec Endpoint Protection Manager se conecta Gateway Enforcer. Adems, especifica a qu Symantec Endpoint Protection se conecta Gateway Enforcer en caso de error de un servidor de administracin. Una lista predeterminada de servidores de administracin se crea automticamente para cada sitio durante la instalacin inicial. Todos los servidores de administracin
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway
845
disponibles en ese sitio se agregan automticamente a la lista de servidores de administracin predeterminada. Una lista predeterminada de servidores de administracin incluye las direcciones IP o los nombres de host del servidor de administracin al cual los dispositivos Gateway Enforcer pueden conectarse despus de la instalacin inicial. Es conveniente crear una lista personalizada de servidores de administracin antes de implementar cualquier dispositivo Gateway Enforcer. Si crea una lista personalizada de servidores de administracin, es posible especificar la prioridad con la cual un dispositivo Gateway Enforcer puede conectarse a los servidores de administracin. Si un administrador ha creado varias listas de servidores de administracin, es posible seleccionar la lista especfica de servidores de administracin que incluye las direcciones IP o los nombres de host de los servidores de administracin a los que es necesario que el dispositivo Gateway Enforcer se conecte. Si hay solamente un servidor de administracin en un sitio, es posible seleccionar la lista predeterminada de servidores de administracin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager" en la pgina 838. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842. Para establecer la comunicacin entre Gateway Enforcer y Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee modificar la direccin IP o el nombre de host en una lista de servidores de administracin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, en Comunicacin, seleccione la lista de servidores de administracin que desee que el dispositivo Gateway Enforcer use. Haga clic en Seleccionar. Es posible ver las direcciones IP y los nombres de host de todos los servidores de administracin disponibles, adems de las prioridades que se les han asignado.
846
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
7 8
En el cuadro de dilogo Lista de servidores de administracin, haga clic en Cerrar. En el cuadro de dilogo Configuracin, haga clic en Aceptar.
Es posible tambin activar o desactivar si el servidor de administracin est escuchando a Enforcer, cambiando una lnea en el archivo conf.properties. Para configurar el servidor de administracin a fin de que escuche el subproceso de Enforcer editando el archivo conf.properties
Abra el archivo conf.properties en un programa de edicin de texto simple, tal como el Bloc de notas. El archivo conf.properties se encuentra en la carpeta siguiente: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\etc.
2 3 4
Busque la lnea que comienza con scm.radius.port.enabled Para deshabilitar el subproceso de Enforcer, aada =0 al final la lnea, lo que dar como resultado scm.radius.port.enabled=0 Para habilitar el subproceso de Enforcer , aada =1 a la lnea, lo que dar como resultado scm.radius.port.enabled=1
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
847
Tabla 41-1
Opcin
Cantidad mxima de paquetes por sesin de autenticacin
Tiempo entre los paquetes en El tiempo en segundos entre cada paquete que Enforcer la sesin de autenticacin enva. (segundos) El valor predeterminado es 3 segundos. El intervalo es de 3 a 10. Ver "Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes" en la pgina 853. Tiempo durante el cual se bloquear al cliente rechazado (segundos) La cantidad de tiempo en segundos durante la cual un cliente se bloquea despus de que falle la autenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin" en la pgina 854. Tiempo durante el cual se admitir al cliente autenticado (segundos) La cantidad de tiempo en segundos durante la cual se permite a un cliente conservar su conexin de red sin reautenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin" en la pgina 855.
848
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
Opcin
Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados
Descripcin
Si se habilita esta opcin, el dispositivo Gateway Enforcer autentica todos los usuarios comprobando que estn ejecutando un cliente. El dispositivo Gateway Enforcer adems comprueba si el cliente pas la comprobacin de integridad del host. Si el cliente aprueba la comprobacin de integridad del host, el dispositivo Gateway Enforcer registra los resultados. A continuacin, transmite la solicitud de Gateway para recibir una configuracin de red normal, en lugar de una configuracin de red de cuarentena, sin importar si aprueba o falla la comprobacin. En la configuracin predeterminada, no se habilita. Ver "Permitir todos los clientes con el registro continuo de clientes no autenticados" en la pgina 855.
Permitir todos los clientes Si se habilita esta opcin, Gateway Enforcer comprueba el con sistemas operativos que sistema operativo del cliente. El dispositivo Gateway no sean Windows Enforcer entonces permite que todos los clientes que no ejecuten sistemas operativos de Windows reciban una configuracin de red normal sin ser autenticados. Si esta opcin no se habilita, los clientes reciben una configuracin de red de cuarentena. En la configuracin predeterminada, no se habilita. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 857. Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red Si se habilita esta opcin, el dispositivo Gateway Enforcer verifica que el cliente haya recibido las ltimas polticas de seguridad del servidor de administracin. Si el nmero de serie de la poltica no es el ms reciente, Gateway Enforcer notifica al cliente para que actualice su poltica de seguridad. El cliente entonces transmite la solicitud de Gateway para recibir una configuracin de red de cuarentena. Si esta opcin no se habilita y si la comprobacin de integridad del host es correcta, el dispositivo Gateway Enforcer transmite la solicitud de Gateway para recibir una configuracin de red normal. Gateway Enforcer remite la solicitud, incluso si el cliente no tiene la ltima poltica de seguridad. En la configuracin predeterminada, no se habilita. Ver "Cmo comprobar el nmero de serie de la poltica en un cliente" en la pgina 858.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
849
Opcin
Descripcin
Habilitar el mensaje Si se habilita esta opcin, se muestra un mensaje a los emergente en el cliente si el usuarios en los equipos con Windows que intentan cliente no se est ejecutando conectarse a una red empresarial sin ejecutar un cliente. El mensaje predeterminado est configurado para mostrarse solo una vez. El mensaje dice a los usuarios que estn bloqueados y no pueden acceder a la red porque no se est ejecutando un cliente y les indica que lo instalen. Para editar el mensaje o modificar cuantas veces se visualiza, es posible hacer clic en Message (Mensaje). La longitud de mensaje mxima es de 128 caracteres. La configuracin predeterminada est habilitada.
850
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
Opcin
Descripcin
Puerto de redireccin HTTP Es posible especificar un nmero de puerto, con excepcin del 80, cuando se redirigen los clientes a un sitio web de reparacin. La configuracin predeterminada para el servidor web es el puerto 80. Ver "Redireccin de solicitudes HTTP a una pgina web" en la pgina 860.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
851
Determina si se autenticar el cliente o se lo permitir sin autenticacin. Es posible especificar clientes individuales o intervalos de direcciones IP en los que se confiar o que se autenticarn en la ficha Intervalo de aut. Realiza la sesin de autenticacin. Se configuran las opciones para la sesin de autenticacin en la ficha Autenticacin.
Cada Gateway Enforcer mantiene las siguientes listas de direcciones IP de confianza a las que se permite conectarse a la red a travs de Gateway Enforcer:
Una lista esttica Las direcciones IP externas de confianza que se configuran para Enforcer en la ficha Intervalo de aut. Una lista dinmica Las direcciones IP de confianza adicionales que se agregan y se descartan como clientes son autenticadas, reciben permiso para conectarse a la red y finalmente son desconectadas.
Cuando el trfico llega desde un nuevo cliente, el dispositivo Gateway Enforcer determina si este cliente est incluido en la lista de direcciones IP de clientes de confianza. Si el cliente tiene una direccin IP de confianza, se permite en la red sin autenticacin adicional. Si al cliente le falta una direccin IP de confianza, el dispositivo Gateway Enforcer comprueba si la direccin IP de confianza est dentro del intervalo de la direccin IP del cliente para los clientes que se deben autenticar. Si la direccin IP del cliente est dentro del intervalo de direcciones IP del cliente, el dispositivo Gateway Enforcer comienza una sesin de autenticacin. Durante la sesin de autenticacin, el cliente enva su nmero de ID nico, los resultados de la comprobacin de integridad del host y su nmero de serie de polticas. El nmero de serie de polticas identifica si las polticas de seguridad del cliente estn actualizadas. El dispositivo Gateway Enforcer comprueba los resultados. Puede comprobar opcionalmente el nmero de serie de las polticas. Si los resultados son vlidos, el dispositivo Gateway Enforcer da al cliente un estado autenticado y permite el acceso de red al cliente. Si los resultados no son vlidos, el dispositivo Gateway Enforcer bloquea el cliente y le impide conectarse a la red.
852
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
Cuando se autentica un cliente, se agrega la direccin IP de ese cliente a la lista dinmica con un temporizador. El intervalo predeterminado del temporizador es de 30 segundos. Despus de que haya transcurrido el intervalo del temporizador, el dispositivo Gateway Enforcer comienza una nueva sesin de autenticacin con el cliente. Si el cliente no responde o falla la autenticacin, se elimina la direccin IP del cliente de la lista. La direccin IP tambin se bloquea durante un intervalo especificado. La configuracin predeterminada es 30 segundos. Cuando otro cliente intenta iniciar sesin usando esa misma direccin IP, este tiene que ser reautenticado. Ver "Configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846.
El dispositivo Gateway Enforcer recibe una respuesta del cliente. El dispositivo Gateway Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada para el nmero mximo de paquetes de desafo para una sesin de autenticacin es de 10 paquetes. El intervalo es de 2 a 100 paquetes. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin
1 2 3
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
853
En el cuadro de dilogo Configuracin de Gateway, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero mximo de paquetes de desafo que desee permitir durante una sesin de autenticacin en el campo Cantidad mxima de paquetes por sesin de autenticacin. La configuracin predeterminada es 10 segundos. El intervalo es de 2 a 100 paquetes.
El dispositivo Gateway Enforcer recibe una respuesta del cliente. El dispositivo Gateway Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada es cada 3 segundos. El intervalo es de 3 a 10 segundos. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes.
854
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero mximo de paquetes de desafo que desee que el dispositivo Gateway Enforcer siga enviando a un cliente durante una sesin de autenticacin en el campo Tiempo entre los paquetes en la sesin de autenticacin. La configuracin predeterminada es 3 segundos. El intervalo es de 3 a 10 segundos.
Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin
Es posible especificar la cantidad de tiempo durante la cual un cliente quedar bloqueado despus de que falle la autenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar la cantidad de tiempo durante la cual un cliente se bloquea despus de que falle la autenticacin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero de segundos para la cantidad de tiempo durante el cual un cliente estar bloqueado despus de que falle la autenticacin en el campo Tiempo durante el cual se bloquear al cliente rechazado (segundos). Haga clic en Aceptar.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
855
Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin
Es posible especificar la cantidad de tiempo en segundos durante la cual se permite a un cliente conservar su conexin de red sin reautenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar la cantidad de tiempo durante la cual un cliente se bloquea despus de que falle la autenticacin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero de segundos durante los cuales se permite a un cliente conservar su conexin de red sin reautenticacin en el campo Tiempo durante el cual se admitir al cliente autenticado (segundos). La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos.
856
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
Gateway Enforcer bloquea estos clientes. Tiene la opcin de permitir que todos los clientes que no son de Windows se conecten a la red. Si no se autentica un cliente con esta configuracin, el dispositivo Gateway Enforcer detecta el tipo de sistema operativo. Por lo tanto, los clientes de Windows se bloquean y se permite que los clientes que no usan Windows accedan a la red. En la configuracin predeterminada, no se habilita. Utilice las instrucciones siguientes cuando se aplican las opciones de configuracin:
Esta configuracin debe ser una medida temporal porque hace que la red sea menos segura. Mientras esta configuracin est en efecto, es posible revisar los registros de Enforcer. Es posible saber qu tipos de clientes intentan conectarse a la red en esa ubicacin. Por ejemplo, es posible revisar el Registro de actividades del cliente para ver si los clientes no tienen el software de cliente instalado. Puede entonces asegurarse de que el software de cliente est instalado en esos clientes antes de deshabilitar esta opcin.
Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para permitir todos los clientes con el registro continuo de clientes no autenticados
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee permitir todos los clientes mientras contina el registro de clientes no autenticados.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados. En la configuracin predeterminada, no se habilita.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
857
Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin
El dispositivo Gateway Enforcer no puede autenticar un cliente que ejecute un sistema operativo que no sea Windows. Por lo tanto, los clientes que no utilizan Windows no pueden conectarse a la red, a menos que se permita especficamente que se conecten a la red sin autenticacin. En la configuracin predeterminada, no se habilita. Es posible utilizar uno de los siguientes mtodos para habilitar los clientes que admiten una plataforma que no es de Windows se conecten a la red:
Especifique cada cliente que no utiliza Windows como host de confianza. Permita todos los clientes con sistemas operativos que no sean Windows.
El dispositivo Gateway Enforcer detecta el sistema operativo del cliente y autentica los clientes de Windows. Sin embargo, no permite que los clientes que no utilizan Windows se conecten al dispositivo Gateway Enforcer sin autenticacin. Si es necesario tener clientes que no sean de Windows conectados a la red, deber establecer la configuracin adicional en la consola de Symantec Endpoint Protection Manager. Ver "Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin" en la pgina 828. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee permitir que todos los clientes que no son de Windows se conecten a una red.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes con sistemas operativos que no sean Windows. En la configuracin predeterminada, no se habilita.
858
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
Recupera el nmero de serie de las polticas de Symantec Endpoint Protection Manager. Compara el nmero de serie de la poltica con el que recibe del cliente. Si los nmeros de serie de las polticas coinciden, el dispositivo Gateway Enforcer ha validado que el cliente est ejecutando una poltica de seguridad actualizada.
El valor predeterminado para esta configuracin es sin habilitar. Las instrucciones siguientes se aplican:
Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red se selecciona, un cliente debe tener la ltima poltica de seguridad antes de poder conectarse a la red por medio del dispositivo Gateway Enforcer. Si el cliente no tiene la ltima poltica de seguridad, se notifica al cliente que descargue la ltima poltica. El dispositivo Gateway Enforcer entonces transmite su solicitud de Gateway para recibir una configuracin de red de cuarentena. Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red no se habilita y la comprobacin de integridad del host es correcta, un cliente puede conectarse a la red. El cliente puede conectarse a travs del dispositivo Gateway Enforcer, incluso si su poltica de seguridad no est actualizada.
Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para hacer que el dispositivo Gateway Enforcer compruebe el nmero de serie de polticas en un cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer que comprueba el nmero de serie de las polticas en un cliente.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
859
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red. Haga clic en Aceptar.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Habilitar mensaje emergente en el cliente Windows si el cliente no se est ejecutando.
860
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
6 7
Haga clic en Mensaje. En el cuadro de dilogo Configuracin del mensaje emergente, seleccione cuntas veces es necesario que el mensaje aparezca en un cliente desde la lista Aparecer el siguiente mensaje. Es posible seleccionar cualquiera de los siguientes perodos:
Una vez El valor predeterminado es Una vez. Cada 30 segundos Cada minuto Cada 2 minutos Cada 5 minutos Cada 10 minutos
Escriba el mensaje que desee mostrar en el cuadro de texto. El nmero mximo de caracteres es 125. Este nmero incluye espacios y signos de puntuacin. El mensaje predeterminado es:
You are blocked from accessing the network because you do not have the Symantec Client running. You will need to install it.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
861
Por ejemplo, es posible redirigir una solicitud a un servidor web desde el cual el cliente pueda descargar el software de cliente, los parches o las versiones actualizadas de las aplicaciones. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para redireccionar solicitudes HTTP a una pgina web
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Autenticacin, seleccione Habilitar la redireccin HTTP en el cliente si este no se est ejecutando. Escriba la URL en el campo URL de redireccin HTTP. El host de la URL de redireccin debe ser Symantec Endpoint Protection o una direccin IP que se enumera como parte del intervalo de IP de confianza interno. La URL puede tener hasta 255 caracteres. Si desea especificar un nombre de un servidor web, se debe adems habilitar Permitir todos los paquetes de solicitudes DNS en la ficha Opciones avanzadas. Si deja el campo URL vaco y despus hace clic en Aceptar, aparece el siguiente mensaje:
The HTTP redirect URL must be a valid URL.
Adems, utiliza el mensaje emergente de Gateway Enforcer como cuerpo HTML para la primera pgina HTML devuelta al cliente.
862
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Direcciones IP externas que el dispositivo Gateway Enforcer no autentica Ver "Especificar direcciones IP externas de confianza" en la pgina 870. Direcciones IP internas a las cuales Gateway Enforcer permite el acceso Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
Una vez que aplique la configuracin, los cambios se envan al dispositivo Gateway Enforcer seleccionado durante el latido siguiente. Tenga presente la siguiente informacin:
La opcin Solo autenticar clientes con estas direcciones IP no est seleccionada de forma predeterminada. Si deja esta opcin seleccionada y no especifica ninguna direccin IP para autenticar, el dispositivo Gateway Enforcer acta como puente de red y permite el acceso de todos los clientes. Para Direcciones del intervalo de direcciones IP externas de confianza, es necesario agregar la direccin IP del servidor VPN corporativo, adems de cualquier otra direccin IP a la que se permita tener acceso a la red corporativa sin ejecutar un cliente. Es posible tambin incluir los dispositivos que normalmente tienen acceso a la red y ejecutan un sistema operativo que no sea Windows. Para Direcciones del intervalo de direcciones IP internas de confianza, es posible que sea necesario especificar direcciones, como un servidor de actualizaciones, un servidor de archivos que contenga los archivos de firmas antivirus, un servidor utilizado para la reparacin o un servidor DNS o WINS necesario para resolver el dominio o los nombres de hosts. Si especifica que el dispositivo Gateway Enforcer compruebe que el perfil del cliente est actualizado, los clientes pueden necesitar conectarse a Symantec Endpoint Protection Manager para descargar las ltimas polticas de seguridad. Si utiliza esta opcin al hacer referencia a Symantec Endpoint Protection Manager por su nombre de DNS o nombre de host, debe agregar la direccin IP del servidor DNS o WINS a la lista de direcciones IP internas de confianza.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
863
seguridad obligatorias. Si un cliente no est en la lista de IP de clientes, funciona como si se le hubiera asignado una direccin IP de confianza. En contraste con el intervalo de direcciones IP de clientes, las direcciones IP externas de confianza son similares a lo que se denomina lista blanca. Si activa la asignacin de direcciones IP externas de confianza, el dispositivo Gateway Enforcer valida el cliente que intenta conectarse desde el lado externo, excepto los clientes con direcciones IP externas de confianza. Este proceso es lo contrario de lo que ocurre con el intervalo de direcciones IP de clientes, que indica al dispositivo Gateway Enforcer que valide solamente los clientes en el intervalo de direcciones IP de cliente. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Permitir el acceso de red a los sitios Web externos Autenticar un subconjunto de clientes
Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
864
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
El intervalo de direcciones IP de clientes puede incluir todas las direcciones IP que un servidor VPN asignara a cualquier cliente. Por ejemplo, un cliente interno puede acceder a Internet si se configura el intervalo de direcciones IP de clientes. Cuando un usuario interno contacta un sitio web, el sitio puede responder al cliente porque su direccin IP est fuera del intervalo de direcciones IP del cliente. Por lo tanto, el usuario interno no necesita ser autenticado. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Direcciones IP externas de confianza Una direccin IP externa de confianza es la direccin IP de un equipo externo al que se permite acceder a la red corporativa sin ejecutar el cliente. Ver "Especificar direcciones IP externas de confianza" en la pgina 870. Direcciones IP internas de confianza Una direccin IP interna de confianza es la direccin IP de un equipo dentro de la red corporativa al que cualquier cliente puede acceder desde el exterior. Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
Es posible agregar direcciones IP de confianza de ambos tipos en la consola de Symantec Endpoint Protection Manager. El trfico a la consola est siempre permitido desde el dispositivo Gateway Enforcer.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
865
El software de cliente ha sido instalado en el equipo cliente El cliente cumple con una poltica de seguridad
Las direcciones IP internas de confianza son las direcciones IP internas a las que los usuarios fuera de la compaa pueden acceder. Algunos ejemplos de direcciones internas que es posible especificar como direcciones IP de confianza son los siguientes:
Un servidor de actualizaciones Un servidor de archivos que contiene archivos de firmas de antivirus Un servidor que se utiliza para correcciones Un servidor DNS o un servidor WINS que es necesario para resolver el dominio o los nombres de host
Cuando un cliente intenta acceder a la red interna y no es autenticado por el dispositivo Gateway Enforcer, el cliente puede ser colocado en cuarentena cuando:
866
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
El cliente no est ejecutando el software de cliente en el equipo cliente. La comprobacin de integridad del host fall. El cliente no tiene una poltica actualizada.
An se permite al cliente acceder a ciertas direcciones IP; stas son las direcciones IP internas de confianza. Por ejemplo, el concepto de direcciones IP internas de confianza puede incluir un cliente externo que necesita acceder a la red corporativa para obtener software cliente u otro software que necesite. El dispositivo Gateway Enforcer permite que el cliente externo se comunique con un equipo que est en la lista de direcciones IP internas de confianza. Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
Es necesario seleccionar la opcin Habilitar que se encuentra al lado de la direccin IP o el intervalo de direcciones IP si desea autenticar esa direccin. Si desea deshabilitar temporalmente la autenticacin de una direccin o de un intervalo, anule la seleccin de Habilitar. Si escribe una direccin IP no vlida, recibir un mensaje de error cuando intente agregarla a la lista de IP de clientes.
Ver "Cundo utilizar intervalos de direcciones IP de clientes" en la pgina 863. Para restringir el acceso de red de un cliente a pesar de la autenticacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda los grupos del dispositivo Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
867
En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea de Autenticar intervalo de direcciones IP de clientes, seleccione Solo autenticar clientes con estas direcciones IP. Si no selecciona esta opcin, se omite cualquier direccin IP enumerada. Por lo tanto, se autentican todos los clientes que intentan conectarse a la red. Si selecciona esta opcin, el dispositivo Gateway Enforcer autentica solamente los clientes con las direcciones IP que se agregaron a la lista.
6 7
Haga clic en Agregar. En el cuadro de dilogo Agregar direccin IP nica, seleccione de direccin IP nica a intervalo de direccin IP o subred. Los campos se modifican para permitirle escribir la informacin apropiada.
Una sola direccin IP Un intervalo de direcciones IP Una direccin IP ms una mscara de subred
Escriba una direccin IP, la direccin inicial y final de un intervalo o una direccin IP ms una mscara de subred.
1 2
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores.
868
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
3 4
Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de mdulos de aplicacin Enforcer para el cual desee editar los intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de clientes, haga clic en cualquier lugar de la columna de direcciones IP y haga clic en Editar todo. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de Gateway, haga clic en Aceptar.
5 6
7 8
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de dispositivos Gateway Enforcer para el cual desee editar los intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de clientes, haga clic en la fila que contenga la direccin IP que desea eliminar. Haga clic en Eliminar. Haga clic en Aceptar.
5 6
7 8
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
869
Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin
La tabla de direcciones IP internas de confianza tiene una lista de direcciones IP internas con las que los clientes externos tienen permitido comunicarse, sin importar si un cliente ejecuta o aprueba la comprobacin de integridad del host. Si ejecuta dos dispositivos Gateway Enforcer en una serie de modo que un cliente se conecte por medio de ms de un dispositivo Gateway Enforcer, el dispositivo Gateway Enforcer ms cercano a Symantec Endpoint Protection Manager necesita ser especificado como direccin IP interna de confianza de los otros dispositivos Gateway Enforcer. Si un cliente falla una comprobacin de integridad del host y despus la aprueba, es posible que haya un retraso de hasta 5 minutos antes de que el cliente pueda conectarse a la red. Ver "Acerca de las direcciones IP de confianza" en la pgina 864. Para agregar una direccin IP interna de confianza para los clientes en un servidor de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo del dispositivo Gateway Enforcer para el cual desee editar los intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP internas de confianza de la lista desplegable. Haga clic en Agregar. En el cuadro de dilogo Configuracin de direccin IP, escriba una direccin IP o un intervalo de direcciones. Haga clic en Aceptar. Se agrega la direccin IP a la lista y una marca de verificacin aparece en la columna Habilitar.
5 6
7 8 9
870
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de mdulos de aplicacin Enforcer para el cual desee especificar direcciones IP externas de confianza. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP externas de confianza de la lista desplegable. Haga clic en Agregar. En el cuadro de dilogo Configuracin de direccin IP, escriba una direccin IP o un intervalo de direcciones. Haga clic en Aceptar. Se agrega la direccin IP a la lista y una marca de verificacin aparece en la columna Habilitar.
7 8 9
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
871
Ver "Acerca de las direcciones IP de confianza" en la pgina 864. Editar una direccin IP de confianza interna o externa
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de mdulos de aplicacin Enforcer para los cuales desee editar una direccin IP de confianza interna o externa. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP internas de confianza o Intervalo de direcciones IP externas de confianza de la lista desplegable. Las direcciones para el tipo seleccionado aparecen en la tabla.
7 8 9
En la tabla Intervalo de direcciones IP de confianza, haga clic en cualquier lugar de la columna de direcciones IP y haga clic en Editar todo. En el cuadro de dilogo Editor de direcciones IP, localice cualquier direccin que desee modificar y edtela. Haga clic en Aceptar.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo del dispositivo Gateway Enforcer.
872
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
4 5 6
Seleccione el grupo de dispositivos Gateway Enforcer para los cuales desee eliminar una direccin IP de confianza interna o externa. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP internas de confianza o Intervalo de direcciones IP externas de confianza de la lista desplegable. Las direcciones para el tipo seleccionado aparecen en la tabla.
7 8 9
En la tabla, haga clic en la fila que contiene la direccin IP que desee eliminar. Haga clic en Eliminar. En el cuadro de dilogo Configuracin, haga clic en Aceptar.
Si se habilita el intervalo de direcciones IP de clientes, el dispositivo Gateway Enforcer busca en la tabla de intervalo de direcciones IP de clientes una direccin que coincida con la IP de origen del cliente. Si el intervalo de direcciones IP de clientes no incluye una direccin IP para ese cliente, el dispositivo Gateway Enforcer permite el cliente sin autenticacin. Si el intervalo de direcciones IP de clientes incluye una direccin IP para ese cliente, el dispositivo Gateway Enforcer luego comprueba el intervalo de direcciones IP externas de confianza en busca de una direccin que coincida. Si encuentra una direccin que coincida con el cliente en el intervalo de direcciones IP externas de confianza, el dispositivo Gateway Enforcer permite el cliente. Si no encuentra ninguna direccin que coincida en el intervalo de direcciones IP externas de confianza, el dispositivo Gateway Enforcer compara la direccin de destino con la lista de intervalo de direcciones IP internas de confianza y la lista de sesiones de Symantec Endpoint Protection Manager. Si an no se encuentra una direccin que coincida, el dispositivo Gateway Enforcer comienza la sesin de autenticacin y enva el paquete de desafo.
Ver "Especificar direcciones IP externas de confianza" en la pgina 870. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
873
Permitir todos los paquetes de solicitudes DHCP Permitir todos los paquetes de solicitudes DNS Permitir todos los paquetes de solicitudes ARP Permitir otros protocolos adems de IP y ARP Es posible especificar los tipos de protocolos que se quieren permitir en el campo Filtrar. Ver "Especificar tipos de paquetes y protocolos" en la pgina 873. Permitir clientes heredados Ver "Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer" en la pgina 875. Habilitar la autenticacin local Ver "Habilitar la autenticacin local en un dispositivo Gateway Enforcer" en la pgina 875. Habilitar las actualizaciones de hora del sistema para los clientes del dispositivo Gateway Enforcer Ver "Habilitar las actualizaciones de hora del sistema para el dispositivo Gateway Enforcer usando el protocolo de tiempo de redes" en la pgina 876. Usar Gateway Enforcer como servidor web Ver "Cmo usar el dispositivo Gateway Enforcer como servidor web" en la pgina 877. Usar Gateway Enforcer como servidor de falsificacin de DNS Ver "Uso de Gateway Enforcer como servidor de falsificacin de DNS " en la pgina 877.
Cuando se aplica la configuracin, los cambios que se han hecho se envan al dispositivo Gateway Enforcer seleccionado durante el latido siguiente.
874
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para especificar tipos de paquetes y protocolos
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo del dispositivo Gateway Enforcer. Seleccione el grupo de dispositivos Gateway Enforcer para los cuales desee especificar tipos de paquetes y protocolos. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Opciones avanzadas, seleccione o anule la seleccin de los siguientes tipos de paquetes o protocolos:
Permitir todos los paquetes de solicitudes DHCP Cuando esta opcin est habilitada, el dispositivo Gateway Enforcer remite todas las solicitudes DHCP de la red externa a la red interna. Dado que deshabilitar esta opcin impide que el cliente obtenga una direccin IP y, puesto que el cliente necesita una direccin IP para comunicarse con el dispositivo Gateway Enforcer, se recomienda que esta opcin permanezca habilitada. La configuracin predeterminada est habilitada. Permitir todos los paquetes de solicitudes DNS Cuando esta opcin est habilitada, Enforcer remite todas las solicitudes DNS de la red externa a la red interna. Esta opcin se debe activar si el cliente est configurado para comunicarse con Symantec Endpoint Protection Manager por nombre en lugar de comunicarse por direccin IP. Esta opcin tambin debe habilitarse para utilizar la opcin de redireccin de solicitudes HTTP en la ficha Autenticacin. La configuracin predeterminada est habilitada. Permitir todos los paquetes de solicitudes ARP Cuando esta opcin est habilitada, el dispositivo Gateway Enforcer permite todos los paquetes ARP de la red interna. De lo contrario, el dispositivo Gateway Enforcer trata el paquete como un paquete IP normal y utiliza la IP del remitente como IP de origen y la IP de destino como IP de llegada, y realiza el proceso de autenticacin. La configuracin predeterminada est habilitada. Permitir otros protocolos adems de IP y ARP Cuando esta opcin est habilitada, el dispositivo Gateway Enforcer reenva todos los paquetes con otros protocolos. Si no, los corta.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
875
De forma predeterminada, est opcin est deshabilitada. Si seleccion Permitir otros protocolos adems de IP y ARP, se recomienda completar el campo Filtrar. Es posible pasar el puntero del mouse sobre el campo para ver ejemplos, algunos de los cuales se detallan a continuacin. Ejemplos: allow 800, 224.12.21,900-90d, 224.21.20-224-12.21.100;
block 810,224.12.21.200
Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer
Es posible permitir que un dispositivo Gateway Enforcer se conecte a clientes anteriores de la versin 5.1.x. Si su red admite Symantec Endpoint Protection Manager 11.0.2, un dispositivo Symantec Gateway Enforcer, y necesita admitir clientes anteriores de la versin 5.1.x, es posible habilitar la compatibilidad con los clientes de 5.1.x en la consola del servidor de administracin de modo que el dispositivo Symantec Gateway Enforcer no los bloquee. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Permitir cliente heredado. Haga clic en Aceptar.
876
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para habilitar la autenticacin local en un dispositivo Gateway Enforcer
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Habilitar la autenticacin local. Haga clic en Aceptar.
Habilitar las actualizaciones de hora del sistema para el dispositivo Gateway Enforcer usando el protocolo de tiempo de redes
Con el protocolo de tiempo de redes (NTP) habilitado, los relojes del dispositivo Gateway Enforcer pueden actualizarse a la hora correcta. Esta configuracin est deshabilitada de forma predeterminada, pero se puede anular si se especifica en una poltica de grupo. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para habilitar las actualizaciones de hora para el dispositivo Gateway Enforcer desde Symantec Endpoint Protection Manager
1 2 3 4 5 6 7
En Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En la ficha Opciones avanzadas, seleccione Habilitar protocolo de tiempo de redes. Escriba la direccin IP o el nombre de dominio completo del servidor NTP. Haga clic en Aceptar.
Desde la consola de Enforcer, se puede cambiar temporalmente esta configuracin para ayudar a solucionar problemas de la sincronizacin de hora. Desde la lnea de comandos de la consola de Enforcer, escriba Enforcer (configure)# ntp.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
877
1 2
Inicie sesin en el dispositivo Gateway Enforcer como superusuario. Escriba el comando siguiente: Enforcer#configure advanced
Para habilitar la aplicacin invitada, escriba el comando siguiente: Enforcer(advanced)# guest_enf enable Para comprobar el estado de la aplicacin invitada, escriba el comando siguiente: Enforcer(advanced)# show status El estado puede ser SIN CONEXIN o EN LNEA con un estado ACTIVO, EN ESPERA o APLICACIN INVITADA.
878
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
Ver "Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties" en la pgina 844. Para usar Gateway Enforcer como servidor de falsificacin de DNS
1 2
Inicie sesin en el dispositivo Gateway Enforcer como superusuario. Escriba el comando siguiente: Enforcer#configure advanced
Para deshabilitar la falsificacin de DNS, escriba el comando siguiente: Enforcer (advanced)# dns-spoofing disable Para comprobar el estado de falsificacin de DNS, escriba el comando siguiente: Enforcer (advanced)# show El estado muestra la funcin de falsificacin de DNS como HABILITADA o DESHABILITADA.
Captulo
42
Planificacin para la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
880
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificacin para la instalacin de un dispositivo LAN Enforcer
Si su conmutador admite conmutacin dinmica de VLAN, se pueden configurar VLAN adicionales en el conmutador y acceder a ellas mediante el dispositivo LAN Enforcer. El conmutador puede poner dinmicamente el cliente en una VLAN que se basa en la contestacin del dispositivo LAN Enforcer. Es posible que desee agregar VLAN para cuarentena y correcciones. Hay varios tipos de informacin sobre planificaciones que pueden ayudarle a implementar los dispositivos LAN Enforcer en una red. Nota: Note: Si actualiza clientes de Symantec Sygate Endpoint Protection 5.1, es necesario actualizar Symantec Endpoint Protection Manager primero, y luego sus Enforcers y sus clientes a la versin 11.x primero. Una vez que tenga Symantec Endpoint Protection Manager y sus Enforcers en la versin 11.x, es necesario seleccionar Permitir clientes de una versin anterior en el men Enforcer antes de realizar el paso final. A continuacin finalice la actualizacin a la versin actual. Ver "Dnde colocar dispositivos LAN Enforcer" en la pgina 880.
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificacin para la instalacin de un dispositivo LAN Enforcer
881
Figura 42-1
Clientes
VLAN de reparacin
Conmutador LAN compatible con 802.1 con puertos habilitados para dot1x para clientes internos Clientes
Servidor de reparacin Dispositivo LAN Enforcer (proxy RADIUS) Red troncal corporativa
Servidor RADIUS
Servidores protegidos
Si un conmutador admite conmutacin dinmica de VLAN, se pueden configurar VLAN adicionales en el conmutador compatible con 802.1x y acceder a ellas mediante el dispositivo LAN Enforcer. El conmutador compatible con 802.1x puede poner dinmicamente el cliente en una VLAN despus de recibir una respuesta del servidor RADIUS. Algunos conmutadores compatibles con 802.1x adems incluyen una funcin de VLAN predeterminada o VLAN de invitado. Si un cliente
882
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificacin para la instalacin de un dispositivo LAN Enforcer
no tiene ningn suplicante de 802.1x, el conmutador compatible con 802.1x puede poner al cliente en una VLAN predeterminada. Es posible instalar el dispositivo LAN Enforcer de modo que se pueda habilitar la autenticacin EAP en la red con el equipamiento ya implementado. Los dispositivos LAN Enforcer pueden funcionar con los servidores RADIUS, los suplicantes de 802.1x y los conmutadores compatibles con 802.1x existentes. Realizan la autenticacin en el nivel del equipo. Se cerciora de que el cliente cumpla con las polticas de seguridad. Por ejemplo, comprueba que el software antivirus se haya actualizado con las ltimas actualizaciones del archivo de firmas y los parches de software necesarios. El suplicante de 802.1x y el servidor RADIUS realizan la autenticacin en el nivel de usuario. Autentica que los clientes que intentan conectarse a la red sean los que dicen ser. Alternativamente, un dispositivo LAN Enforcer puede adems funcionar en modo transparente, lo que elimina la necesidad de un servidor RADIUS. En modo transparente, el cliente pasa la informacin de Integridad del host al conmutador compatible con 802.1x en respuesta al desafo EAP. El conmutador entonces transmite esa informacin a LAN Enforcer. Un dispositivo LAN Enforcer enva los resultados de la autenticacin de nuevo al conmutador compatible con 802.1x. La informacin que el dispositivo LAN Enforcer enva se basa en los resultados de la validacin de Integridad del host. Por lo tanto, el dispositivo LAN Enforcer no necesita ninguna comunicacin con un servidor RADIUS. Las configuraciones siguientes estn disponibles para el dispositivo LAN Enforcer:
Modo 802.1x completo Esta configuracin necesita un servidor RADIUS y suplicantes de 802.1x de otro fabricante. Se realiza la autenticacin de usuario EAP tradicional y la validacin de integridad del host de Symantec. Modo transparente Esta configuracin no necesita un servidor RADIUS ni el uso de suplicantes de 802.1x de otro fabricante. Solamente se realiza la validacin de Integridad del host.
Tiene clientes tales como impresoras y telfonos IP que no tienen suplicantes 802.1x en ejecucin? Considere usar la autenticacin MAB. Tiene clientes tales como impresoras y telfonos IP que tienen suplicantes 802.1x personalizados en ejecucin? Considere configurar la funcin Omitir comprobacin de cliente NAC de Symantec.
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
883
Planea tener un suplicante de 802.1x instalado en cada equipo? Si planea instalar un suplicante 802.1x en cada equipo, se puede usar el modo 802.1x completo. Desea realizar una autenticacin en el nivel de usuario adems de la comprobacin de integridad del host? Si desea realizar una autenticacin en el nivel del usuario, adems de la comprobacin de integridad del host, es necesario utilizar el modo 802.1x completo. Planea utilizar un servidor RADIUS en una configuracin de red? Si planea utilizar un servidor RADIUS en una configuracin de red, es posible utilizar el modo 802.1x completo o el modo transparente. Si no planea utilizar un servidor RADIUS en una configuracin de red, es necesario utilizar el modo transparente.
Dnde colocar dispositivos LAN Enforcer para la conmutacin por error en una red
La Figura 42-2 describe cmo proporcionar la conmutacin por error para los dispositivos LAN Enforcer.
884
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
Ver "Planificar la conmutacin por error para dispositivos LAN Enforcer" en la pgina 883.
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
885
Figura 42-2
Clientes
Conmutador LAN compatible con 802.1 con puertos habilitados para dot1x para clientes internos Servidor RADIUS de repuesto
Servidores protegidos
886
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
Captulo
43
Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager Acerca de configurar servidores RADIUS en un dispositivo LAN Enforcer Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general Usar la configuracin del grupo de servidores RADIUS Usar las opciones del conmutador Usar la configuracin avanzada del dispositivo LAN Enforcer Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer Usar la autenticacin 802.1x
888
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager
Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager
Es posible agregar o editar la configuracin para LAN Enforcer en la consola de Symantec Endpoint Protection Manager. Symantec Endpoint Protection Manager adems se conoce como el servidor de administracin. Antes de que pueda proceder, es necesario completar las siguientes tareas:
Instale el software para Symantec Endpoint Protection Manager en un equipo. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. El equipo en el cual el software de Symantec Endpoint Protection Manager est instalado adems se conoce como el servidor de administracin. Conecte el dispositivo Symantec LAN Enforcer a la red. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. Configure el dispositivo Symantec LAN Enforcer en la consola local de LAN Enforcer durante la instalacin. Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891.
Una vez que finalice estas tareas, es posible especificar todas las opciones de configuracin adicionales para el dispositivo LAN Enforcer en un servidor de administracin.
Defina la lista de servidores de administracin, el puerto de escucha y la descripcin de grupo de Enforcer. Configure el grupo de servidores Radius. Configure el nombre del host o la direccin IP, el puerto de autenticacin, el tiempo de espera, el secreto compartido y el nmero de retransmisiones. Si configura varios servidores en el grupo y uno deja de funcionar, LAN Enforcer se conecta al servidor siguiente en la lista. Configure un conmutador o un grupo de conmutadores.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer
889
Opciones para habilitar el registro y especificar parmetros del archivo de registro. Habilite y deshabilite los clientes de una versin anterior y la autenticacin local. Configure LAN Enforcer como cliente NTP.
Si una configuracin hace referencia a un conmutador compatible con 802.1x, las mismas instrucciones se aplican a la configuracin de los puntos de acceso inalmbricos. Ver "Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer" en la pgina 889.
Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer
El dispositivo LAN Enforcer admite un nmero de protocolos inalmbricos, que incluyen WEP 56, WEP 128 y WPA/WPA2 con 802.1x. Es posible configurar un LAN Enforcer para proteger el punto de acceso inalmbrico (AP) tanto como protege un conmutador si:
La red incluye un dispositivo LAN Enforcer inalmbrico con 802.1x. Los clientes inalmbricos ejecutan un suplicante que admite uno de estos protocolos. El AP inalmbrico admite uno de estos protocolos.
Para las conexiones inalmbricas, el autenticador es el puerto LAN lgico en el AP inalmbrico. Se configura un AP inalmbrico para 802.1x y para los conmutadores de la misma manera. Se incluyen los AP inalmbricos en la configuracin de LAN Enforcer como parte de un perfil del conmutador. Dondequiera que una instruccin o una parte de la interfaz de usuario haga referencia a un conmutador, utilice la terminologa del AP inalmbrico comparable. Por ejemplo, si le dan instrucciones para seleccionar un modelo de conmutador, seleccione el modelo de AP inalmbrico. Si se enumera el distribuidor del AP inalmbrico, seleccinelo para el modelo. Si el distribuidor no est enumerado, elija Otros. La configuracin para el AP inalmbrico para 802.1x y para los conmutadores incluye las diferencias siguientes:
890
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer
Puede adems haber diferencias en la compatibilidad para VLAN, dependiendo del AP inalmbrico. Algunos conmutadores dinmicos de VLAN pueden necesitar que configure el AP con varios identificadores de grupo de servicios (SSID). Cada SSID se asocia a una VLAN. Consulte la documentacin que viene con el conmutador dinmico de VLAN.
De acuerdo con el modelo de AP inalmbrico que se utiliza, es conveniente utilizar una de las siguientes opciones de control de acceso en vez de una VLAN:
Listas de control de acceso (ACL) Algunos AP inalmbricos admiten ACL que permiten al administrador de redes definir las polticas para la administracin de trfico de red. Es posible utilizar la opcin genrica en LAN Enforcer seleccionando el nombre del distribuidor del AP inalmbrico. Como alternativa, es posible seleccionar Otros para el modelo del conmutador compatible con 802.1x (si no est enumerado). La opcin genrica enva una etiqueta genrica de atributo con el ID o el nombre de VLAN en ella al punto de acceso. Es posible entonces personalizar el punto de acceso. Ahora el punto de acceso puede leer la etiqueta genrica de atributo para conocer el ID de la VLAN y hacer que coincida con el ID de ACL del WAP. Es posible utilizar la tabla de Accin del conmutador como tabla de accin de la ACL. Puede necesitarse configuracin adicional en el AP inalmbrico o en el controlador del AP. Por ejemplo, es posible que sea necesario asignar la etiqueta de RADIUS que se enva al AP inalmbrico en el controlador del AP. Consulte la documentacin del AP inalmbrico para obtener informacin. 802.1x de nivel de MAC Es posible conectar el AP inalmbrico a un conmutador que admita 802.1x de nivel de MAC. Para esta implementacin, es necesario deshabilitar 802.1x en el AP inalmbrico. Es posible utilizarlo solamente en el conmutador. El conmutador entonces autentica los clientes inalmbricos reconociendo las nuevas direcciones MAC. Despus de que autentica la direccin MAC, pone esa direccin MAC en la VLAN especificada, en vez del puerto entero. Cada nueva direccin MAC tiene que ser autenticada. Esta opcin no es tan segura. Sin embargo, esta opcin le permite utilizar la funcionalidad de conmutacin de VLAN.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager
891
Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcers del cual el dispositivo LAN Enforcer es un miembro. El grupo de Enforcer debe incluir el dispositivo LAN Enforcer cuyas opciones de configuracin necesitan ser modificadas.
4 5 6
Seleccione el dispositivo LAN Enforcer cuya configuracin necesita ser cambiada. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, modifique cualquiera de las opciones de configuracin. El cuadro de dilogo Configuracin de LAN Enforcer proporciona las categoras siguientes de opciones de configuracin:
General Esta ficha proporciona las opciones siguientes para LAN Enforcer:
Nombre del grupo de dispositivos LAN Enforcer Puerto de escucha Descripcin para el grupo de dispositivos LAN Enforcer Seleccin de la lista de servidores de administracin que LAN Enforcer utiliza
892
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager
Nombre para el grupo de servidores RADIUS Nombre o direccin IP del host para el servidor RADIUS Nmero de puerto para el servidor RADIUS Nombre descriptivo para el servidor RADIUS
Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Conmutador Esta ficha proporciona las opciones siguientes para LAN Enforcer:
El grupo del servidores RADIUS El perodo de tiempo de espera de la reautenticacin Si el conmutador remite otros protocolos adems de EAP Direccin del conmutador La VLAN del conmutador Accin
Ver "Usar las opciones del conmutador" en la pgina 905. Avanzado Esta ficha proporciona las opciones siguientes para LAN Enforcer:
Configure la omisin de la autenticacin Mac (MAB) Especifique las direcciones MAC y las VLAN Permitir cliente heredado Habilitar la autenticacin local Configurar el protocolo de tiempo de redes
Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Configuracin del Configuracin para habilitar el registro de los registros de registro servidor y los registros de actividades del cliente, y para especificar parmetros del archivo de registro. Ver "Acerca de los informes y registros de Enforcer" en la pgina 953. Ver "Configurar opciones de registro de Enforcer" en la pgina 954.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general
893
Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer
No es posible agregar o editar el nombre de un grupo de dispositivos LAN Enforcer al que pertenezca un dispositivo LAN Enforcer. Se realizan estas tareas en la consola de Enforcer durante la instalacin. Ms adelante, si desea modificar el nombre de un grupo de dispositivos LAN Enforcer, es posible hacerlo en la consola de Enforcer.
894
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general
Todos los mdulos de aplicacin Enforcer de un grupo comparten las mismas opciones de configuracin. Ver "Cmo usar la Configuracin general" en la pgina 893.
Cmo especificar un puerto de escucha para la comunicacin entre un conmutador VLAN y un LAN Enforcer
Cuando se configuran las opciones para LAN Enforcer, se especifican los siguientes puertos de escucha:
El puerto de escucha que se utiliza para la comunicacin entre el conmutador VLAN y LAN Enforcer. El conmutador VLAN enva el paquete de RADIUS al puerto UDP. El puerto de escucha que se utiliza para la comunicacin entre LAN Enforcer y un servidor RADIUS. Se especifica este puerto cuando se especifica un servidor RADIUS.
Si el servidor RADIUS est instalado en el servidor de administracin, no debe configurarse para utilizar el puerto 1812. Los servidores RADIUS se configuran para utilizar el puerto 1812 como opcin predeterminada. Como el servidor de administracin adems utiliza el puerto 1812 para comunicarse con LAN Enforcer, hay un conflicto. Ver "Cmo usar la Configuracin general" en la pgina 893. Especificar un puerto de escucha que se utiliza para la comunicacin entre un conmutador VLAN y LAN Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha General, escriba el nmero de puerto UDP que desea asignar en el campo Puerto de escucha. La configuracin predeterminada para el puerto es 1812. El intervalo se extiende a partir de 1 hasta 65535.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general
895
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcer cuya descripcin se desea agregar o editar. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, agregue o edite una descripcin para el grupo de Enforcer en el campo Descripcin. Haga clic en Aceptar.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores.
896
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general
3 4 5 6 7
Seleccione y expanda el grupo de Enforcer que incluye el LAN Enforcer cuya descripcin se desea agregar o editar. Seleccione el LAN Enforcer cuya descripcin desee agregar o editar. En Tareas, haga clic en Editar propiedades de Enforcer. En el cuadro de dilogo Propiedades de Enforcer, agregue o edite una descripcin para LAN Enforcer en el campo Descripcin. Haga clic en Aceptar.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo Enforcer debe incluir LAN Enforcer para los cuales desee modificar la lista de servidores de administracin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, en Comunicacin, seleccione la lista de servidores de administracin que desee que LAN Enforcer use.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
897
En la ficha General, en Comunicacin, haga clic en Seleccionar. Es posible ver las direcciones IP y los nombres de host de todos los servidores de administracin disponibles, adems de las prioridades que se les han asignado.
7 8
En el cuadro de dilogo Lista de servidores de administracin, haga clic en Cerrar. Haga clic en Aceptar.
898
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Agregar. El nombre del grupo de servidores RADIUS y la direccin IP de un servidor RADIUS existente aparecen en la tabla.
En el cuadro de dilogo Agregar Grupo de servidores RADIUS, escriba el nombre del grupo de servidores RADIUS en el cuadro de texto Grupo. El nombre del grupo de servidores RADIUS, el nombre de host o la direccin IP de un servidor RADIUS existente y el nmero de puerto del servidor RADIUS aparecen en la tabla.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
899
En el campo: Nombre de host o direccin Escriba el nombre de host o la direccin IP IP del servidor RADIUS. En el campo: Puerto de autenticacin Escriba el puerto de red del servidor RADIUS al que LAN Enforcer enva el paquete de autenticacin del cliente. La configuracin predeterminada es 1812. En el campo: Tiempo de espera del conmutador (en segundos) Escriba el valor del tiempo de espera del conmutador. La configuracin predeterminada es de 3 segundos. Escriba el valor de retransmisiones del conmutador. La opcin predeterminada es una. Escriba el secreto compartido que se usa para la comunicacin cifrada entre el servidor RADIUS y el dispositivo LAN Enforcer. El secreto compartido entre un servidor RADIUS y LAN Enforcer puede ser diferente del secreto compartido entre un conmutador compatible con 802.1x y LAN Enforcer. El secreto compartido distingue entre maysculas y minsculas. Escriba el secreto compartido de nuevo.
Haga clic en Aceptar. El nombre, el nombre del host o la direccin IP y el puerto para el servidor RADIUS que usted agreg ahora aparecen en la lista Grupo de servidores RADIUS en el cuadro de dilogo Agregar Grupo de servidores RADIUS.
900
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS cuyo nombre desea cambiar. Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nombre del grupo de servidores RADIUS en el campo Nombre de grupo. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7 8 9
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo nombre descriptivo se desea modificar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
901
6 7 8 9
Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nombre descriptivo del servidor RADIUS en el campo Nombre descriptivo del servidor RADIUS. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo nombre de host o direccin IP se desea modificar. Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nombre de host o la direccin IP del servidor RADIUS en el campo Nombre de host o direccin IP. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7
8 9
902
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo nmero de puerto de autenticacin se desea modificar. Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nmero de puerto de autenticacin del servidor RADIUS en el campo Puerto de autenticacin. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7 8 9
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo secreto compartido se desea modificar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Editar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
903
En el cuadro de dilogo Agregar servidor RADIUS, edite el secreto compartido del servidor RADIUS en el campo Secreto compartido. El secreto compartido se usa para la comunicacin cifrada entre el servidor RADIUS y el dispositivo LAN Enforcer. El secreto compartido entre un servidor RADIUS y LAN Enforcer puede ser diferente del secreto compartido entre un conmutador compatible con 802.1x y LAN Enforcer. El secreto compartido distingue entre maysculas y minsculas.
8 9
Edite el secreto compartido del servidor RADIUS en el campo Confirmar secreto compartido. Haga clic en Aceptar. de servidores RADIUS, haga clic en Aceptar.
Habilitacin de la compatibilidad con el servidor de polticas de red de Windows (NPS) en LAN Enforcer
Cuando usa un servidor de Microsoft Windows como servidor Radius, anteriormente se usaba el servidor de autenticacin de Internet (IAS). En Windows Server 2008, IAS se han reemplazado por el servidor de polticas de red (NPS). Si est utilizando Server 2008, debe especificar que est utilizando NPS. Nota: La habilitacin de la compatibilidad con Windows NPS necesita que los clientes y LAN Enforcers ejecuten Symantec Endpoint Protection 11.0 RU6 MP2 o una versin posterior (incluida 12.1). Si habilita esta opcin en LAN Enforcers con clientes de una versin anteriores, no se admite la funcionalidad de Symantec Network Access Control. Para habilitar la compatibilidad con el servidor de polticas de red de Windows
1 2 3 4
En la pantalla Servidores, seleccione LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, haga clic en la ficha Grupo de servidores RADIUS. En la parte inferior de la pantalla, haga clic en Habilita la compatibilidad con el servidor de polticas de redes (NPS) de Windows. Ver una nota de advertencia similar a la nota anterior. Est seguro de que los clientes y LAN Enforcers estn ejecutando la versin 11.0 RU6 MP2 o posterior.
904
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS cuyo nombre desea eliminar. Haga clic en Eliminar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer del que LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS al cual pertenece el servidor RADIUS que desea eliminar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Editar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
905
7 8 9
En el cuadro de dilogo Agregar servidor RADIUS, haga clic en el servidor RADIUS que desee eliminar. Haga clic en Eliminar. Haga clic en Aceptar. de servidores RADIUS, haga clic en Aceptar.
Configuracin de conmutador
Es necesario especificar la informacin bsica siguiente antes de que los dispositivos LAN Enforcer, servidores de administracin, clientes y conmutadores compatibles con 802.1x funcionen juntos:
Un nombre de su eleccin para la poltica de conmutador El fabricante y el modelo del conmutador Se selecciona el modelo del conmutador de una lista de conmutadores admitidos. La contrasea cifrada o el secreto compartido El grupo de servidores RADIUS que se utiliza El perodo de tiempo de espera de reautenticacin para el conmutador compatible con 802.1x La configuracin predeterminada es 30 segundos. Si el conmutador remite otros protocolos adems de EAP La configuracin predeterminada es remitir otros protocolos.
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909.
906
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Ver "Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x" en la pgina 918. Es necesario especificar la siguiente informacin para el conjunto de conmutadores compatibles con 802.1x a los que la poltica de conmutador se aplica:
Un nombre descriptivo para el conmutador de su eleccin Direccin IP, intervalo de direcciones IP o subred
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909. Ver "Editar informacin sobre el conmutador compatible con 802.1x" en la pgina 924. Es necesario especificar la siguiente informacin de VLAN:
ID de VLAN Nombre de VLAN Opcionalmente, es posible especificar los atributos personalizados de RADIUS en formato hexadecimal.
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909. Ver "Editar informacin de VLAN para la poltica de conmutador" en la pgina 926. Si un conmutador compatible con 802.1x admite la conmutacin VLAN dinmica, es posible especificar que el cliente debe conectarse a una VLAN especfica. Es necesario especificar las medidas que el conmutador compatible con 802.1x necesita tomar cuando se cumplen ciertos criterios:
Resultado de la autenticacin del host: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la autenticacin del usuario: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la comprobacin de polticas: Aprobado, No aprobado, No disponible u Omitir resultado
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
907
con 802.1x buscan diferentes atributos para determinar qu cliente puede acceder a la VLAN. Algunos conmutadores identifican las VLAN por ID de VLAN y otros, por nombre de VLAN. Algunos dispositivos tienen compatibilidad limitada o ninguna compatibilidad con VLAN. El dispositivo LAN Enforcer remite atributos del servidor RADIUS al conmutador. Si es necesario, sin embargo, modifica o aade el atributo VLAN al final de acuerdo con el tipo de conmutador usando valores admitidos. Si existe un conflicto entre la informacin de atributos especficos del distribuidor que el servidor RADIUS enva y la informacin de atributos de VLAN especficos del distribuidor que el dispositivo LAN Enforcer utiliza, LAN Enforcer quita la informacin especfica del distribuidor que el servidor RADIUS enva. Entonces, LAN Enforcer reemplaza esa informacin con la informacin que aparece en Tabla 43-1. Si desea guardar los atributos del servidor RADIUS, es posible seleccionar una accin llamada Abrir el puerto. Con esta accin, LAN Enforcer remite todos los atributos del servidor RADIUS al conmutador compatible con 802.1x sin ninguna modificacin. El modelo del conmutador compatible con 802.1x puede utilizar el ID o el nombre de la VLAN para realizar asignaciones dinmicas de VLAN. Es necesario especificar el ID de VLAN y el nombre de VLAN cuando se proporciona la informacin de VLAN para LAN Enforcer, a excepcin del conmutador Aruba. Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891. La Tabla 43-1 describe los modelos y los atributos de conmutadores compatibles con 802.1x. Tabla 43-1 Modelo de conmutador
Controlador inalmbrico Airespace
Se utiliza el nombre de VLAN. El nombre distingue entre maysculas y El nmero del atributo asignado por el distribuidor es minsculas. 5. El formato del atributo es "cadena".
Alcatel
Vendor Specific (#26) El ID del distribuidor de Alcatel es 800. Todos los atributos "Vendor Specific" de RADIUS con un ID de 800 se quitan en caso de conflicto.
Se utiliza el ID de VLAN.
908
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Modelo de conmutador
Aruba
Comentarios
Puede usarse tanto el nombre de VLAN como el ID de VLAN. Alternativamente, es posible utilizar solamente un nombre de VLAN o solamente un ID de VLAN Un ID de VLAN vlido se extiende de 1 a 4094. Un nombre de VLAN no puede superar los 64 bytes.
Depende de si se utiliza el control de acceso SSID. Atributos del usuario de RADIUS utilizados para la asignacin de ID de VLAN: IETF 64 (Tunnel Type): Configure este atributo en "VLAN" IETF 65 (Tunnel Medium Type): Configure este atributo en "802" IETF 81 (Tunnel Private Group ID): Configure este atributo en VLAN-ID Atributo de usuario de RADIUS utilizado para el control de acceso SSID: Cisco IOS/PIX RADIUS Attribute, 009\001 cisco-av-pair
Se utiliza el ID de VLAN.
Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) El Tunnel Type se configura en 13 (VLAN) El Tunnel Medium Type se configura en 6 (802) El Tunnel Private Group ID se configura en el nombre de VLAN. Todos los atributos con estos 3 tipos del servidor RADIUS se quitan en caso de conflicto. Adems, cualquier atributo "Vendor Specific" y el ID de distribuidor 9 (Cisco) tambin se quita.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
909
Modelo de conmutador
Foundry, HP, Nortel, 3com, Huawei
Comentarios
Se utiliza el ID de VLAN.
Enterasys
Filter ID (#11) Filter ID se configura en Enterasys : version=1: mgmt=su: policy=NAME Todos los atributos de "Filter ID" del servidor RADIUS se quitan en caso de conflicto.
El nombre de VLAN se utiliza y representa el "Nombre de funcin" en el conmutador Enterasys. El nombre distingue entre maysculas y minsculas.
Extreme
Vendor Specific (#26) El ID del distribuidor es 1916 para Extreme. El VLAN Name se agrega despus del ID del distribuidor. Todos los atributos especficos del distribuidor del servidor RADIUS con un ID de 1916 se quitan en caso de conflicto.
Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente
Es posible agregar varios conmutadores compatibles con 802.1x para utilizar con un dispositivo LAN Enforcer como parte de una poltica de conmutador. Es necesario escribir la informacin necesaria para configurar la interaccin del dispositivo LAN Enforcer con el conmutador. Ver "Usar las opciones del conmutador" en la pgina 905.
910
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Para agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Agregar. En el panel Bienvenido al Asistente para la configuracin de polticas de conmutador del Asistente para la configuracin de polticas de conmutador, haga clic en Siguiente. En el panel Informacin bsica del Asistente para la configuracin de polticas de conmutador, complete las siguientes tareas:
Nombre de poltica de conmutador Escriba un nombre de su eleccin que identifique la poltica de conmutador. Por ejemplo, es posible utilizar el nombre y el modelo del fabricante como el nombre de la poltica de conmutador.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
911
Modelo de conmutador LAN Enforcer utiliza el modelo de conmutador para determinar el atributo de servidor RADIUS especfico del fabricante. Seleccione uno de los siguientes modelos compatibles con 802.1x de la lista de conmutadores compatibles: Otros Si su modelo no se menciona, seleccione Otros para utilizar un atributo de servidor RADIUS genrico. 3Com
Conmutador Alcatel Cisco Catalyst Series Enterasys Matix Series Extreme Summit Series Foundry Networks HP Procurve Series Nortel BayStack Series Cisco Aironet Series Conmutadores Aruba Controlador inalmbrico Airespace Nortel Wireless Controlador inalmbrico Enterasys Conmutadores Allied Telesis Conmutadores Huawei posteriores a enero de 2009
Si utiliza el dispositivo LAN Enforcer con un servidor RADIUS, es necesario seleccionar el grupo de servidores RADIUS de la lista de grupos de servidores RADIUS disponibles.
912
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Escriba la cantidad de tiempo, en segundos, durante el cual el cliente debe reautenticarse. De lo contrario, se quita el cliente de la lista de clientes conectados en LAN Enforcer. Es necesario configurar el perodo de reautenticacin en, al menos, el doble del intervalo de reautenticacin del conmutador. Por ejemplo, si el intervalo de reautenticacin en el conmutador es de 30 segundos, el perodo de reautenticacin del dispositivo LAN Enforcer debe ser de, por lo menos, 60 segundos. Si no, el dispositivo LAN Enforcer asume que el cliente excedi el tiempo de espera. Por lo tanto, el cliente no informa ni renueva su direccin IP. La configuracin predeterminada es 30 segundos.
Es posible seleccionar esta opcin para permitir que el dispositivo LAN Enforcer remita los paquetes de RADIUS que contienen otros protocolos de autenticacin adems de EAP. Otros protocolos incluyen Challenge Handshake Authentication Protocol (CHAP) y PAP. La configuracin predeterminada est habilitada.
8 9
En el panel Informacin bsica del Asistente para la configuracin de polticas de conmutador, haga clic en Siguiente. En el panel Lista de conmutadores del Asistente para la configuracin de polticas de conmutador, haga clic en Agregar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
913
Direccin IP nica
Intervalo de direcciones En el cuadro de dilogo Agregar intervalo de direcciones IP IP internas, haga clic en Intervalo de direcciones IP. Escriba la direccin IP inicial para el conmutador compatible con 802.1x en el campo Direccin IP inicial. Escriba la direccin IP final del intervalo de direcciones IP para el conmutador compatible con 802.1x en el campo IP final. Subred En el cuadro de dilogo Agregar subred de direcciones IP internas, haga clic en Subred. Escriba la direccin IP para la subred en el campo Direccin IP y la subred en el campo Mscara de subred.
Cuando se especifica una poltica de conmutador para un dispositivo LAN Enforcer, es posible asociar la poltica de conmutador a uno o ms conmutadores compatibles con 802.1x.
11 En el cuadro de dilogo Agregar direccin IP interna, haga clic en Aceptar.. 12 En el panel Lista de conmutadores del Asistente para la configuracin de
polticas de conmutador, haga clic en Siguiente.
914
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Cuando se especifica una poltica de conmutador para LAN Enforcer, se utiliza la ficha VLAN para agregar la informacin de VLAN para cada VLAN configurada en el conmutador. La poltica de conmutador debe estar disponible
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
915
para su uso en LAN Enforcer como accin. Las prcticas recomendadas son especificar por lo menos una VLAN de reparacin.
15 Haga clic en Aceptar. 16 En el panel Configuracin de VLAN del conmutador del Asistente para la
configuracin de polticas de conmutador, haga clic en Siguiente.
Una situacin tpica en la cual una comprobacin de integridad del host deja de estar disponible sera el resultado de un cliente que no se ejecuta. Si se establece Autenticacin del host en No disponible, se debe adems configurar Comprobacin de polticas en Unavailable No disponible.
916
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Haga clic en una de las siguientes condiciones: Aprobado El cliente ha aprobado la autenticacin del usuario. Error
El cliente no ha aprobado la autenticacin del usuario. No disponible El resultado de la autenticacin del usuario siempre es no disponible si la autenticacin de usuario no se realiza en modo transparente. Si utiliza LAN Enforcer en modo transparente, es necesario crear una accin para la condicin No disponible. Si utiliza la configuracin bsica, es posible tambin configurar una accin para la autenticacin de usuario como condicin de error. Por ejemplo, si un suplicante de 802.1x utiliza un mtodo incorrecto de autenticacin de usuario o si el servidor RADIUS falla en el medio de la transaccin de autenticacin. La condicin No disponible para la autenticacin de usuario puede tambin ocurrir en algunos servidores RADIUS si el nombre de usuario no existe en la base de datos de RADIUS. Por ejemplo, este problema puede ocurrir con Microsoft IAS. Por lo tanto, es posible probar la condicin de un nombre de usuario inexistente con su servidor RADIUS. Es conveniente ver si coincide con las condiciones de autenticacin de usuario Error o No disponible. Omitir resultado
Una situacin tpica en la cual una comprobacin de integridad del host deja de estar disponible sera el resultado de un cliente que no se ejecuta. Si se establece Comprobacin de polticas en No disponible, se debe adems configurar Autenticacin del host en No disponible.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
917
Comprobacin de polticas
Haga clic en una de las siguientes condiciones: Aprobado El cliente ha aprobado la Comprobacin de polticas. Error
El cliente no ha aprobado la Comprobacin de polticas. No disponible El resultado No disponible para la poltica puede ocurrir en las condiciones siguientes: Si el cliente tiene un identificador no vlido, el dispositivo LAN Enforcer no puede obtener ninguna informacin de polticas del servidor de administracin. Este problema puede ocurrir si el servidor de administracin que implement la poltica del cliente ya no est disponible. Si se exporta y se instala el cliente antes, se conecta al servidor de administracin y recibe su poltica. Omitir resultado
Accin
Es posible seleccionar las acciones siguientes que el conmutador compatible con 802.1x realiza cuando se cumplen estas condiciones: Abrir el puerto El conmutador compatible con 802.1x permite el acceso de red en la VLAN predeterminada a la cual se asigna el puerto normalmente. Adems permite el acceso de red en la VLAN que se especifica en un atributo que se enva del servidor RADIUS. Por lo tanto, la compatibilidad de los usuarios que tienen acceso a la VLAN se basa en el ID de usuario y el rol de usuario. La accin predeterminada es Abrir el puerto. Pasar a VLAN prueba Permite el acceso a la VLAN especificada. Las VLAN que estn disponibles para seleccionar son las que se configuraron previamente. Cerrar el puerto Niega el acceso de red en la VLAN predeterminada o la VLAN especificada por RADIUS. En algunos modelos de conmutador, segn la configuracin del conmutador, el puerto se asigna a una VLAN invitada.
Para el conmutador Aruba, es posible restringir el acceso a un rol especificado, as como a una VLAN especificada. Las restricciones dependen de cmo se configur la informacin de VLAN para la poltica de conmutador.
918
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
19 En el cuadro de dilogo Agregar accin del conmutador, haga clic en Aceptar. 20 En el panel Configuracin de la accin de conmutador del Asistente para la
configuracin de polticas de conmutador, en la tabla Accin del conmutador, haga clic en la poltica de accin del conmutador cuya prioridad desea modificar. LAN Enforcer compara los resultados de la autenticacin con las entradas en la tabla de acciones del conmutador en el orden descendente. Despus de que encuentra un conjunto de condiciones que coincide, da instrucciones al conmutador compatible con 802.1x para que aplique esa accin. Es posible modificar la secuencia en la cual las acciones son aplicadas modificando el orden en el cual se enumeran en la tabla.
21 Haga clic en Subir o Bajar. 22 Haga clic en Siguiente. 23 En el panel Se complet Asistente para la configuracin de polticas de
conmutador del Asistente para la configuracin de polticas de conmutador, haga clic en Finalizar.
Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x
Es posible modificar los parmetros siguientes sobre la poltica de conmutador y el conmutador compatible con 802.1x:
Nombre de poltica de conmutador Ver "Editar el nombre de una poltica de conmutador" en la pgina 919. Modelo de conmutador Ver "Seleccionar un modelo de conmutador diferente para la poltica de conmutador" en la pgina 919. Secreto compartido Ver "Edicin de una contrasea cifrada o un secreto compartido" en la pgina 920. Grupo de servidores RADIUS Ver "Seleccionar un grupo de servidores RADIUS diferente" en la pgina 921. Perodo de reautenticacin Ver "Editar el perodo de reautenticacin" en la pgina 922. Envo de protocolos adems de EAP Ver "Habilitar protocolos diferentes de EAP" en la pgina 923.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
919
1 2 3 4 5
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, edite el nombre de la poltica de conmutador en el campo Nombre de la poltica de conmutador. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
6 7
8 9
1 2 3 4 5
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo modo de conmutacin desee modificar. Haga clic en Editar.
920
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, seleccione un modelo de conmutador diferente de la siguiente lista Modelo de conmutador:
Otros Si su modelo no se menciona, seleccione Otros para utilizar un atributo de servidor RADIUS genrico. 3Com Conmutador Alcatel Cisco Catalyst Series Enterasys Matix Series Extreme Summit Series Foundry Networks HP Procurve Series Nortel BayStack Series Cisco Aironet Series Conmutadores Aruba Controlador inalmbrico Airespace Nortel Wireless Controlador inalmbrico Enterasys Conmutador HuaWei Si el administrador elige el modo transparente en el conmutador HuaWei, debe configurar la poltica para usar el modo transparente en el cliente, en lugar de permitir que lo seleccione el usuario.
8 9
Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
921
1 2 3 4 5
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo secreto compartido desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, edite el nombre del secreto compartido en el campo Secreto compartido. Edite el nombre del secreto compartido en el campo Confirmar secreto compartido. Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
6 7
8 9
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo secreto compartido desee modificar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, en la tabla Poltica de configuracin, haga clic en Editar.
922
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, seleccione un grupo de servidores RADIUS diferente de la lista de grupos de servidores RADIUS. Es necesario haber agregado ms de un grupo de servidores RADIUS antes de que pueda seleccionar un grupo de servidores RADIUS diferente.
8 9
Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. Haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, edite el perodo de reautenticacin en el campo Perodo de reautenticacin en segundos.
6 7
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
923
8 9
Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
La configuracin predeterminada est habilitada. Ver "Configuracin de conmutador" en la pgina 905. Para habilitar protocolos diferentes de EAP
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. Haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, en la tabla Poltica de configuracin, haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador ), en la ficha Informacin bsica ), seleccione Habilitar protocolos adems de EAP. Es posible remitir los protocolos siguientes:
6 7
8 9
Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
924
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Cambiar la direccin IP, el nombre de host o la subred para un conmutador compatible con 802.1x Ver "Editar la direccin IP, el nombre de host o la subred de un conmutador compatible con 802.1x" en la pgina 924. Eliminar un conmutador compatible con 802.1x de la lista de conmutadores Ver "Eliminar un conmutador compatible con 802.1x de la lista de conmutadores" en la pgina 925.
Editar la direccin IP, el nombre de host o la subred de un conmutador compatible con 802.1x
Es posible modificar la direccin IP, el nombre de host o la subred de un conmutador compatible con 802.1x en cualquier momento si las circunstancias lo requieren. Ver "Acerca de la compatibilidad con los atributos de los modelos de conmutador" en la pgina 906. Editar la direccin IP, el nombre de host y la subred de un conmutador compatible con 802.1x
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Direccin del conmutador, seleccione Editar todo.
6 7
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
925
En el cuadro de dilogo Editar direcciones IP, agregue o edite las direcciones IP, el host, los nombres o las subredes para el conmutador compatible con 802.1x. El formato del texto es el siguiente:
Direccin IP nica Intervalo de direcciones IP Subred nombre: direccin nombre: direccin inicial-direccin final nombre: direccin inicial/mscara de subred
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en el conmutador compatible con 802.1x que desee eliminar de la lista de conmutadores. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Eliminar. Haga clic en Aceptar.
6 7
926
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Modificar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x Ver "Editar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x" en la pgina 926. Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba Ver "Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba" en la pgina 928. Eliminar VLAN en un conmutador compatible con 802.1x Ver "Eliminar VLAN en un conmutador compatible con 802.1x" en la pgina 927.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
927
En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuya informacin de VLAN desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador ), en la ficha Direccin del conmutador, seleccione la VLAN que desee editar. En la ficha VLAN, seleccione Editar. En el cuadro de dilogo Editar VLAN, edite el ID de VLAN en el campo ID de VLAN.
6 7
8 9
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuya informacin de VLAN desee eliminar. Haga clic en Editar.
928
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador ), en la ficha Direccin del conmutador, seleccione la VLAN que desee eliminar. En la ficha VLAN, seleccione Eliminar. Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
8 9
Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba
Si utiliza un conmutador Aruba, es posible dejar el campo ID de VLAN o Nombre de VLAN en blanco. Sin embargo, para otros conmutadores, es necesario escribir la informacin en ambos campos. Para el conmutador Aruba, es posible utilizar estos campos para especificar una VLAN o un rol, o ambos, de la siguiente manera:
Para especificar una VLAN, escriba el ID de VLAN en el campo ID de VLAN. Para especificar un rol, escriba el nombre del rol en el campo Nombre de VLAN.
Para el conmutador Aruba es posible tambin utilizar este cuadro de dilogo para configurar acciones de conmutador separadas para varios roles en una VLAN o varias VLAN para un rol. Ver "Configuracin de conmutador" en la pgina 905. Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba
1 2
Si tena un ID de VLAN 1 con el rol A y el rol B, complete el ID de VLAN como 1 y el nombre de VLAN como A. haga clic en Aceptar. Haga clic en Agregar nuevamente. En el cuadro de dilogo Agregar VLAN, complete el ID de VLAN como 1 y el nombre de VLAN como B, y haga clic en Aceptar. Dos opciones separadas estn disponibles para la configuracin en la tabla de acciones de conmutador.
Configurar el orden de comprobacin de condiciones Ver "Configurar el orden de comprobacin de las condiciones" en la pgina 930.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
929
Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas Ver "Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas" en la pgina 931. Seleccionar diferentes acciones Ver "Seleccionar diferentes acciones" en la pgina 932.
Acerca de los problemas con la poltica de conmutador, las condiciones asociadas y las acciones
Cuando configura las polticas de conmutador, tenga en cuenta lo siguiente:
La tabla Accin de conmutador debe contener por lo menos una entrada. Si no selecciona una accin para una combinacin determinada de resultados, se realiza la accin predeterminada, Abrir el puerto. Para especificar una accin predeterminada para cualquier combinacin posible de resultados, seleccione Omitir resultados para los tres resultados. Cuando se agregan acciones a la tabla, es posible editar cualquier celda haciendo clic en la esquina derecha de una columna y de una fila para visualizar una lista desplegable. Algunos conmutadores, tales como el conmutador Cisco, tienen una funcin de VLAN de invitado. La VLAN de invitado se utiliza normalmente si la autenticacin de usuario falla. Es decir, si la autenticacin de usuario falla, el conmutador conecta el cliente a la VLAN de invitado automticamente. Si utiliza LAN Enforcer para la conmutacin de VLAN, se recomienda no utilizar la VLAN de invitado reservada cuando se configuran VLAN y acciones en LAN Enforcer. Si no, el suplicante de 802.1x puede responder como si la autenticacin de usuario hubiera fallado. Si implementa clientes y no est listo para implementar las funcionalidades completas de LAN Enforcer, es posible especificar una accin para permitir el acceso a la red interna segn la condicin Omitir resultado para la comprobacin de integridad del host y la comprobacin de polticas. Si desea ignorar los resultados de la autenticacin de usuario y permitir el acceso de red sin importar los resultados, es posible hacerlo con la condicin Omitir resultado para los resultados de la autenticacin de usuario.
Ver "Configurar el orden de comprobacin de las condiciones" en la pgina 930. Ver "Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas" en la pgina 931. Ver "Seleccionar diferentes acciones" en la pgina 932.
930
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo orden de comprobacin de condiciones desee modificar. Haga clic en Editar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
931
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Accin, seleccione la poltica de conmutador cuyo orden de comprobacin de condiciones desee modificar. Haga clic en Subir o Bajar. Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
8 9
Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas
Es posible seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas para una poltica de conmutador en cualquier momento si las circunstancias lo requieren. Ver "Acerca de los problemas con la poltica de conmutador, las condiciones asociadas y las acciones" en la pgina 929. Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyas condiciones de autenticacin desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Accin, haga clic en las condiciones de autenticacin que desee modificar en una de las siguientes columnas:
6 7
Seleccione cualquiera de las siguientes acciones que el conmutador compatible con 802.1x debe realizar cuando se cumplen ciertos criterios:
932
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
Resultado de la autenticacin del host: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la autenticacin del usuario: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la comprobacin de polticas: Aprobado, No aprobado, No disponible u Omitir resultado
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyas acciones desee modificar. Haga clic en Editar. En la ficha Accin, haga clic en cualquiera de las acciones que desee modificar en la columna Accin. Seleccione cualquiera de las siguientes acciones que el conmutador compatible con 802.1x debe realizar cuando se cumplen ciertos criterios:
6 7 8
Abrir el puerto El conmutador compatible con 802.1x permite el acceso de red en la VLAN predeterminada a la cual se asigna el puerto normalmente. Adems permite el acceso de red en la VLAN que se especifica en un atributo que se enva del servidor RADIUS. Por lo tanto, la compatibilidad de los usuarios que tienen acceso a la VLAN se basa en el ID de usuario y el rol de usuario.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin avanzada del dispositivo LAN Enforcer
933
Pasar a VLAN prueba Permite el acceso a la VLAN especificada. Las VLAN que estn disponibles para seleccionar son las que se configuraron previamente. Cerrar el puerto Niega el acceso de red en la VLAN predeterminada o la VLAN especificada por RADIUS. En algunos modelos de conmutador, segn la configuracin del conmutador, el puerto se asigna a una VLAN invitada.
Permitir un cliente heredado. Ver "Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer" en la pgina 934. Habilitar la autenticacin local. Ver "Habilitar la autenticacin local en el dispositivo LAN Enforcer" en la pgina 934. Agregue, edite, elimine, importe o exporte la direccin MAC y la VLAN asociada para MAC Authentication Bypass. Ver "Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer" en la pgina 935. Habilitar el protocolo de tiempo de redes y el servidor que proporciona el servicio. Habilitar la comprobacin de estado del servidor de administracin y el perodo del intervalo.
Los detalles sobre la implementacin de cada una de estas opciones de configuracin aparecen en la pgina de la ayuda contextual para la configuracin avanzada del dispositivo LAM Enforcer.
934
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin avanzada del dispositivo LAN Enforcer
Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer
Es posible permitir que un dispositivo LAN Enforcer se conecte a clientes anteriores de la versin 5.1.x. Si su red admite Symantec Endpoint Protection Manager 11.0.2, un dispositivo Symantec LAN Enforcer, y necesita admitir clientes anteriores de la versin 5.1.x, es posible habilitar la compatibilidad con los clientes anteriores de 5.1.x en la consola del servidor de administracin de modo que el dispositivo Symantec LAN Enforcer no los bloquee. Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Para permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Permitir clientes heredados. Haga clic en Aceptar.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos LAN Enforcer. Seleccione el grupo de dispositivos LAN Enforcer para el cual desea habilitar la autenticacin local. En Tareas, haga clic en Editar propiedades de grupo.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer
935
6 7
En el cuadro de dilogo Configuracin de LAN, en la ficha Opciones avanzadas, seleccione Habilitar la autenticacin local. Haga clic en Aceptar.
Habilitar las actualizaciones de hora del sistema para el dispositivo Enforcer usando el protocolo de tiempo de redes
Con el protocolo de tiempo de redes (NTP) habilitado, los relojes del dispositivo Enforcer pueden actualizarse a la hora correcta. Esta configuracin est deshabilitada de forma predeterminada, pero se puede anular si se especifica en una poltica de grupo. Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Para habilitar las actualizaciones de hora para el dispositivo LAN Enforcer desde Symantec Endpoint Protection Manager
1 2 3 4 5 6 7
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de dispositivos LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En la ficha Opciones avanzadas, seleccione Habilitar protocolo de tiempo de redes. Escriba la direccin IP o el nombre de dominio completo del servidor NTP. Haga clic en Aceptar.
Desde la consola de Enforcer, se puede cambiar temporalmente esta configuracin para ayudar a solucionar problemas de la sincronizacin de hora. Desde la lnea de comandos de la consola de Enforcer, escriba
Enforcer (configure)# ntp.
Nota: Si haba habilitado NTP en una versin anterior de Symantec Endpoint Protection, se pierde esa configuracin cuando se actualiza. Es necesario rehabilitar NTP.
936
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer
del servidor de administracin al dispositivo LAN Enforcer durante el latido siguiente. Para configurar direcciones MAC y la omisin de la autenticacin de MAC en LAN Enforcer
1 2 3 4 5 6 7 8 9
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. Seleccione LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. Abra la ficha Avanzadas. En la lista desplegable ubicada a la izquierda, seleccione Omisin de la autenticacin MAC y haga clic en Habilitar. En el cuadro de dilogo Configuracin, en la ficha Avanzada, junto a Direccin MAC, haga clic en Agregar. En el cuadro de dilogo Agregar host de confianza, escriba la direccin MAC para el cliente o el host de confianza en el campo Direccin MAC del host. Cuando se especifica una direccin MAC, es posible utilizar un carcter comodn si usted lo escribe para los tres campos de la derecha. Por ejemplo, 11-22-23-*-*-* representa el uso correcto del carcter comodn. Sin embargo, 11-22-33-44-*-66 no representa el uso correcto del carcter comodn. Es posible tambin copiar un conjunto de direcciones MAC de un archivo de texto. Nota: Symantec admite el formato siguiente para las importaciones: nica direccin MAC y direccin MAC con mscara. Para importar direcciones MAC, haga clic en Importar. Especifique el archivo en el cuadro de dilogo Importar direccin MAC desde archivo. Para exportar direcciones MAC, resalte varias direcciones MAC y despus haga clic en Exportar. Especifique el archivo en el cuadro de dilogo Exportar direccin MAC a archivo.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
937
Un cliente no autenticado o un suplicante de otro fabricante enva la informacin del usuario y del cumplimiento a un conmutador de red 802.11 administrado. El conmutador de red retransmite la informacin al dispositivo LAN Enforcer. El dispositivo LAN Enforcer enva la informacin del usuario al servidor de autenticacin para su autenticacin. El servidor RADIUS es el servidor de autenticacin. Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red. El dispositivo LAN Enforcer coloca el equipo cliente que no cumple en una red segn la tabla de accin del conmutador donde el equipo puede ser reparado. Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo 802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con el dispositivo LAN Enforcer, el cliente puede utilizar un suplicante de otro fabricante o un suplicante integrado. La Tabla 43-2 describe los tipos de opciones que se pueden configurar para la autenticacin 802.1x.
938
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
Suplicante de otro Utiliza un suplicante de 802.1x de otro fabricante. fabricante El dispositivo LAN Enforcer funciona con un servidor RADIUS y suplicantes de 802.1x de otro fabricante para realizar la autenticacin de usuarios. El suplicante de 802.1x solicita informacin del usuario, que LAN Enforcer transmite al servidor RADIUS para la autenticacin de nivel de usuario. El cliente enva el perfil del cliente y el estado de integridad del host al dispositivo LAN Enforcer para que autentique el equipo.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
939
Opcin
Descripcin
Modo transparente Utiliza el cliente para ejecutarse como suplicante de 802.1x. Se utiliza este mtodo si no desea utilizar un servidor RADIUS para realizar la autenticacin de usuario. El dispositivo LAN Enforcer se ejecuta en modo transparente y acta como servidor RADIUS falso. El modo transparente implica que el suplicante no solicita informacin del usuario. En el modo transparente, el cliente acta como suplicante de 802.1x. El cliente responde a la solicitud de EAP del conmutador con el perfil del cliente y el estado de integridad del host. El conmutador, en su momento, transmite la informacin al dispositivo LAN Enforcer, que acta como servidor RADIUS falso. El dispositivo LAN Enforcer valida la informacin de integridad del host y del perfil del cliente provista por el conmutador y puede permitir, bloquear o asignar dinmicamente una VLAN, segn sea necesario.
Advertencia: Es necesario saber si su red corporativa utiliza el servidor RADIUS como servidor de autenticacin. Si configura la autenticacin de 802.1x incorrectamente, la conexin a la red puede romperse.
Nota: Para permitir al usuario configurar la autenticacin de 802.1x en el cliente, es necesario configurar el cliente a control de cliente. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
940
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo de clientes que desea que realicen la autenticacin 802.1x. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, marque Habilitar autenticacin 802.1x. Marque Usar el cliente como suplicante de 802.1x. Realice una de las acciones siguientes:
Para seleccionar el modo transparente, seleccione Usarmodotransparente de Symantec. Para permitir que el usuario configure un suplicante integrado, seleccione Permitir al usuario seleccionar el protocolo de autenticacin. Los usuarios pueden elegir el protocolo de autenticacin para su conexin de red.
1 2 3 4 5
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo de clientes que desea que realicen la autenticacin 802.1x. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, marque Habilitar autenticacin 802.1x. Haga clic en Aceptar. Es posible configurar el cliente para que utilice el suplicante integrado. Se habilita el cliente para la autenticacin 802.1x y como suplicante de 802.1x.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
941
Se produjo un error durante la autenticacin del usuario en el equipo cliente porque los usuarios escribieron el nombre de usuario o la contrasea incorrectamente. El equipo cliente est en la VLAN incorrecta. El equipo cliente no obtiene una conexin de red. Los problemas de conexin de red suceden generalmente porque el conmutador entre el equipo cliente y LAN Enforcer no autentic el nombre de usuario y la contrasea. Los usuarios deben iniciar sesin en un equipo cliente que haya autenticado un usuario anterior. El equipo cliente no aprob la comprobacin de cumplimiento.
Los usuarios pueden reautenticar el equipo slo si se configur el equipo con un suplicante integrado. El men contextual del rea del icono de notificacin del equipo cliente muestra un comando de reautenticacin. Ver "Usar la autenticacin 802.1x" en la pgina 937.
942
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
Captulo
44
Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores Acerca de los grupos de Enforcer Acerca de la informacin de Enforcer que aparece en la consola de Enforcer Visualizar informacin acerca de Enforcer en la consola de administracin Modificar el nombre y la descripcin de un dispositivo Enforcer Eliminar un mdulo de Enforcer o un grupo de Enforcer Exportar e importar opciones de grupo de Enforcer Mensajes emergentes para los clientes bloqueados Acerca de la configuracin de clientes y Enforcer Configurar clientes para utilizar una contrasea para detener el servicio del cliente Acerca de los informes y registros de Enforcer
944
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores
945
946
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de los grupos de Enforcer
Gateway Enforcer de conmutacin por error que se conecta por medio de un hub o un conmutador a la misma subred. La consola entonces asigna el nuevo mdulo de Enforcer de conmutacin por error en espera al mismo grupo que el mdulo de Enforcer activo. La asignacin ocurre independientemente de si se especific un nombre de grupo durante la instalacin en la consola local. Esta accin garantiza que el mdulo de Gateway Enforcer de conmutacin por error tenga exactamente la misma configuracin que el mdulo de Enforcer primario. Ver "Planificacin conmutacin por error de dispositivos Gateway Enforcer" en la pgina 830. Para los mdulos de LAN Enforcer, la conmutacin por error se administra a travs del conmutador en lugar de con Enforcer, as que no se realiza la asignacin automtica al mismo grupo. Es posible asegurarse de que los distintos mdulos de LAN Enforcer compartan opciones. Especifique el mismo nombre de grupo en la consola local de Enforcer, en el cuadro de dilogo Configuracin. Ver "Planificacin para la instalacin de un dispositivo LAN Enforcer" en la pgina 879.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de la informacin de Enforcer que aparece en la consola de Enforcer
947
Ver "Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer" en la pgina 893. Ver "Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer" en la pgina 991.
Campo
Nombre Descripcin
Versin
Nombre de host
Sistema operativo Sistema operativo que se ejecuta en el equipo en el cual se instal el mdulo de Enforcer seleccionado. Estado de conexin En lnea: el servicio est ejecutndose y es el mdulo de Enforcer activo primario. Desconectado: el servicio est detenido. Estado de conmutacin por error IP interna (Gateway Enforcer solamente) Si Enforcer est activo o en espera.
948
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Visualizar informacin acerca de Enforcer en la consola de administracin
Campo
IP externa
Descripcin
(Gateway Enforcer solamente) Direccin IP de la tarjeta de interfaz de red externa. Direccin MAC de la tarjeta de interfaz de red interna. (Gateway Enforcer solamente) Direccin MAC de la tarjeta de interfaz de red externa. Fabricante y modelo de la tarjeta de interfaz de red interna. (Gateway Enforcer solamente) Fabricante y modelo de la tarjeta de interfaz de red externa.
1 2
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en los nombres de Enforcer de los que desea consultar informacin. La informacin sobre el dispositivo LAN Enforcer no aparece en los campos que se refieren a la NIC externa porque el dispositivo LAN Enforcer necesita solamente una NIC interna. No se muestra el estado de conmutacin por error porque un conmutador administra la conmutacin por error de LAN Enforcer.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Eliminar un mdulo de Enforcer o un grupo de Enforcer
949
1 2
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de Enforcer y en Tareas, haga clic en Editar propiedades de Enforcer. Aparece el cuadro de dilogo Propiedades. El campo de nombre no es editable. Escriba el texto deseado en el cuadro de texto Descripcin. Haga clic en Aceptar. Es posible adems editar la descripcin de Enforcer haciendo clic con el botn secundario en el nombre del mdulo de Enforcer y seleccionando Propiedades.
3 4
1 2 3
Desactive o desinstale el mdulo de Enforcer en el equipo de Enforcer. En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de Enforcer y, a continuacin, en Tareas, haga clic en Eliminar Enforcer. Un cuadro de mensaje le solicitar que confirme la eliminacin. Para confirmar la eliminacin, haga clic en S. Si no hay mdulos de Enforcer enumerados en un grupo de Enforcer y usted desea no utilizar ms ese grupo, es posible eliminar el grupo. El grupo no debe incluir ningn nombre de Enforcer para que pueda eliminarlo. Cuando se elimina un grupo de Enforcer, se elimina cualquier configuracin personalizada para el grupo.
950
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Exportar e importar opciones de grupo de Enforcer
En la consola de Symantec Endpoint Protection, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores.
2 3
En Servidores, haga clic en el nombre del grupo de Enforcer. Haga clic en Eliminar grupo. Un cuadro de mensaje le solicitar que confirme la eliminacin.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de grupo de Enforcer y en Exportar propiedades del grupo. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Guardar.
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de grupo de Enforcer cuya configuracin desee sobrescribir y en Importar propiedades del grupo. Seleccione el archivo que desea importar y despus haga clic en Abrir. Se le pedir que confirme si desea sobrescribir las propiedades actuales del grupo de Enforcer.
Haga clic en S.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Mensajes emergentes para los clientes bloqueados
951
Mensaje para los equipos que ejecutan un cliente. Mensajes para equipos con Windows que no estn ejecutando un cliente (Gateway Enforcer solamente)
Es posible agregar texto al mensaje predeterminado. Por ejemplo, es posible decirle al usuario del equipo qu hacer para corregir la situacin. Se configura este mensaje como parte de la configuracin de polticas del grupo de clientes en lugar de la configuracin de Enforcer.
Mensajes para los equipos de Windows que no estn ejecutando un cliente (Gateway Enforcer solamente)
En algunos casos, los clientes intentan conectarse a la red de la empresa sin ejecutar el cliente. Gateway Enforcer muestra un mensaje emergente para informar a los usuarios de los equipos con Windows la necesidad de instalar el software de cliente. El mensaje avisa a los clientes que estn bloqueados para acceder a la red porque el cliente de Symantec no est ejecutndose. Es posible configurar el contenido del mensaje en la ficha Autenticacin del cuadro de dilogo Configuracin de Enforcer. Utilice la opcin Habilitar el mensaje emergente en el cliente si el cliente no se est ejecutando. Nota: Una alternativa al mensaje emergente es la opcin Redireccin HTTP. La opcin de redireccin HTTP conecta al cliente a un sitio web con funcionalidades o instrucciones de reparacin.
952
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de la configuracin de clientes y Enforcer
Para que Enforcer haga que el cliente muestre un mensaje, los puertos UDP 137 y 138 deben estar abiertos para transmitir el mensaje. La mensajera de Windows, tambin llamada Messenger, debe ejecutarse en sistemas basados en Windows NT (Windows NT 4.0, 2000, XP y Windows Server 2003) para que el equipo muestre mensajes emergentes. Si el cliente se est ejecutando, no se requiere Mensajera de Windows para mostrar un mensaje emergente desde el cliente.
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la pgina Clientes, seleccione la ficha Polticas. En Ver polticas, seleccione el grupo para el que desea especificar un mensaje emergente. En Configuracin, seleccione Configuracin general. El cuadro de dilogo Configuracin de grupo aparece con la ficha Configuracin general seleccionada. En la ficha Configuracin de seguridad, seleccione Mostrar un mensaje cuando Symantec Enforcer bloquea un cliente. Si desea agregar texto al mensaje predeterminado, haga clic en Establecer texto adicional, luego escriba el texto y haga clic en Aceptar. Haga clic en Aceptar.
4 5 6
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar clientes para utilizar una contrasea para detener el servicio del cliente
953
Configurar clientes para utilizar una contrasea para detener el servicio del cliente
El cliente puede pasar la autenticacin de Enforcer inicialmente, mientras se ejecuta, y recibir una configuracin de red y una direccin IP normales. Si ms tarde se produce un error en la autenticacin, Enforcer enva un mensaje al cliente. Este error hace que el cliente libere y renueve la direccin IP. Sin embargo, si el usuario final detiene al cliente en el equipo cliente, Enforcer no puede imponer la versin y llevar a cabo la renovacin. Para asegurarse de que Enforcer pueda continuar poniendo en cuarentena o bloqueando clientes, es posible que desee restringir qu usuarios pueden detener un cliente. Puede restringir usuarios al solicitar una contrasea para que el usuario final detenga al cliente. Para configurar clientes para utilizar una contrasea para detener el servicio del cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la pgina Clientes, seleccione el grupo de clientes. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, en Proteccin de contrasea del cliente, seleccione Solicitar una contrasea para detener el servicio de cliente y especifique la contrasea. Haga clic en Aceptar.
El informe del sistema llamado Principales instancias de Enforcer que generan errores contiene informacin sobre los mdulos de Enforcer que generaron errores y advertencias. El informe del sistema llamado Estado del sitio contiene informacin sobre la velocidad del sistema, el trfico y el registro de paquetes de Enforcer.
954
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar opciones de registro de Enforcer
Los informes de cumplimiento contienen informacin sobre el estado de cumplimiento de los clientes.
Los registros de Enforcer incluyen los datos que se pueden usar para supervisar y solucionar problemas en actividad de sistema: Los siguientes tipos de registros de Enforcer estn disponibles:
Registro del servidor de Enforcer. Este registro contiene la informacin relacionada con el funcionamiento de Enforcer. Registro de clientes de Enforcer. Este registro contiene la informacin sobre las interacciones entre Enforcer y los clientes que intentan conectarse a la red. Registro de trfico de Enforcer (Gateway Enforcer solamente). Este registro registra todo el trfico que entra a travs del adaptador externo de un dispositivo Gateway Enforcer y sale a travs del adaptador interno. Registro de actividades de Enforcer. Este registro contiene informacin sobre eventos, por ejemplo, cuando los dispositivos Enforcer se inician y cuando se conectan a Symantec Endpoint Protection Manager.
De forma predeterminada, los registros de Enforcer se almacenan en el mismo equipo en el que est instalado el software de Enforcer o en el dispositivo Enforcer mismo. Es posible enviar los registros automticamente desde el dispositivo Enforcer o el equipo en el cual usted instal Integrated Enforcer hasta la consola de Symantec Endpoint Protection Manager. Sin embargo, es necesario habilitar el envo de registros en la consola de Symantec Endpoint Protection Manager. Los datos de registros se envan de Enforcer a Symantec Endpoint Protection Manager y se almacenan en la base de datos. Es posible modificar la configuracin del registro de Enforcer, consultar los registros de Enforcer y generar informes sobre los mdulos de Enforcer en la consola de Symantec Endpoint Protection Manager. Las actividades se registran en el mismo registro del servidor de Enforcer para todos los mdulos de Enforcer en un sitio. Para obtener informacin detallada sobre los tipos de informes y registros, y cmo verlos, consulte la ayuda de Symantec Endpoint Protection Manager. Ver "Configurar opciones de registro de Enforcer" en la pgina 954.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar opciones de registro de Enforcer
955
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desee cambiar la configuracin del registro. En Tareas, haga clic en Editar propiedades de grupo. En Configuracin de nombre de Enforcer, en la ficha Registro, cambie cualquiera de las siguientes opciones:
Deshabilitar el registro de Enforcer en Anule la seleccin de Habilitar registro para la consola de Symantec Endpoint cada registro que se desee deshabilitar. Protection Manager Habilitar el envo de registros de Enforcer a Symantec Endpoint Protection Manager Configurar el tamao y la antigedad de los registros Seleccione Enviar registro al servidor de administracin.
En cada uno de los campos Tamao mximo del archivo de registro, especifique el nmero de kilobytes de datos para mantener en cada registro. En el campo La entrada del registro caducar despus de, especifique el nmero de das que la entrada permanecer en la base de datos antes de que se quite. El intervalo es 1 a 365 das.
Filtrar el registro de trfico de Enforcer Seleccione una de las siguientes opciones de filtro: Todo el trfico para registrar todo el trfico, incluido el que est permitido y el que se ha descartado. Solo el trfico bloqueado para registrar solamente los clientes que Enforcer bloquea. Solo el trfico permitido para registrar solamente el trfico que Enforcer permite.
956
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar opciones de registro de Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desea deshabilitar el registro de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, anule la seleccin de la casilla de verificacin Habilitar registro para cada registro que desee deshabilitar. Haga clic en Aceptar.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desea habilitar el envo de registros de Enforcer desde un Enforcer a Symantec Endpoint Protection Manager.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar opciones de registro de Enforcer
957
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, seleccione Enviar registro al servidor de administracin. Es posible habilitar el envo de cada tipo de registro desde un dispositivo Enforcer o un equipo en el cual se instal cualquiera de los mdulos Integrated Enforcer basados en software a Symantec Endpoint Protection Manager.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desea configurar el tamao y la antigedad de los registros de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, en cada uno de los campos Tamao mximo del archivo de registro, especifique el nmero de KB de datos para mantener en cada registro. Es posible escribir un tamao entre 64 KB y 2 GB. La configuracin predeterminada es 512 KB.
En el campo La entrada del registro caducar despus de, especifique el nmero de das que la entrada permanecer en la base de datos antes de que se quite. El intervalo es de 1 da a 365 das, con una configuracin predeterminada de 30 das.
958
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar opciones de registro de Enforcer
en el registro de trfico y, de esta forma, reducir el tamao medio del registro. La lista de filtros le permite filtrar el trfico que Enforcer registra antes de que se conserven los datos. Para filtrar los registros del trfico para Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desee filtrar los registros de trfico. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, en la lista Filtro de registros de trfico, seleccione una de las siguientes opciones de filtro:
Todo el trfico Registra todo el trfico, incluido el que est permitido y quitado Registra solamente los clientes que Enforcer bloquea
Captulo
45
Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft funciona con el servidor del Protocolo de configuracin dinmica del host (DHCP) de Microsoft. Garantiza que los clientes que intentan conectarse a la red cumplan con las polticas de seguridad configuradas. Integrated Enforcer para servidores DHCP de Microsoft ofrece seguridad interceptando y comprobando los mensajes DHCP de cada cliente que reciba una direccin IP dinmica a travs del servidor DHCP. Despus agrupa los equipos no seguros en una clase de cuarentena y proporciona a los equipos no seguros recursos limitados disponibles para cada configuracin de polticas establecida.
960
Presentacin de los dispositivos Symantec Integrated Enforcer Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Integrated Enforcer for Microsoft Network Access Protection (NAP) funciona conjuntamente con el servidor de polticas de red de Microsoft Windows (NPS) en Microsoft Windows Server 2008 y Windows Server 2008 R2. Symantec Integrated NAP Enforcer asegura que los clientes que intentan conectarse a la red cumplen con las polticas de seguridad configuradas. NAP restringe el acceso a las redes creando un entorno controlado. Comprueba la postura de seguridad de un cliente antes de que el cliente se conecte a la red de la empresa. Si un cliente no cumple las polticas, NAP corrige la postura de seguridad o limita el acceso a los endpoints que no cumplen la poltica de seguridad de una compaa. Network Access Protection es una tecnologa de creacin de "polticas de salud de seguridad" de clientes, cumplimiento y reparacin que se incluye en el sistema operativo Windows Server 2008. Los administradores del sistema pueden crear e imponer automticamente las polticas de seguridad. Estas polticas de seguridad pueden incluir requisitos de software, requisitos de actualizacin de seguridad, configuraciones de equipo obligatorias y otras opciones. Los equipos cliente que no cumplen una poltica de salud de seguridad pueden recibir acceso restringido a la red. Cuando su configuracin se actualiza para cumplir una poltica, los clientes tienen acceso completo a la red. Segn cmo implemente NAP, los clientes que no cumplan las polticas pueden ser actualizados automticamente de modo que los usuarios puedan recuperar rpidamente el acceso completo a la red sin actualizar o volver a configurar manualmente sus equipos. Nota: Microsoft usa la "poltica de salud de seguridad" en su documentacin para Network Access Protection. Symantec usa la "poltica de seguridad" y la "poltica de integridad del host" para referirse a la misma cosa. Ver "Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)" en la pgina 749.
Captulo
46
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
En este captulo se incluyen los temas siguientes:
Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft Componentes para Integrated Enforcer para servidores DHCP de Microsoft Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
962
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
La Tabla 46-1 enumera los pasos para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Tabla 46-1 Resumen de instalacin para Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Identifica el hardware, el software y los componentes de Symantec Network Access Control que son necesarios para ejecutar el Enforcer y ayuda a planear su disposicin en su red. Ver "Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 962. Ver "Componentes para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 963. Paso 2 Instale Symantec Endpoint Protection Instala la aplicacin que se usa para Manager. admitir Enforcer en su red. Instale Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Instala los componentes de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Ver "Instalar Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 967.
Paso
Paso 1
Accin
Lea los requisitos del sistema y los requisitos de instalacin.
Paso 3
Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft
La Tabla 46-2 resume los requisitos mnimos para los equipos en los cuales se instala Integrated Enforcer para servidores DHCP de Microsoft.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Componentes para Integrated Enforcer para servidores DHCP de Microsoft
963
Tabla 46-2
Requisitos del sistema de Integrated Enforcer para los servidores DHCP de Microsoft Requisito
Para las instalaciones de hasta 10 000 usuarios, utilice los requisitos recomendados siguientes:
Componente
Hardware
Pentium III de 750 MHz 256 MB de memoria 120 MB de espacio libre en disco Adaptadores de red Fast Ethernet Una tarjeta de interfaz de red (NIC) con TCP/IP instalada
Para las instalaciones de 10 000 usuarios o ms, utilice los requisitos recomendados siguientes:
Pentium 4 de 2,4 GHz 512 MB de memoria 512 MB de espacio libre en disco Adaptadores de red de 1 GB
Monitor con resolucin de 800 x 600 con 256 colores (mnimo) Una tarjeta de interfaz de red (NIC) con TCP/IP instalada Sistema operativo Integrated Enforcer necesita que el servidor DHCP de Microsoft y los sistemas operativos de 32 bits siguientes estn instalados:
Windows Server 2000 Service Pack 4 Windows Server 2003 Service Pack Windows Server 2003 Service Pack 1 Windows Server 2003 x64 Windows Server 2008 Windows Server 2008 x64 Windows Server 2008 R2
964
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft
Tabla 46-3 muestra los componentes que son necesarios para usar Integrated Enforcer para servidores DHCP de Microsoft: Tabla 46-3 Componentes para Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Componente
Symantec Endpoint Protection Manager Crea las polticas de seguridad en una ubicacin centralizada y las asigna a los clientes. Cliente de Symantec Network Access Control Protege a usuarios finales mediante la aplicacin de polticas de seguridad que proporciona Integrated Enforcer para servidores DHCP de Microsoft. Proporciona direcciones DHCP a los clientes. Autentica los clientes y aplica las polticas de seguridad.
Servidor DHCP de Microsoft Integrated Enforcer para servidores DHCP de Microsoft (instalado en el mismo equipo que el servicio DHCP)
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft
965
Figura 46-1
Disposicin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Clientes
Agente de retransmisin
Servidores protegidos
Hub o conmutador
966
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft
Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft
La documentacin describe cmo instalar, configurar y usar Integrated Enforcer para servidores DHCP de Microsoft. Realice las siguientes tareas para comenzar: Tabla 46-4 Proceso para instalar Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Paso
Paso 1
Accin
Ubique los componentes de instalacin Describe los componentes necesarios de Symantec Network Access Control. para la instalacin de Integrated Enforcer para servidores DHCP de Microsoft. Ver "Componentes para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 963.
Paso 2
Enumera los requisitos de hardware para Integrated Enforcer para servidores DHCP de Microsoft. Ver "Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 962.
Paso 3
Obtenga el sistema operativo necesario. Enumera los requisitos del sistema operativo para Integrated Enforcer para servidores DHCP de Microsoft. Coloque Integrated Enforcer para servidores DHCP de Microsoft en su red. Explica dnde colocar Integrated Enforcer para servidores DHCP de Microsoft en una red. Ver "Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 964.
Paso 4
Paso 5
Explica cmo instalar Integrated Enforcer para servidores DHCP de Microsoft. Ver "Instalar Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 967.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
967
Paso
Paso 6
Accin
Configure Integrated Enforcer para servidores DHCP de Microsoft.
Descripcin
Explica cmo configurar las conexiones y la configuracin de Integrated Enforcer para servidores DHCP de Microsoft en una consola de Enforcer. Ver "Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer" en la pgina 974.
Inserte el disco del producto. Si la instalacin no se inicia de forma automtica, haga doble clic en uno de de los siguientes archivos:
968
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
Si el servidor DHCP ya est instalado, aparece el panel Bienvenido al Asistente para la instalacin de Symantec Integrated Enforcer.
2 3 4 5
En el panel Bienvenido, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto el contrato de licencia. Haga clic en Siguiente. En el panel Carpeta de destino, realice una de las tareas siguientes:
Si desea aceptar la carpeta de destino predeterminada, haga clic en Siguiente. Haga clic en Examinar, localice una carpeta de destino y seleccinela, haga clic en Aceptar y, a continuacin, en Siguiente.
Si aparece el panel Seleccin de roles, seleccione Aplicacin de DHCP para servidor DHCP de Microsoft y haga clic en Siguiente. El panel Seleccin de roles aparece solamente si es posible instalar ms de un tipo de Symantec Network Access Control Integrated Enforcer de acuerdo con los servicios que se ejecutan en el servidor.
7 8
En el panel Listo para instalar la aplicacin, haga clic en Siguiente. Cuando se le pregunte si desea reiniciar el servidor DHCP, realice una de las siguientes tareas:
Para reiniciar el servidor DHCP de forma inmediata, haga clic en S. Para reiniciar el servidor DHCP manualmente ms tarde, haga clic en No(No). Si reinicia el servidor DHCP ms tarde, es necesario detenerlo y, a continuacin, iniciarlo.
Es necesario reiniciar el servidor DHCP, de lo contrario Symantec Integrated Enforcer no funciona. Ver "Detener e iniciar el servidor DHCP de Microsoft manualmente" en la pgina 970.
Haga clic en Finalizar. Si es necesario reinstalar Integrated Enforcer, debe primero desinstalarlo. Ver "Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 969.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
969
Para instalar Integrated Enforcer para servidores DHCP de Microsoft desde la lnea de comandos
Para comenzar la instalacin desde la lnea de comandos, abra una lnea de comandos DOS. El proceso de instalacin desde la lnea de comandos utiliza solamente las configuraciones predeterminadas.
En la lnea de comandos, especifique el directorio en el cual el instalador de Integrated Enforcer se encuentra. Los valores predeterminados de la ubicacin de instalacin es uno de los siguientes:
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Integrated Enforcer para sistemas operativos x64.
Escriba IntegratedEnforcerInstaller86.exe /qr (para sistemas operativos x86) o IntegratedEnforcerInstaller64.exe /qr (para sistemas operativos x64) en la lnea de comandos y escriba: Enter.
Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Es posible desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft desde la barra de tareas de Windows o desde la lnea de comandos. Para desinstalar Integrated Enforcer para servidores DHCP de Microsoft
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Agregar o quitar programas. Haga clic en Symantec NAC Integrated Enforcer y despus haga clic en Eliminar. Cuando se le pregunte si desea quitar el software, haga clic en Yes(S). Cuando se le pregunte si desea reiniciar el servidor DHCP, realice una de las siguientes tareas:
Para reiniciar el servidor DHCP de forma inmediata, haga clic en Yes(S). Para reiniciar el servidor DHCP manualmente ms tarde (opcin predeterminada), haga clic en No(No). Si reinicia el servidor DHCP
970
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
ms tarde, es necesario detenerlo y, a continuacin, iniciarlo. Es necesario reiniciar el servidor DHCP para desinstalar totalmente Symantec Integrated Enforcer. Para desinstalar Integrated Enforcer para servidores DHCP de Microsoft desde la lnea de comandos
1 2
Abra una lnea de comandos DOS. En la lnea de comandos, escriba: El nombre de archivo misexec.exe /qn /X <nombre de archivo> debe estar en Program Files\Common Files\Wise Installation Wizard.
Paso
Paso 1
Accin
Desinstale la versin anterior.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
971
1 2 3
En la barra de tareas de Windows, haga clic en Inicio > Panel de control> Herramientas administrativas > Servicios. Haga clic con el botn secundario en DHCP Server (Servidor DHCP) y haga clic en Stop (Detener). Haga clic en Start (Iniciar).
972
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
Captulo
47
Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager Configurar la cuarentena automtica Cmo editar una conexin de Symantec Endpoint Protection Manager Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager Configurar una lista de distribuidores de confianza Visualizar registros de Enforcer en una consola de Enforcer Detener e iniciar servicios de comunicacin entre Integrated Enforcer y un servidor de administracin Configurar una mscara de subred segura Creacin de excepciones en el mbito DHCP
974
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer
Accin
Establezca una conexin entre Integrated Enforcer para servidores DHCP de Microsoft y un servidor de administracin.
Paso 2
Use uno de dos mtodos para configurar una clase de usuarios de cuarentena para la reparacin. Ver "Configurar la cuarentena automtica" en la pgina 979.
Paso 3
Detenga e inicie manualmente el servicio DHCP en el servidor DHCP. Ver "Detener e iniciar el servidor DHCP de Microsoft manualmente" en la pgina 970.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer
975
Paso
Paso 4
Accin
Opcionalmente, cambie la configuracin bsica de Integrated Enforcer.
Descripcin
Agregue o edite las descripciones para Integrated Enforcer o el grupo de mdulos de aplicacin Integrated Enforcer, o para la direccin IP o los nombres de host de Integrated Enforcer. Ver "Configuracin bsica de Symantec Network Access Control Integrated Enforcer" en la pgina 990.
Paso 5
Conecte Integrated Enforcer a un servidor en el que Symantec Endpoint Protection Manager est instalado. Ver "Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager" en la pgina 992.
Paso 6
Actualice la conexin a la direccin del servidor de Symantec Endpoint Protection y a la informacin de puerto en caso de ser necesario. Ver "Cmo editar una conexin de Symantec Endpoint Protection Manager" en la pgina 981.
Paso 7
Configure una lista de distribuidores de confianza para los dispositivos en su red, como impresoras o telfonos IP. Estos son los dispositivos que Integrated Enforcer no necesita autenticar. Ver "Configurar una lista de distribuidores de confianza" en la pgina 983.
976
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer
Paso
Paso 8
Accin
Descripcin
Opcionalmente, configure dnde desee Configure registros para ver en la ver los registros. consola de Enforcer o en Symantec Endpoint Protection Manager. Ver "Visualizar registros de Enforcer en una consola de Enforcer" en la pgina 984. Ver "Configurar registros para Symantec Network Access Control Integrated Enforcer" en la pgina 1004.
Paso 9
Opcionalmente, establezca la Configure cmo desea autenticar los configuracin de autenticacin para su clientes, los servidores y los red. dispositivos. Ver "Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin" en la pgina 999. Ver "Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes" en la pgina 1000. Ver "Permitir todos los clientes con el registro continuo de clientes no autenticados" en la pgina 1001. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 1002. Ver "Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin" en la pgina 994.
Paso 10
Opcionalmente, valide que los clientes Valide que los clientes tengan las estn ejecutando las polticas polticas ms recientes comparando el actualizadas. nmero de serie de las polticas recibido del cliente con el nmero de serie de las polticas en Symantec Endpoint Protection Manager.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager
977
Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager
Es necesario especificar Symantec Endpoint Protection Manager al que puede conectarse Integrated Enforcer. Una vez que configure la lista de servidores de administracin, es necesario configurar la conexin con la contrasea cifrada, el nombre de grupo y el protocolo de comunicacin. La contrasea cifrada antes se conoca como clave previamente compartida. Despus de que Integrated Enforcer se conecta a un servidor de administracin, se registra automticamente. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Para establecer la comunicacin entre la consola de Integrated Enforcer y Symantec Endpoint Protection Manager
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. Aparece la consola de configuracin de Symantec Network Access Control Integrated Enforcer. Esta pgina principal muestra el estado de conexin entre Integrated Enforcer y Symantec Endpoint Protection Manager. Una luz verde indica que Integrated Enforcer est conectado activamente al servidor de administracin. Una luz roja indica que la conexin est desactivada.
2 3
En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configurar > Servidor de administracin. En el cuadro de dilogo Servidor de administracin, escriba la direccin IP o el nombre de Symantec Endpoint Protection Manager en el campo de texto Direccin del servidor. Es posible escribir una direccin IP, un nombre de host o un nombre de dominio. Si desea usar un nombre de host o un nombre de dominio, asegrese de que el nombre se resuelva correctamente con el Servidor de nombres de dominio (servidor DNS).
En el cuadro de dilogo Servidor de administracin, edite el nmero de puerto que Integrated Enforcer utiliza para comunicarse con Symantec Endpoint Protection Manager. El nmero de puerto predeterminado es 8014 para el protocolo HTTP y 443 para el protocolo HTTPS. El protocolo HTTPS debe configurarse idnticamente en Symantec Endpoint Protection Manager e Integrated Enforcer.
978
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager
En el cuadro de texto Contrasea de cifrado, escriba la contrasea de Symantec Endpoint Protection Manager para su conexin. Symantec Endpoint Protection Manager e Integrated Enforcer deben usar la misma contrasea cifrada para la comunicacin. Para visualizar las letras y los nmeros de la clave previamente compartida en vez de asteriscos, seleccione Usar valor hash. Si se activa la funcin Usar valor hash, la contrasea de cifrado debe tener 32 caracteres y debe usar nmeros hexadecimales solamente.
En el cuadro de texto Grupo preferido, escriba un nombre para el grupo de Integrated Enforcer. Si no especifica un nombre de grupo, Symantec Endpoint Protection Manager asigna Symantec Network Access Control Integrated Enforcer a un grupo de Enforcer predeterminado con la configuracin predeterminada. El nombre de grupo predeterminado es I-DHCP. Sin embargo, Symantec Network Access Control Integrated Enforcer para servidores NAP de Microsoft y los mdulos de aplicacin Enforcer basados en dispositivos deben estar en grupos separados. Es posible ver la configuracin del grupo de la consola de Symantec Endpoint Protection Manager en la pgina Servidores.
Para especificar el protocolo que Symantec Network Access Control Integrated Enforcer usa para comunicarse con Symantec Endpoint Protection Manager, seleccione HTTP o HTTPS. Es posible usar solamente el protocolo HTTPS si Symantec Endpoint Protection Manager est ejecutando Secure Sockets Layer (SSL). Si selecciona HTTPS y necesita la verificacin del certificado de servidor de administracin con una autoridad de certificacin de otro fabricante de confianza, seleccione Verificar certificado al utilizar protocolo HTTPS.
Haga clic en Guardar. Una vez que Integrated Enforcer se conecta a Symantec Endpoint Protection Manager, puede cambiar la mayora de los valores de configuracin en la consola de Symantec Endpoint Protection Manager. Sin embargo, el secreto compartido previamente o la contrasea cifrada deben ser iguales en Integrated Enforcer y Symantec Endpoint Protection Manager para poder comunicarse.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar la cuarentena automtica
979
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configurar > Configuracin de cuarentena automtica. En la pgina Configuracin de cuarentena automtica de Integrated Enforcer, haga clic en Agregar para comenzar a crear una lista de direcciones IP. Escriba una direccin IP permitida y haga clic en Aceptar para agregar la direccin IP a la lista. Haga clic en Agregar de nuevo para continuar agregando direcciones IP a la lista. Modifique la lista Direccin IP haciendo clic en Editar, Eliminar, Eliminar todo, Subir o Bajar. Cuando todas las direcciones IP estn enumeradas o modificadas, haga clic en Aceptar en la parte inferior de la pgina para guardar sus configuraciones.
2 3 4 5 6 7
980
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar la cuarentena automtica
Para establecer una configuracin de cuarentena en un servidor DHCP (tarea opcional avanzada)
En el servidor DHCP, haga clic en Inicio > Herramientas administrativas > DCHP. Para renovar la solicitud con una configuracin de cuarentena, Integrated Enforcer aade dinmicamente una clase de usuario DHCP de cuarentena a los mensajes DHCP que vienen de los clientes que no cumplen. Se define la clase de usuario de cuarentena agregando un ID llamado: SYGATE_ENF. A continuacin, se asigna a la clase de usuario varios recursos, que incluyen una direccin IP de gateway, tiempo de concesin, un servidor DNS y suficientes rutas estticas para la correccin.
2 3 4
En el rbol del cuadro de dilogo DHCP, haga clic con el botn secundario en el servidor DHCP y haga clic en Definir clases de usuario. En el cuadro de dilogo Clases de usuario DHCP, haga clic en Agregar. En el cuadro de dilogo Nueva clase, escriba un nombre para mostrar que identifique esta clase de usuario de cuarentena como la configuracin de cuarentena y una descripcin opcional. Por ejemplo, es posible identificar una clase de usuario de cuarentena, como CUARENTENA.
5 6 7
Para definir una nueva clase de usuario, haga clic en la columna ASCII y escriba SYGATE_ENF en letras maysculas. Haga clic en Aceptar. Haga clic en Cerrar.
1 2 3 4 5 6 7
En el rbol, haga clic con el botn secundario en Opciones del servidor. Haga clic en Configurar opciones. En la ficha General, active 003 Router y configure la direccin IP del router que se asocia al cliente de retransmisin de DHCP. En la ficha Avanzadas, en la lista desplegable Clase de proveedor, haga clic en Opciones estndar de DHCP. En la ficha Avanzadas, en la lista desplegable de Clase de usuario, haga clic en Cuarentena. Seleccione 003 Router. En el campo Direccin IP, escriba 127.0.0.1 (recomendado). Sin embargo, incumbe al administrador decidir a qu router IP asignar a los clientes en cuarentena.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Cmo editar una conexin de Symantec Endpoint Protection Manager
981
8 9
Seleccione 051 Concesin. Escriba el valor hexadecimal del tiempo de concesin en segundos. Por ejemplo, para 2 minutos, escriba 0x78.
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated Enforcer. En el panel izquierdo, ample Symantec Integrated Enforcer. Ample Configurar. Haga clic en Servidores de administracin. En el panel Servidores de administracin, haga clic en Editar desde la columna del icono que se encuentra a la derecha de la lista de servidores de administracin. En el cuadro de dilogo Agregar/Editar servidor de administracin, escriba la direccin IP o el nombre de Symantec Endpoint Protection Manager en el campo de texto Direccin del servidor. Es posible escribir una direccin IP, un nombre de host o un nombre de dominio. Si desea utilizar un nombre de host o un nombre de dominio, Symantec Network Access Control Integrated Enforcer debe conectarse a un servidor de nombres de dominio (DNS).
2 3 4 5
982
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione al grupo de Enforcers del cual Integrated Enforcer es un miembro. Seleccione Integrated Enforcer cuyos valores de configuracin necesitan ser cambiados.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar una lista de distribuidores de confianza
983
5 6
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, modifique cualquiera de las opciones de configuracin. El cuadro de dilogo Configuracin proporciona las categoras tabuladas siguientes de valores de configuracin:
General Configuracin para el nombre de grupo de Enforcer, la descripcin del grupo de Enforcer y la lista de servidores de administracin. Ver "Configuracin bsica de Symantec Network Access Control Integrated Enforcer" en la pgina 990. Autenticacin Configuracin para una variedad de parmetros que afectan el proceso de autenticacin del cliente. Ver "Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer" en la pgina 996. Avanzado Configuracin para los parmetros de tiempos de espera de la autenticacin y tiempos de espera de mensaje de DHCP: se muestran estas opciones pero actualmente no estn disponibles para la configuracin de Symantec Network Access Control Integrated Enforcer. Configuracin para las direcciones MAC para los hosts de confianza que Integrated Enforcer permite que se conecten sin autenticacin (opcional). Configuracin para la autenticacin local. Ver "Configuracin avanzada de Symantec Network Access Control Integrated Enforcer" en la pgina 994. Configuracin del registro Configuracin para los Registros del servidor, los registros de Actividad del cliente y especificacin de parmetros de archivo de registro. Ver "Configurar registros para Symantec Network Access Control Integrated Enforcer" en la pgina 1004.
984
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Visualizar registros de Enforcer en una consola de Enforcer
Symantec Network Access Control Integrated Enforcer no autenticar el dispositivo. Los dispositivos obtendrn direcciones IP normales del servidor DHCP. Para configurar una lista de distribuidores de confianza
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configure (Configurar) > DHCP Trusted Vendors Configuration (Configuracin de distribuidores de confianza DHCP). Para habilitar la lista de distribuidores de confianza, seleccione Turn on Trusted Vendors (Activar distribuidores de confianza). Cuando se selecciona la casilla Turn on Trusted Vendors (Activar distribuidores de confianza), no se implementar la integridad del host para el trfico DHCP de los distribuidores de confianza seleccionados.
4 5
Seleccione los distribuidores que desee establecer como distribuidores de confianza. Haga clic en Save (Guardar).
1 2
En el panel izquierdo, expanda Symantec NAC Integrated Enforcer. Expanda Ver registros y haga clic en Registro del sistema o haga clic en Registro de clientes.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Detener e iniciar servicios de comunicacin entre Integrated Enforcer y un servidor de administracin
985
3 4
Para ver cualquier cambio del registro desde que usted lo abri por ltima vez, haga clic en Actualizar. Haga clic en Aceptar.
986
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar una mscara de subred segura
Para detener e iniciar los servicios de comunicacin entre Integrated Enforcer y un servidor de administracin
1 2 3
Inicie Symantec Network Access Control Integrated Enforcer. Haga clic en Symantec NAC Integrated Enforcer. Es posible detener o iniciar el servicio de Enforcer (IntegratedEnf.exe) o el servicio (SNACLink.exe) que se comunica con Symantec Endpoint Protection Manager. Realice una de las siguientes tareas o ambas:
En el cuadro de grupo del servicio de Enforcer, haga clic en Detener. Esta opcin detiene el servicio de Enforcer. En el cuadro de grupo de servicio de comunicacin del servidor de administracin, haga clic en Detener. Esta opcin detiene el servicio de Enforcer que se conecta a Symantec Endpoint Protection Manager.
Para reiniciar cualquier servicio, haga clic en Iniciar. Si desactiva o reinicia el equipo al cual se conecta Symantec Network Access Control Integrated Enforcer, el servicio de Enforcer se reinicia automticamente cuando el equipo se reinicia. Si se detiene y se reinicia posteriormente el servicio de comunicacin del servidor, Symantec Network Access Control Integrated Enforcer intenta conectarse al mdulo Symantec Endpoint Protection Manager al cual se conect por ltima vez. Si ese mdulo Symantec Endpoint Protection Manager no est disponible, Integrated Enforcer se conecta al primer servidor de administracin enumerado en la lista de servidores de administracin.
En la pgina Configuracin avanzada, seleccione la opcin para Usar la mscara de subred segura (255.255.255.255) para clientes en cuarentena o haga clic para borrar la configuracin. Si borra la configuracin, usted usar la mscara de subred normal DHCP. Haga clic en Aceptar para guardar la configuracin.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Creacin de excepciones en el mbito DHCP
987
Nota: La mscara de subred segura (255.255.255.255) est solamente disponible con Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Si se activa, 255.255.255.255 se usa para los clientes en cuarentena. Si se desactiva, se usar la mscara de subred predeterminada para el mbito actual.
En la pgina de configuracin Configuracin avanzada, seleccione la opcin Usar mscara de subred segura [255.255.255.255] para una direccin IP de cuarentena En Seleccionar mbitos que se impondrn, haga clic para borrar los intervalos de direcciones IP que desea eximir. Se impondrn las direcciones IP que pertenecen a los mbitos DHCP que estn seleccionados. Cuando un mbito DHCP se cambia para eximir un mbito (haciendo clic para borrar el intervalo de direcciones IP), las direcciones IP que ya se han asignado a los clientes an sern impuestas. Para borrar la imposicin, la versin y la renovacin de las direcciones IP. Nota: Si se crea un nuevo mbito o se agrega una vez que Enforcer est instalado, el nuevo mbito no se impondr hasta que se seleccione en la interfaz de usuario en la pgina de configuracin Configuracin avanzada.
Cuando est satisfecho con la configuracin, haga clic en Aceptar para guardar la configuracin.
988
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Creacin de excepciones en el mbito DHCP
Captulo
48
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager
En este captulo se incluyen los temas siguientes:
Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin bsica de Symantec Network Access Control Integrated Enforcer Configuracin avanzada de Symantec Network Access Control Integrated Enforcer Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer Configurar registros para Symantec Network Access Control Integrated Enforcer
990
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager
Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager
Si desea admitir Symantec Integrated Enforcer para el servidor DHCP de Microsoft en un entorno de red, debe configurar y ejecutar un servidor DHCP. La mayor parte de la configuracin ocurre en la consola Enforcer. Una vez instalado, puede configurar las reas siguientes de Symantec Endpoint Protection Manager
Configuracin bsica y avanzada Ver "Configuracin bsica de Symantec Network Access Control Integrated Enforcer" en la pgina 990. Ver "Configuracin avanzada de Symantec Network Access Control Integrated Enforcer" en la pgina 994. Autenticacin Ver "Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer" en la pgina 996. Registros Ver "Configurar registros para Symantec Network Access Control Integrated Enforcer" en la pgina 1004.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin bsica de Symantec Network Access Control Integrated Enforcer
991
Ver "Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer" en la pgina 991. Es necesario conectar Integrated Enforcer a Symantec Endpoint Protection Manager. Ver "Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager" en la pgina 992.
Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer
Es posible agregar o editar el nombre de un grupo de Enforcer al cual pertenece un mdulo Integrated Enforcer. Se realizan estas tareas en la consola de Enforcer durante la instalacin. Ms adelante, si desea modificar el nombre de un grupo de Enforcer, es posible hacerlo en la consola de Enforcer. Ver "Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager" en la pgina 977. Todos los mdulos de aplicacin Enforcer de un grupo comparten las mismas opciones de configuracin.
Cmo agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer
Es posible agregar o editar la descripcin de un grupo de Enforcer al cual pertenece un mdulo Symantec Network Access Control Integrated Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de Integrated Enforcer. Para agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcer cuyo nombre desea agregar o editar. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, agregue o edite una descripcin para el grupo de Enforcer en el campo Descripcin. Haga clic en Aceptar.
992
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin bsica de Symantec Network Access Control Integrated Enforcer
Cmo agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer
Es posible agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de Integrated Enforcer. Una vez que complete esta tarea, la descripcin aparecer en el campo Descripcin del panel Servidor de administracin. Para agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcer que incluye el Integrated Enforcer cuya descripcin se desea agregar o editar. Seleccione el Integrated Enforcer cuya descripcin desee agregar o editar. En Tareas, haga clic en Editar propiedades de Enforcer. En el cuadro de dilogo Propiedades de Enforcer, agregue o edite una descripcin para Integrated Enforcer en el campo Descripcin. Haga clic en Aceptar.
Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager
Los dispositivos Enforcer deben poder conectarse a los servidores en los cuales Symantec Endpoint Protection Manager est instalado. El servidor de administracin incluye un archivo que ayuda a administrar el trfico entre los clientes, los servidores de administracin y los mdulos de aplicacin Enforcer opcionales, como Integrated Enforcer. Este archivo se denomina lista de servidores de administracin. La lista de servidores de administracin especifica a qu Symantec Endpoint Protection Manager se conecta Enforcer. Adems, especifica a qu Symantec Endpoint Protection se conecta Integrated Enforcer en caso de error de un servidor de administracin. Una lista predeterminada de servidores de administracin se crea automticamente para cada sitio durante la instalacin inicial. Todos los servidores de administracin disponibles en ese sitio se agregan automticamente a la lista de servidores de administracin predeterminada.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin bsica de Symantec Network Access Control Integrated Enforcer
993
Una lista predeterminada de servidores de administracin incluye las direcciones IP o los nombres de host del servidor de administracin al cual los mdulos de aplicacin Integrated Enforcer pueden conectarse despus de la instalacin inicial. Es conveniente crear una lista personalizada de servidores de administracin antes de implementar cualquier mdulo de aplicacin Enforcer. Si crea una lista personalizada de servidores de administracin, es posible especificar la prioridad con la cual Integrated Enforcer puede conectarse a los servidores de administracin. Es posible seleccionar la lista especfica de servidores de administracin que incluye las direcciones IP o los nombres de host de los servidores de administracin a los cuales es necesario que Integrated Enforcer se conecte. Si hay solamente un servidor de administracin en un sitio, es posible seleccionar la lista predeterminada de servidores de administracin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Para seleccionar la lista de servidores de administracin para Symantec Network Access Control Integrated Enforcer
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee modificar la direccin IP o el nombre de host en una lista de servidores de administracin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, en Comunicacin, seleccione la lista de servidores de administracin que desee que Integrated Enforcer use. En la ficha General, en Comunicacin, haga clic en Seleccionar. Es posible ver las direcciones IP y los nombres de host de todos los servidores de administracin disponibles, adems de las prioridades que se les han asignado.
7 8
En el cuadro de dilogo Lista de servidores de administracin, haga clic en Cerrar. En el cuadro de dilogo General, haga clic en Aceptar.
994
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin avanzada de Symantec Network Access Control Integrated Enforcer
Parmetros de tiempo de espera, Tiempo de espera de la autenticacin y Tiempo de espera del mensaje DHCP Aunque se visualicen estas opciones, actualmente no estn disponibles para la configuracin de Symantec Network Access Control Integrated Enforcer. Direcciones MAC para los hosts de confianza a los que Integrated Enforcer permite conectarse al servidor DHCP normal sin autenticacin Habilitar la autenticacin local Comprobacin de estado de Symantec Endpoint Protection Manager
Cuando se aplica cualquiera de estas opciones de configuracin, los cambios se envan al mdulo Symantec Network Access Control Integrated Enforcer seleccionado durante el latido siguiente. Ver "Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin" en la pgina 994. Ver "Habilitar la autenticacin local en Integrated Enforcer" en la pgina 995.
Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin
Un host de confianza es tpicamente un servidor que no puede instalar software de cliente, como un servidor que no es Windows, o un dispositivo como una impresora. Es posible tambin identificar los clientes que no usan Windows como hosts de confianza porque Integrated Enforcer no puede autenticar clientes que no ejecuten el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control. Es posible utilizar direcciones MAC para sealar ciertos servidores, clientes y dispositivos como hosts de confianza. Cuando se designan los servidores, los clientes y los dispositivos como hosts de confianza, Integrated Enforcer pasa todos los mensajes de DHCP del host de confianza sin autenticar el host de confianza.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin avanzada de Symantec Network Access Control Integrated Enforcer
995
Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. Seleccione un Integrated Enforcer que permita servidores, clientes y los dispositivos que se han sealado como hosts de confianza para conectarse a la red sin autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Avanzada, junto a Direccin MAC, haga clic en Agregar. En el cuadro de dilogo Agregar host de confianza, escriba la direccin MAC para el cliente o el host de confianza en el campo Direccin MAC del host. Cuando se especifica una direccin MAC, es posible utilizar un carcter comodn si usted lo escribe para los tres campos de la derecha. Por ejemplo, 11-22-23-*-*-* representa el uso correcto del carcter comodn. Sin embargo, 11-22-33-44-*-66 no representa el uso correcto del carcter comodn. Es posible tambin copiar un conjunto de direcciones MAC de un archivo de texto. Nota: Symantec admite el formato siguiente para las importaciones: nica direccin MAC y direccin MAC con mscara. Para importar direcciones MAC, haga clic en Importar. Especifique el archivo en el cuadro de dilogo Importar direccin MAC desde archivo. Para exportar direcciones MAC, resalte varias direcciones MAC y despus haga clic en Exportar. Especifique el archivo en el cuadro de dilogo Exportar direccin MAC a archivo.
5 6 7
996
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
Enforcer considera que el cliente es un usuario vlido y comprueba solamente el estado de integridad del host del cliente. Nota: Si Integrated Enforcer no pierde su conexin con Symantec Endpoint Protection Manager, solicita siempre al servidor de administracin que verifique el GUID del cliente sin importar si la autenticacin local est habilitada o deshabilitada. Para habilitar la autenticacin local en Integrated Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Integrated Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Habilitar la autenticacin local. Haga clic en Aceptar.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
997
Tabla 48-1
Configuracin de autenticacin para Symantec Network Access Control Integrated Enforcer Descripcin
El nmero mximo de paquetes que Integrated Enforcer enva en cada sesin de autenticacin. El nmero predeterminado es 15. Ver "Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin" en la pgina 999.
Opcin
Cantidad mxima de paquetes por sesin de autenticacin
Tiempo entre los paquetes en El tiempo (en segundos) entre cada paquete que Enforcer la sesin de autenticacin enva. El valor predeterminado es 4 segundos. Ver "Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes" en la pgina 1000. Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados Si se habilita esta opcin, Enforcer autentica todos los usuarios comprobando que estn ejecutando un cliente. A continuacin, transmite la solicitud para recibir una configuracin de red normal, en lugar de una configuracin de red de cuarentena, sin importar si aprueba o falla la comprobacin. En la configuracin predeterminada, no se habilita. Ver "Permitir todos los clientes con el registro continuo de clientes no autenticados" en la pgina 1001. Permitir todos los clientes Si se habilita esta opcin, Integrated Enforcer comprueba con sistemas operativos que el sistema operativo del cliente. Integrated Enforcer no sean Windows entonces permite que todos los clientes que no ejecuten sistemas operativos de Windows reciban una configuracin de red normal sin ser autenticados. Si esta opcin no se habilita, los clientes reciben una configuracin de red de cuarentena. En la configuracin predeterminada, no se habilita. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 1002.
998
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
Opcin
Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red
Descripcin
Si se habilita esta opcin, Integrated Enforcer verifica que el cliente haya recibido las ltimas polticas de seguridad del servidor de administracin. Si el nmero de serie de la poltica no es el ms reciente, Integrated Enforcer notifica al cliente para que actualice su poltica de seguridad. El cliente entonces transmite la solicitud para recibir una configuracin de red de cuarentena. Si esta opcin no se habilita y si la comprobacin de integridad del host es correcta, Integrated Enforcer transmite la solicitud de Integrated para recibir una configuracin de red normal. Integrated Enforcer remite la solicitud, incluso si el cliente no tiene la ltima poltica de seguridad. En la configuracin predeterminada, no se habilita. Ver "Cmo hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente" en la pgina 1003.
Integrated Enforcer recibe una respuesta del cliente. Integrated Enforcer ha enviado el nmero mximo especificado de paquetes. La configuracin predeterminada es 15.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
999
La frecuencia (4 segundos) indica el tiempo en que se enva el nmero de paquetes, y (15) es el valor que se utiliza para el latido de Enforcer. El latido es el intervalo que Integrated Enforcer permite que el cliente permanezca conectado antes de que inicie una nueva sesin de autenticacin. La configuracin predeterminada es 4 segundos. El cliente enva informacin a Integrated Enforcer que contiene los puntos siguientes:
Identificador nico global (GUID) Su nmero de serie de perfil actual Los resultados de la comprobacin de integridad del host
Integrated Enforcer verifica el GUID del cliente y el nmero de serie de la poltica con Symantec Endpoint Protection Manager. Si el cliente fue actualizado con las ltimas polticas de seguridad, su nmero de serie de las polticas coincide con el que Integrated Enforcer recibe del servidor de administracin. Los resultados de la comprobacin de integridad del host se muestran independientemente de si el cliente cumple con las polticas de seguridad actuales. Despus del intervalo de latidos o siempre que el cliente intente renovar su direccin IP, Integrated Enforcer inicia una nueva sesin de autenticacin. El cliente debe responder para conservar la conexin a la red interna. Integrated Enforcer desconecta los clientes que no responden. Para los clientes que fueron autenticados previamente pero ahora desaprueban la autenticacin, Integrated Enforcer actualiza su estado interno para el cliente. A continuacin enva un paquete de desafo al cliente para solicitarle que renueve su direccin IP. Cuando el cliente enva la solicitud de renovacin de DHCP, Integrated Enforcer asigna una direccin IP de cuarentena al cliente.
Integrated Enforcer recibe una respuesta del cliente. Integrated Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada para el nmero mximo de paquetes de desafo para una sesin de autenticacin es de 15 paquetes.
1000
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
Para especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Integrated Enforcer para el cual desee especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En la ficha Autenticacin, escriba el nmero mximo de paquetes de desafo que desee permitir durante una sesin de autenticacin en el campo Cantidad mxima de paquetes por sesin de autenticacin. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Integrated Enforcer recibe una respuesta del cliente. Integrated Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada es cada 4 segundos. Para especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
1001
En la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero mximo de paquetes de desafo que desea que Integrated Enforcer siga enviando a un cliente durante una sesin de autenticacin en el campo Tiempo entre los paquetes en la sesin de autenticacin. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Esta configuracin debe ser una medida temporal porque hace que la red sea menos segura. Mientras esta configuracin est en efecto, es posible revisar los registros de Enforcer. Es posible saber qu tipos de clientes intentan conectarse a la red en esa ubicacin. Por ejemplo, es posible revisar el registro de actividades del cliente para ver si los clientes no tienen el software de cliente instalado. Puede entonces asegurarse de que el software de cliente est instalado en esos clientes antes de deshabilitar esta opcin.
Para permitir todos los clientes con el registro continuo de clientes no autenticados
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee permitir todos los clientes mientras contina el registro de los clientes no autenticados.
1002
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin
Integrated Enforcer no puede autenticar un cliente que admita un sistema operativo que no sea Windows. Por lo tanto, los clientes que no utilizan Windows no pueden conectarse a la red, a menos que se permita especficamente que se conecten a la red sin autenticacin. En la configuracin predeterminada, no se habilita. Es posible utilizar uno de los siguientes mtodos para habilitar los clientes que admiten una plataforma que no es de Windows se conecten a la red:
Especifique cada cliente que no utiliza Windows como host de confianza. Permita todos los clientes con sistemas operativos que no sean Windows.
Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee permitir que todos los clientes que no son de Windows se conecten a una red.
4 5 6
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes con sistemas operativos que no sean Windows. Haga clic en Aceptar.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
1003
Cmo hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente
Symantec Endpoint Protection Manager actualiza el nmero de serie de las polticas del cliente cada vez que se cambia la poltica de seguridad del cliente. Cuando un cliente se conecta a Symantec Endpoint Protection Manager, recibe las polticas de seguridad ms actuales y el nmero de serie de las polticas ms actual. Cuando un cliente intenta conectarse a la red mediante Integrated Enforcer, Integrated Enforcer recupera el nmero de serie de las polticas de Symantec Endpoint Protection Manager. Integrated Enforcer entonces compara el nmero de serie de las polticas con el que recibe del cliente. Si los nmeros de serie de las polticas coinciden, Integrated Enforcer ha validado que el cliente est ejecutando una poltica de seguridad actualizada. El valor predeterminado para esta configuracin es sin habilitar. Las instrucciones siguientes se aplican:
Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red se selecciona, un cliente debe tener la ltima poltica de seguridad antes de poder conectarse a la red a travs del servidor DHCP normal. Si el cliente no tiene la ltima poltica de seguridad, se notifica al cliente que descargue la ltima poltica. Integrated Enforcer entonces transmite su solicitud DHCP para recibir una configuracin de red de cuarentena. Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red no se habilita y la comprobacin de integridad del host es correcta, un cliente puede conectarse a la red. El cliente puede conectarse a travs del servidor DHCP normal, incluso si su poltica de seguridad no est actualizada.
Hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer que comprueba el nmero de serie de las polticas en un cliente.
1004
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configurar registros para Symantec Network Access Control Integrated Enforcer
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red. Haga clic en Aceptar.
Registro del servidor de Enforcer El registro del servidor de Enforcer proporciona informacin que se relaciona con el funcionamiento de Enforcer. Registro de clientes de Enforcer El registro de clientes proporciona informacin sobre las interacciones entre Integrated Enforcer y los clientes que han intentado conectarse a la red. Muestra la informacin sobre autenticacin, errores de autenticacin y desconexin.
Captulo
49
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection, es necesario haber terminado las siguientes tareas de instalacin y de configuracin:
1006
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Nota: Se recomienda instalar Symantec Endpoint Protection Manager antes de instalar Symantec Integrated Enforcer for Network Access Protection. Symantec Endpoint Protection Manager se debe instalar para que Symantec Integrated Enforcer for Microsoft Network Access Protection pueda funcionar correctamente. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
Verificacin de los requisitos de hardware y software para el equipo en el cual se planea instalar los componentes siguientes:
Servicio del servidor DHCP Servicio del servidor de proteccin de acceso a redes Controlador de dominio Symantec Integrated Enforcer for Microsoft Network Access Protection
Ver "Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1009.
Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
La Tabla 49-1 enumera los pasos para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection.
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection
1007
Tabla 49-1
Resumen de instalacin para Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection Descripcin
Identifica el hardware, el software y los componentes de Symantec Network Access Control que son necesarios para ejecutar el Enforcer y planear su disposicin en su red. Ver "Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection" en la pgina 1007. Ver "Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1009.
Paso
Paso 1
Accin
Lea los requisitos del sistema y los requisitos de instalacin.
Paso 2
Instale Symantec Endpoint Protection Instala la aplicacin que se usa para Manager. admitir Enforcer en su red. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
Paso 3
Instale Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection.
Instale los componentes de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection. Ver "Cmo instalar Integrated Enforcer para Microsoft Network Access Protection" en la pgina 1010.
Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection
La Tabla 49-2 resume los requisitos mnimos para los equipos en los cuales se instala Integrated Enforcer para Microsoft Network Access Protection.
1008
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection
Tabla 49-2
Requisitos del sistema de Integrated Enforcer for Microsoft Network Access Protection Requisito Nota: Sus opciones de hardware son afectadas por el tipo de
aplicacin NAP que se planea para nosotros. Los siguientes son instrucciones. Para las instalaciones de hasta 10 000 usuarios, utilice los requisitos recomendados siguientes:
Componente
Hardware
Pentium III de 750 MHz 256 MB de memoria 120 MB de espacio libre en disco Adaptadores de red Fast Ethernet Una tarjeta de interfaz de red (NIC) con TCP/IP instalada
Para las instalaciones de 10 000 usuarios o ms, utilice los requisitos recomendados siguientes:
Pentium 4 de 2,4 GHz 512 MB de memoria 512 MB de espacio libre en disco Adaptadores de red de 1 GB
Monitor con resolucin de 800 x 600 con 256 colores (mnimo) Una tarjeta de interfaz de red (NIC) con TCP/IP instalada
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection
1009
Componente
Sistema operativo
Requisito
Asegrese de que el sistema operativo y los servicios siguientes estn instalados:
Versiones x86 y x64 de Windows Server 2008 Enterprise Edition Windows 2008 R2 Es posible seleccionar una de las siguientes opciones: Servicio DHCP de Windows Server 2008, si se planea usar la aplicacin de DHCP. El servicio DHCP de Windows Server 2008 debe encontrarse en el mismo equipo que el servidor de polticas de red Windows Server 2008. Servicio DHCP de Windows, si se planea usar la aplicacin de 802.1x. El servicio DHCP de Windows puede encontrarse en el mismo equipo que el servidor de polticas de red de Windows Server 2008. Es posible tambin configurar el servicio DHCP en un equipo separado que se haya configurado como servidor DHCP de Windows 2008 o servidor DHCP de Windows 2003. Servicio Windows Server 2008 Network Policy Server (NPS)
1010
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
Instalacin obligatoria de Microsoft Windows Server con el servicio del servidor DHCP y el El servicio de servidor DHCP y el servicio de servidor de polticas de red. Estos dos servicio de servidor de polticas de red servicios deben ser instalados y configurados (NPS) tambin deben estar instalados antes de que pueda instalar Symantec Network en el mismo equipo Access Protection Integrated Enforcer. Controlador de dominio Instalacin necesaria del controlador de dominio en el mismo equipo que Symantec Endpoint Protection Manager o en otro equipo que admita Microsoft Windows Server 2003. Necesario para autenticar clientes y para imponer las polticas de seguridad. Instalacin necesaria del cliente de Symantec Network Access Control.
Symantec Integrated Enforcer for Microsoft Network Access Protection Cliente de Symantec Network Access Control
Inserte el disco del producto para Symantec Network Access Control en la unidad de DVD para iniciar la instalacin automticamente. Si la instalacin no se inicia de forma automtica, haga doble clic en uno de de los siguientes archivos:
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
1011
Si el servidor NAP ya est instalado, aparece el panel Bienvenido al Asistente para la instalacin de Symantec Integrated NAP Enforcer.
2 3 4 5
En el panel Bienvenido, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto el contrato de licencia. Haga clic en Siguiente. En el panel Carpeta de destino, realice una de las tareas siguientes:
Si desea aceptar la carpeta de destino predeterminada, haga clic en Siguiente. Los valores predeterminados de la ubicacin de instalacin es uno de los siguientes:
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Integrated Enforcer para sistemas operativos x64.
Haga clic en Examinar, localice una carpeta de destino y seleccinela, haga clic en Aceptar y, a continuacin, en Siguiente.
Si aparece el panel Seleccin de roles, seleccione Aplicacin de NAP y haga clic en Siguiente. El panel Seleccin de roles aparece solamente si es posible instalar ms de un tipo de Symantec NAC Integrated Enforcer de acuerdo con los servicios que se ejecutan en el servidor.
En el panel Listo para instalar la aplicacin, haga clic en Siguiente. Si es necesario modificar la configuracin anterior, haga clic en Atrs.
Haga clic en Finalizar. Si es necesario reinstalar Symantec Integrated NAP Enforcer, debe primero desinstalarlo.
Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Symantec NAC Integrated Enforcer.
1012
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Agregar o quitar programas. Haga clic en Symantec NAC Integrated Enforcer y despus haga clic en Eliminar. Para responder al mensaje sobre si desea quitar el software, haga clic en Yes(S). Para responder al mensaje sobre si desea reiniciar el servidor NPS, realice una de las siguientes acciones:
Para reiniciar el servidor NPS de forma inmediata, haga clic en S. Para reiniciar el servidor NPS manualmente ms tarde (opcin predeterminada), haga clic en No. Si reinicia el servidor NPS ms tarde, es necesario detenerlo y, a continuacin, iniciarlo. Es necesario reiniciar el servidor NPS para desinstalar totalmente Symantec Integrated Enforcer.
Para desinstalar Integrated Enforcer para Microsoft Network Access Protection desde la lnea de comandos
1 2
Abra una ventana de comandos DOS. En la lnea de comandos, escriba uno de los siguientes comandos:
x86
x64
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
1013
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Herramientas administrativas > Servicios. Haga clic en NAP Server (Servidor NAP). Haga clic con el botn secundario y, despus, haga clic en Stop (Detener). Haga clic en Start (Iniciar).
1014
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
Captulo
50
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer
En este captulo se incluyen los temas siguientes:
Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
1016
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer
Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer
Una vez que se completa la instalacin de Symantec Integrated NAP Enforcer, es necesario realizar las siguientes tareas antes de que Symantec Integrated Enforcer for Microsoft Network Access Protection pueda funcionar. Tabla 50-1 Paso
Paso 1
Accin
Conectar Integrated Enforcer a Symantec Endpoint Especifique a qu Symantec Endpoint Protection Protection Manager. Manager puede conectarse Symantec Integrated Enforcer for Microsoft Network Access Protection. Se incluye el nombre de host o la direccin IP de Symantec Endpoint Protection Manager en un archivo denominado lista de servidores de administracin. Symantec NAC Integrated Enforcer debe conectarse a una direccin IP o a un nombre del host de Symantec Endpoint Protection Manager. De lo contrario, la configuracin falla. Ver "Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer" en la pgina 1017.
Paso 2
Cifrar la comunicacin entre Integrated Enforcer y Agregue una contrasea cifrada o un secreto el servidor de administracin. compartido previamente que usted configur durante la instalacin de Symantec Endpoint Protection Manager. La contrasea cifrada antes se conoca como clave previamente compartida. Ver "Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin" en la pgina 1019.
Paso 3
Configure un nombre de grupo de Enforcer Ver "Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1020.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer
1017
Paso
Paso 4
Accin
Configurar un protocolo de comunicacin HTTP o HTTPS.
Descripcin
Establezca la comunicacin HTTP o HTTPS entre Symantec Integrated Enforcer for Microsoft Network Access Protection y Symantec Endpoint Protection Manager. Ver "Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1021.
Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer
Es necesario conectar Symantec Integrated Enforcer for Microsoft Network Access Protection (NAP Enforcer) a un servidor de administracin en una consola de Network Access Protection Enforcer. Para establecer la comunicacin entre la consola de Integrated Enforcer y Symantec Endpoint Protection Manager
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. Aparece la consola de configuracin de Symantec Network Access Control Integrated Enforcer. Esta pgina principal muestra el estado de conexin entre Integrated Enforcer y Symantec Endpoint Protection Manager. Una luz verde indica que Integrated Enforcer est conectado activamente al servidor de administracin. Una luz roja indica que la conexin est desactivada.
2 3
En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configurar > Servidor de administracin. En el cuadro de dilogo Servidor de administracin, escriba la direccin IP o el nombre de Symantec Endpoint Protection Manager en el campo de texto Direccin del servidor. Es posible escribir una direccin IP, un nombre de host o un nombre de dominio. Si desea usar un nombre de host o un nombre de dominio, asegrese de que el nombre se resuelva correctamente con el Servidor de nombres de dominio (servidor DNS).
1018
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer
En el cuadro de dilogo Servidor de administracin, edite el nmero de puerto que Integrated Enforcer utiliza para comunicarse con Symantec Endpoint Protection Manager. El nmero de puerto predeterminado es 8014 para el protocolo HTTP y 443 para el protocolo HTTPS. Es posible usar solamente el protocolo HTTPS si se configura de la misma manera en Symantec Endpoint Protection Manager.
En el cuadro de texto Contrasea de cifrado, escriba la contrasea de Symantec Endpoint Protection Manager para su conexin. Symantec Endpoint Protection Manager e Integrated Enforcer deben usar la misma contrasea cifrada para la comunicacin. Para visualizar las letras y los nmeros de la clave previamente compartida en vez de asteriscos, seleccione Usar valor hash. Si se activa la funcin Usar valor hash, la contrasea de cifrado debe tener 32 caracteres y debe usar nmeros hexadecimales solamente.
En el cuadro de texto Grupo preferido, escriba un nombre para el grupo de Integrated Enforcer. Si no especifica un nombre de grupo, Symantec Endpoint Protection Manager asigna Symantec Network Access Control Integrated Enforcer a un grupo de Enforcer predeterminado con la configuracin predeterminada. El nombre de grupo predeterminado es I-DHCP. Sin embargo, Symantec Network Access Control Integrated Enforcer para servidores NAP de Microsoft y los mdulos de aplicacin Enforcer basados en dispositivos deben estar en grupos separados. Es posible ver la configuracin del grupo de la consola de Symantec Endpoint Protection Manager en la pgina Servidores.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin
1019
Para especificar el protocolo que Symantec Network Access Control Integrated Enforcer usa para comunicarse con Symantec Endpoint Protection Manager, seleccione HTTP o HTTPS. Es posible usar solamente el protocolo HTTPS si Symantec Endpoint Protection Manager est ejecutando Secure Sockets Layer (SSL). Si selecciona HTTPS y necesita la verificacin del certificado de servidor de administracin con una autoridad de certificacin de otro fabricante de confianza, seleccione Verificar certificado al utilizar protocolo HTTPS.
Haga clic en Guardar. Una vez que Integrated Enforcer se conecta a Symantec Endpoint Protection Manager, puede cambiar la mayora de los valores de configuracin en la consola de Symantec Endpoint Protection Manager. Sin embargo, el secreto compartido previamente o la contrasea cifrada deben ser iguales en Integrated Enforcer y Symantec Endpoint Protection Manager para poder comunicarse.
Para quitar Symantec Endpoint Protection Manager de una lista de servidores de administracin en una consola de Symantec Integrated NAP Enforcer
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin. Para quitar Symantec Endpoint Protection Manager, haga clic en Eliminar o Eliminar todo de la columna del icono.
2 3 4 5
Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin
Si desea agregar otra capa de seguridad, se puede proteger la comunicacin entre Symantec NAC Integrated Enforcer y Symantec Endpoint Protection Manager mediante el cifrado. La comunicacin cifrada necesita usar el protocolo HTTPS en vez del protocolo HTTP. Adems, necesita comprar un certificado de otro fabricante de un distribuidor. Se configura tpicamente una contrasea cifrada durante la instalacin de Symantec Endpoint Protection Manager por primera vez. La misma contrasea
1020
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
se debe configurar en Symantec Integrated NAP Enforcer. Si las contraseas cifradas no coinciden, la comunicacin entre Symantec Integrated NAP Enforcer y Symantec Endpoint Protection Manager falla. Para cifrar la comunicacin entre Symantec NAC Integrated Enforcer y un servidor de administracin
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin. Escriba la contrasea cifrada en el cuadro de texto de la contrasea cifrada en la consola de Symantec Integrated NAP Enforcer. Symantec Integrated NAP Enforcer debe usar la misma contrasea cifrada para la comunicacin con Symantec Endpoint Protection Manager. La contrasea cifrada se configura siempre durante la instalacin de Symantec Endpoint Protection Manager.
2 3 4 5
Seleccione Usar valor hash. Si se selecciona Usar valor hash, la contrasea de cifrado debe tener 32 caracteres y debe usar nmeros hexadecimales solamente. Ahora aparecen las letras y los nmeros de la contrasea cifrada en vez de asteriscos.
Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
Es necesario agregar un nombre para el grupo de Enforcer. Una vez que Symantec NAC Integrated Enforcer se conecta a Symantec Endpoint Protection Manager, registra el nombre del grupo de Enforcer automticamente en el servidor de administracin.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
1021
Para configurar un nombre de grupo de Enforcer en la consola de Symantec NAC Integrated Enforcer
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin. En el panel derecho, escriba el nombre del grupo de Enforcer en el cuadro de texto de grupos preferidos en la consola de Symantec Integrated NAP Enforcer. Si no se agrega un nombre para el grupo de Integrated Enforcer en la consola de Enforcer, todos los mdulos de Integrated Enforcer pasan automticamente a formar parte del grupo temporal en el servidor de administracin. Si se agrega el nombre del grupo de Integrated Enforcer en la consola de Enforcer, el nombre del grupo de Enforcer se registra automticamente en el servidor de administracin.
2 3 4 5
Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
Es necesario establecer un protocolo de comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y Symantec Endpoint Protection Manager. Si no, la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y Symantec Endpoint Protection Manager falla. Es posible configurar un protocolo HTTP o HTTPS. Si selecciona el protocolo HTTPS, es necesario comprar un certificado de otro fabricante. Para configurar un protocolo de comunicacin HTTP en Symantec Integrated Enforcer for Microsoft Network Access Protection
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin.
2 3 4
1022
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
En el panel derecho de la consola de Symantec Integrated NAP Enforcer, haga clic en HTTP. Si desea configurar la comunicacin cifrada entre Symantec Integrated NAP Enforcer y Symantec Endpoint Protection Manager, es necesario usar el protocolo HTTPS.
6 7
Si es necesario verificar el certificado porque se utiliza el protocolo HTTPS, seleccione Verificar certificado al utilizar protocolo HTTPS. Haga clic en Aceptar.
Captulo
51
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager
En este captulo se incluyen los temas siguientes:
Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager Habilitar la aplicacin de NAP para clientes Verificar que el servidor de administracin administre el cliente Verificar las polticas de validador de mantenimiento de seguridad Cmo verificar que los clientes pasen la comprobacin de integridad del host Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection
1024
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager
Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager
Si desea admitir Symantec Integrated Enforcer for Microsoft Network Access Protection en un entorno de red, es necesario habilitar la aplicacin de NAP en Symantec Endpoint Protection Manager. Si no, Enforcer funciona incorrectamente. Adems, necesita definir uno o ms criterios para los requisitos de polticas del validador de seguridad general. Por ejemplo, es posible verificar si la poltica del validador de mantenimiento de seguridad del cliente es la ltima que se instal en el cliente. Si no es la ltima poltica del validador de seguridad general, el cliente se bloquea y no puede, por lo tanto, conectarse a la red. Tabla 51-1 Resumen de la configuracin de Symantec Endpoint Protection Manager Descripcin
Habilite la aplicacin de Network Access Protection para los clientes de modo que Integrated Enforcer pueda ejecutar las polticas del validador de seguridad general. Ver "Habilitar la aplicacin de NAP para clientes" en la pgina 1025. Paso 2 Opcionalmente, verifique que Symantec Endpoint Protection Manager est administrando el cliente de Symantec Network Access Control o el cliente de Symantec Endpoint Protection. Configure una comprobacin de la verificacin para asegurarse de que el servidor de administracin administra el cliente de Symantec Network Access Control o el cliente de Symantec Endpoint Protection. Ver "Verificar que el servidor de administracin administre el cliente" en la pgina 1026.
Paso
Paso 1
Accin
Habilite la aplicacin de Network Access Protection para los clientes.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Habilitar la aplicacin de NAP para clientes
1025
Paso
Paso 3
Accin
Descripcin
Opcionalmente, verifique que las Verifique que el cliente de Symantec polticas ms recientes del validador de Network Access Control y el cliente de seguridad general estn instaladas. Symantec Endpoint Protection tengan las polticas ms actuales del validador de seguridad general instaladas. Ver "Verificar las polticas de validador de mantenimiento de seguridad" en la pgina 1026.
Paso 4
Opcionalmente, verifique que los clientes aprueben la comprobacin de integridad del host.
Verifique que los clientes cumplan con la poltica de integridad del host. Ver "Cmo verificar que los clientes pasen la comprobacin de integridad del host" en la pgina 1027.
Paso 5
Opcionalmente, configure los registros Habilite el envo de datos de registro a para verlos en Symantec Endpoint Symantec Endpoint Protection Protection Manager. Manager. Ver "Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection" en la pgina 1028.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, en Ver grupos, seleccione el grupo para el que desea habilitar la aplicacin de NAP. En la ficha Polticas, haga clic en Configuracin general. En el cuadro de dilogo Configuracin, haga clic en Configuracin de seguridad.
1026
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Verificar que el servidor de administracin administre el cliente
En la ficha Configuracin de seguridad, en el rea Cliente de Enforcer, seleccione Habilitar aplicacin de NAP. La opcin Habilitar aplicacin de NAP est deshabilitada de forma predeterminada.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Ver, seleccione el grupo de Enforcer en el que desee verificar que el servidor de administracin administre el cliente. Haga clic con el botn secundario en el grupo de Enforcer y seleccione Editar propiedades. En el rea Informacin del cliente, en la ficha Configuracin de NAP, en el cuadro de dilogo Configuracin de I-DHCP, seleccione Verificar que el servidor de administracin administre el cliente. La opcin Verificar que el servidor de administracin administre el cliente est deshabilitada de forma predeterminada.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Cmo verificar que los clientes pasen la comprobacin de integridad del host
1027
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Ver , seleccione el grupo para el que desea configurar las polticas del validador de seguridad general. Haga clic con el botn secundario en el grupo de Enforcer y seleccione Editar propiedades. En el rea Informacin del cliente, en la ficha de la configuracin de NAP en el cuadro de dilogo Configuracin de I-DHCP, seleccione Verificar que la poltica del validador de seguridad general est actualizada. La opcin Verificar que la poltica del validador de seguridad general sea actual est, de forma predeterminada, deshabilitada.
Cmo verificar que los clientes pasen la comprobacin de integridad del host
Es posible configurar una comprobacin de compatibilidad para los clientes en Symantec Endpoint Protection Manager. Para verificar que los clientes pasen la comprobacin de integridad del host
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Ver, seleccione el grupo Enforcer para el que desea verificar que el cliente haya aprobado la comprobacin de integridad del host. Haga clic con el botn secundario en el grupo de Enforcer y seleccione Editar propiedades. En el rea Estado de integridad del host, en la ficha Configuracin de NAP, en el cuadro de dilogo Configuracin de I-DHCP, seleccione Verificar que el equipo cliente pase la comprobacin de integridad del host. La opcin Verificar que el equipo cliente pase la comprobacin de integridad del host est, de forma predeterminada, deshabilitada.
1028
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection
Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection
Los registros de Symantec Integrated Network Access Protection (NAP) Enforcer se almacenan en el mismo equipo en el cual se instal Symantec Integrated NAP Enforcer. Los registros de Enforcer se generan de forma predeterminada. Si desea ver registros de Enforcer en la consola de Symantec Endpoint Protection Manager, es necesario habilitar el envo de registros en la consola de Symantec Endpoint Protection Manager. Si se habilita esta opcin, los datos de registro se envan de Symantec Integrated NAP Enforcer a Symantec Endpoint Protection Manager y se almacenan en una base de datos. Es posible modificar la configuracin del registro de Symantec Integrated NAP Enforcer en la consola de Symantec Endpoint Protection Manager. Las actividades se registran en el mismo registro del servidor de Enforcer para todos los mdulos de Enforcer en un sitio. Es posible configurar los registros siguientes que genera Symantec Integrated NAP Enforcer:
Registro del servidor de Enforcer El registro del servidor de Enforcer proporciona informacin que se relaciona con el funcionamiento de Enforcer. Registro de clientes de Enforcer El registro de clientes proporciona informacin sobre las interacciones entre Integrated Enforcer y los clientes que han intentado conectarse a la red. Muestra la informacin sobre autenticacin, errores de autenticacin y desconexin.
Captulo
52
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control
En este captulo se incluyen los temas siguientes:
Acerca de los clientes de Symantec Network Access Control On-Demand Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control Editar el titular de la pgina Welcome (Bienvenido)
1030
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Acerca de los clientes de Symantec Network Access Control On-Demand
Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer
Antes de que pueda configurar la descarga automtica de clientes bajo demanda de Symantec Network Access Control para Windows y Macintosh, es necesario haber realizado las siguientes tareas:
Instalar el software de Symantec Network Access Control que se encuentra en el disco del producto. Este software incluye el software de Symantec Endpoint Protection Manager que es necesario instalar. Anotar el nombre de la contrasea cifrada que usted implement durante la instalacin del software de Network Access Control. Instalar y configurar el dispositivo Gateway Enforcer. Cuando se instala y configura un dispositivo Enforcer por primera vez, se asigna un nombre al grupo de Enforcer durante el proceso de instalacin. Es necesario planear la asignacin de direcciones IP y nombres de host, adems de la configuracin de las tarjetas de interfaz de red (NIC). Si las NIC se configuran incorrectamente, la instalacin falla o se comporta de manera inesperada.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer
1031
El nombre del grupo de Enforcer aparece automticamente en la consola de Symantec Endpoint Protection Manager en el panel Servidor que se asocia a cada dispositivo Enforcer. Es posible adems configurar el acceso de invitado con DHCP Integrated Enforcer. Ver "Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer" en la pgina 1033.
Comprobar el estado de conexin entre el dispositivo Enforcer y el servidor de administracin en la consola del dispositivo Enforcer. Ver "Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer" en la pgina 819. Ver "Show" en la pgina 1143. Habilitar la redireccin HTTP o la falsificacin de DNS en la consola de Symantec Endpoint Protection Manager. La redireccin HTTP o falsificacin de DNS es la direccin IP de la NIC interna (eth0) que se encuentra en el dispositivo Gateway Enforcer. Ver "Redireccin de solicitudes HTTP a una pgina web" en la pgina 860. Para la redireccin HTTP, usted agrega la URL en la pgina Administrador en Symantec Endpoint Protection Manager. Una vez que se muestra la pgina Administrador, es necesario visualizar el panel Servidores y seleccionar el grupo de Enforcer en Ver servidores. Si selecciona el grupo de Enforcer del que el dispositivo Gateway Enforcer es miembro, haga clic en Editar propiedades de grupo en Tareas. En el cuadro de dilogo Configuracin de Enforcer, seleccione la ficha Autenticacin y escriba la URL en el campo URL de redireccin de HTTP. Es necesario crear el grupo de clientes como subgrupo del grupo Mi empresa con derechos de acceso completo. Se agrega el grupo de clientes en la pgina Clientes como subgrupo del grupo Mi empresa en Symantec Endpoint Protection Manager. Asegrese de escribir el nombre del grupo de clientes Enforcer que administra clientes bajo demanda de Symantec Network Access Control. Si no crea un grupo separado, el grupo predeterminado de Symantec Endpoint Protection Manager asume el control de la administracin de los clientes bajo demanda de Symantec Network Access Control. Crear una ubicacin aparte opcional para un grupo de clientes Enforcer en la consola de Symantec Endpoint Protection Manager. Si no crea una ubicacin separada para el grupo que administra los clientes On-Demand o invitados de Symantec Network Access Control, la ubicacin predeterminada se asigna automticamente a los clientes invitados. Las prcticas recomendadas son crear una ubicacin aparte para el grupo de clientes Enforcer en Symantec Endpoint Protection Manager. Otras prcticas
1032
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer
recomendadas son usar diversos grupos para clientes Windows y Mac. Sus funcionalidades se diferencian. Por ejemplo, los clientes On-Demand de Windows pueden ser configurados para tener mensajes emergentes. Los clientes Mac no pueden. Los criterios de ubicacin le ayudan a definir los criterios que pueden identificar clientes On-Demand o invitados de Symantec Network Access Control por su direccin IP, direccin MAC, nombre de host u otros criterios. Las prcticas recomendadas son crear una ubicacin separada a la cual se asignen automticamente los clientes invitados o clientes de Symantec Network Access Control On-Demand si desean conectarse a una red de forma temporal sin las credenciales correctas. Es posible agregar y asignar una ubicacin al grupo de clientes Enforcer en la pgina Clientes, en Tareas, en Symantec Endpoint Protection Manager.
Agregar y asignar una poltica de integridad del host opcional al grupo de clientes Enforcer y una ubicacin en la consola de Symantec Endpoint Protection Manager. Es opcional agregar y asignar una poltica de integridad del host al grupo de clientes Enforcer y una ubicacin en la consola de Symantec Endpoint Protection Manager, pero es la prctica recomendada para especificar los criterios siguientes:
Con qu frecuencia se ejecuta una comprobacin de integridad del host Tipo de poltica de integridad del host que se desea implementar
Puede agregar y asignar una poltica de integridad del host opcional a un grupo de clientes y a una ubicacin de Enforcer en la pgina Polticas, en Tareas, en Symantec Endpoint Protection Manager.
Se habilit un mensaje emergente opcional para los clientes Windows. Se configura esto en la consola de Symantec Endpoint Protection Manager. Obtenga el nmero de Id. del dominio que se encuentra en la consola de Symantec Endpoint Protection Manager. Debe tener el ID de dominio a mano porque es posible que an deba configurar el ID de dominio en Gateway o DCHP Enforcer con el comando on-demand spm-domain. Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
1033
Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
El acceso de invitados y DHCP Integrated Enforcer necesitan un Gateway Enforcer y un servidor DNS, dado que DHCP Integrated Enforcer no admite la falsificacin de DNS. El primer paso para habilitar esta solucin es configurar un servidor DNS independiente y Gateway Enforcer en la red de cuarentena. El endpoint invitado recibe una direccin IP restringida y en cuarentena con este servidor DNS. Este servidor DNS de cuarentena resuelve todas las solicitudes de DNS en Gateway Enforcer. El endpoint invitado que recibe la resolucin de DNS enva todas las solicitudes de HTTP a Gateway Enforcer. Gateway Enforcer redirecciona la solicitud al servidor web cuando lo necesite para descargar el cliente On-Demand. Una vez que se completa la descarga al endpoint, se ejecuta la comprobacin de la integridad del host y el resultado (de la poltica configurable) determina el acceso del endpoint. Si se aprueba la comprobacin de integridad del host, al endpoint se le concede una direccin IP normal con el servidor DNS normal. Si integridad del host falla, el endpoint conserva una direccin IP en cuarentena con el servidor DNS en cuarentena.
1034
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
Figura 52-1
Diagrama de red de DHCP Integrated Enforcer configurado para evitar la falsificacin de DNS
Invitado
DHCP/DNS/WINS normal Win2k3 SEPM Win2k3 DHCP Integrated Enforcer instalado 1921681002 1921681001
1 2
Configure DHCP Integrated Enforcer para conectarse a Symantec Endpoint Protection Manager. Configure DHCP Integrated Enforcer para usar una mscara de subred para las direcciones IP en cuarentena. Ver "Configurar una mscara de subred segura" en la pgina 986.
Configure DHCP Integrated Enforcer para agregar las rutas estticas a las direcciones IP de cuarentena en el servidor DHCP. Las rutas estticas incluyen el servidor DHCP (192.168.100.1), el servidor DNS (192.168.100.3), el servidor SEPM (192.168.100.2) y la direccin IP interna de Gateway Enforcer (192.168.100.4) Verifique que las rutas estticas se hayan agregado al servidor DHCP. Esto se configura en la consola de Enforcer: haga clic en Opciones de mbito y asegrese de que Opcin de ruta esttica 033 " se haya seleccionado en cada ruta. Agregue un servidor DNS. Haga clic con el botn derecho en Opciones de mbito y, a continuacin, haga clic en Configurar opciones.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
1035
6 7 8 9
En la ficha Avanzadas, seleccione Opciones estndar de DHCP como Clase de distribuidor y Clase de usuarios predeterminada como Clase de usuarios. En el cuadro de desplazamiento Opciones disponibles, haga clic para seleccionar Servidores DNS 006. En el cuadro para completar Direccin IP, agregue la direccin IP del servidor DNS normal (192.168.100.1). Haga clic en Aplicar.
10 Agregue un servidor WINS mediante los procedimientos usuales. 11 Configure los valores de mbito de direccin IP de cuarentena. 12 Haga clic con el botn derecho en Opciones de mbito y, a continuacin, haga
clic en Configurar opciones.
16 Haga clic en Aplicar. 17 Agregar una cuarentena servidor WINS, con la direccin de cuarentena de
192.168.100.3.
1 2 3
Conecte eth0 a la red y configure la direccin IP en 192.168.100.4. Desconecte eth1. Configure los parmetros de configuracin de Symantec Endpoint Protection Manager con la interfaz de lnea de comandos en Gateway Enforcer:
configure spm ip 192.168.100.2 key sygate group Gateway
1036
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
4 5
Asegrese de que Enforcer est conectado a Symantec Endpoint Protection Manager emitiendo el comando show status. Habilite la opcin manual con la interfaz de lnea de comandos:
On-demand Spm-domain name <domain name> Client-group <client group full path> Enable Show
A continuacin, defina una configuracin de DNS de Windows de cuarentena para la redireccin HTTP. Para configurar una redireccin HTTP de DNS de Windows de cuarentena
1 2 3 4 5 6 7 8
Abra la consola de administracin de DNS en el servidor DNS de cuarentena (192.168.100.3). Haga clic con el botn derecho en Zonas de bsqueda progresiva y seleccione Nueva zona. Aparece el Asistente de nueva zona. En el Asistente de nueva zona, haga clic en Siguiente. Seleccione Zona principal y haga clic en Siguiente. Escriba un perodo (.) como Nombre de la zona y haga clic en Siguiente. Seleccione Crear un nuevo archivo con este nombre del archivo, escriba root.dns y haga clic en Siguiente. Seleccione No permitir las actualizaciones dinmicas y haga clic en Siguiente. Haga clic en Finalizar.
Cree un nuevo host en la zona .(raz) que acaba de crear. Para crear un nuevo host en la zona .(raz)
1 2 3
Haga clic con el botn derecho en la zona .(raz) y seleccione Nuevo host. Escriba un asterisco (*) como Nombre y la direccin IP de Gateway Enforcer (192.168.100.4) como la direccin IP para el nuevo host. Haga clic en Agregar host.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red
1037
1 2
El doble haga clic en el nombre del servidor DNS en el panel derecho. Cambie la direccin IP a la direccin IP de Enforcer (192.168.100.4) y haga clic en Aceptar.
Opcional: Es posible que desee configurar el servidor WINS para resolverlo de la misma manera que el servidor DNS. Los nombres del equipo se resuelven por medio del servidor WINS. Si el endpoint no se registra en un dominio, resuelve el nombre del equipo por medio de un servidor WINS. Es posible elegir configurar un servidor WINS independiente en cuarentena para resolver todos los nombres de equipos en la red interna en Gateway Enforcer eth0(192.168.100.4). Debe probar la configuracin. Para probar la configuracin
El cliente debe obtener una direccin IP de cuarentena con 255.255.255.255 como mscara de subred y 192.168.100.3 como servidor DNS
2 3
Borre memoria cach de DNS. Escriba ipconfig /flushdns Abra un navegador web y escriba www.yahoo.com. Debe reorientarse al sitio web disponible bajo demanda de Gateway Enforcer.
4 5
Descargue el cliente On-demand y compruebe las comprobaciones de integridad del host. Al cliente se le emite una direccin IP normal y el comando 192.168.100.1 como servidor DNS.
Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red
Si desea habilitar la descarga automtica de un cliente bajo demanda de Symantec Network Access Control en un equipo cliente en plataformas Windows y Macintosh, es necesario haber completado un nmero de tareas de configuracin. Ver "Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer" en la pgina 1030.
1038
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red
Es necesario configurar los comandos siguientes antes de que pueda permitir a los clientes bajo demanda de Symantec Network Access Control conectarse a una red:
Ejecute el comando spm-domain. Ejecute el comando client-roup. Ejecute el comando enable. Ejecute el comando authentication enable. Este comando es opcional.
Para permitir a clientes de Symantec Network Access Control On-Demand conectarse temporalmente a una red
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
Escriba el comando siguiente: Enforcer (on-demand)# spm-domain donde: spm-domain representa una cadena que se visualiza en Enforcer automticamente. Ver "Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer" en la pgina 1030.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red
1039
Escriba el comando siguiente: Enforcer (on-demand)# client-group "Mi empresa/nombre del grupo de
clientes de Enforcer
donde: nombre del grupo de clientes de Enforcer representa el nombre del grupo de clientes de Enforcer que se configur en la pgina Clientes, en Ver clientes, en la consola de Symantec Endpoint Protection Manager. Es necesario ya haber configurado este grupo de clientes de Enforcer como subgrupo para el grupo Mi empresa con derechos de acceso completo. Si no ha configurado el grupo de clientes de Enforcer en la consola de Symantec Endpoint Protection Manager, Enforcer se registra en el grupo predeterminado. La informacin sobre el grupo de clientes de Enforcer se enva automticamente durante el latido siguiente. Ahora debe configurar la autenticacin para los clientes bajo demanda de Symantec Network Access Control. Ver "Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control" en la pgina 1040.
Es posible tambin configurar durante cunto tiempo el cliente On-Demand estar en vivo, usando el comando persistence. Para convertir a los clientes de Symantec Network Access Control On-Demand en persistentes
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
das.
1040
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
2 3 4 5
En la consola de un dispositivo Gateway Enforcer, escriba on-demand. Escriba disable. Escriba exit. Escriba exit para cerrar sesin.
Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Es posible autenticar usuarios finales con los clientes bajo demanda mediante uno de los siguientes mtodos de autenticacin.
La base de datos local del dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con una base de datos local" en la pgina 1041. Un Microsoft Windows Server 2003 Active Directory configurado para administrar la autenticacin de los usuarios finales con el dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con un Microsoft Windows 2003 Server Active Directory" en la pgina 1041. Un servidor Radius configurado para administrar la autenticacin de los usuarios finales con el dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con un servidor RADIUS" en la pgina 1042.
Una vez que se habilita la autenticacin, agregue nombres de usuario y una contrasea para cada usuario final autenticado.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1041
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
Cmo configurar la autenticacin de usuario con un Microsoft Windows 2003 Server Active Directory
El dispositivo Gateway Enforcer establece una conexin con el servidor de Microsoft Windows 2003 con el nombre de dominio en vez de la direccin IP. Por lo tanto, es necesario haber configurado un servidor de nombres de dominio (DNS) en la red que pueda resolver el nombre de dominio. Ver "Comandos on-demand authentication ad" en la pgina 1047.
1042
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
En la consola del dispositivo Gateway Enforcer, escriba el comando siguiente: Enforcer #on-demand
Escriba el comando siguiente: Enforcer (autenticacin) # ad domain domain name alias name
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1043
Enforcer (authentication)# radius add name alias name server RADIUS sever address secret shared secretauth_method auth method
Donde:
alias_name representa el nombre mostrado para el mtodo de autenticacin de RADIUS detallado en Auth Server(Servidor de autenticacin), en el cuadro de dilogo de inicio de sesin. RADIUS server address representa el servidor RADIUS y el puerto. El puerto es un nmero opcional entre 1 y 65535. Si no especifica un nmero de puerto, Enforcer usa una opcin predeterminada del puerto 1812. shared secret es el secreto compartido en el servidor RADIUS. auth method es PAP, CHAP, MS-CHAP-V1 o MS-CHAP-V2.
Enforcer (authentication#enable
Adems de los comandos RADIUS add name y enable RADIUS, se pueden ejecutar otros comandos de RADIUS para administrar el servidor RADIUS. Ver "Cmo configurar la autenticacin de usuario con un servidor RADIUS" en la pgina 1042.
Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls
El dispositivo Gateway Enforcer puede conectarse a los puertos habilitados para dot1.x con el protocolo TLS. Para configurar el cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls
1 2 3 4
En la consola de Enforcer, escriba: Enforcer#on-demand Escriba el comando siguiente: Enforcer(on-demand)# dot1x Escriba el comando siguiente: Enforcer(dot1x)# protocol tls Escriba el comando siguiente: Enforcer (tls)# show protocol El protocolo se debe configurar para TLS. Por ejemplo, Protocolo activo:
TLS
5 6
Escriba el comando siguiente: Enforcer (tls)# validate-svr enable Escriba el comando siguiente: Enforcer (cert-svr)# exit
1044
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Escriba el comando siguiente: Enforcer (tls)# show tls Asegrese de que el certificado de servidor de TLS est habilitado. Por ejemplo:
TLS Validate Server Certificate: TLS Certificate Server: TLS Certificate Server: ENABLED ENABLED 127.0.0.1
Donde:
10.34.68.69 es el servidor TFTP desde donde el dispositivo Enforcer puede
Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-peap
El dispositivo Gateway Enforcer puede establecer una conexin con el protocolo PEAP. Para configurar el cliente On-Demand en Windows para autenticacin con el protocolo PEAP
1 2 3 4
En la consola de Enforcer, escriba: Enforcer#on-demand Escriba el comando siguiente: Enforcer(on-demand)# dot1x Escriba el comando siguiente: Enforcer(dot1x)# protocol peap Escriba el comando siguiente: Enforcer (peap)# show protocol Asegrese de que el certificado de servidor de PEAP est habilitado; por ejemplo:
PEAP PEAP PEAP PEAP Validate Server Certificate: Certificate Server: Certificate Server: Fast Reconnected: ENABLED DISABLED 127.0.0.1 DISABLED
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1045
donde snac es el equipo servidor de CA para el nombre del certificado de PEAP. A continuacin, escriba:
Enforcer (peap) exit Enforcer (dot1x certificate import tftp 10.34.68.69 root-cert qa.cer
La base de datos local que es residente en un dispositivo Gateway Enforcer. Es posible elegir usar la base de datos local incorporada para agregar nombres de usuario y contraseas para los usuarios individuales. Servidor de Active Directory configurado para funcionar con el dispositivo Gateway Enforcer. Es necesario poder conectarse a Microsoft Windows Server 2003 Active Directory configurado para funcionar con un dispositivo Gateway. Servidor RADIUS Es necesario poder conectarse a uno o ms servidores RADIUS.
La Tabla 52-1 proporciona informacin sobre el comando on-demand authentication. Tabla 52-1 Comando
ad
1046
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Comando
disable
Descripcin
Deshabilita la autenticacin de los clientes de Symantec Network Access Control On-Demand de los dispositivos Gateway Enforcer. Los usuarios finales pueden activar la descarga automtica de los clientes de Symantec Network Access Control On-Demand en un equipo cliente sin realizar la autenticacin. Ver "Comando on-demand authentication disable" en la pgina 1049.
default
Configura los mtodos de autenticacin (Active Directory, base de datos local incorporada o servidor RADIUS) que los usuarios invitados pueden seleccionar cuando inician sesin. Ver "Comando on-demand authentication default" en la pgina 1046.
enable
Habilita la autenticacin de los clientes de Symantec Network Access Control On-Demand de los dispositivos Gateway Enforcer. Una vez que est habilitado, un usuario final debe aprobar la autenticacin (entrada de nombre de usuario y contrasea correctos) antes de descargar clientes de Symantec Network Access Control On-Demand. Ver "Comando On-demand authentication enable" en la pgina 1048.
local-db
Habilita la autenticacin con el uso de la base de datos local incorporada en el dispositivo Gateway Enforcer. Ver "Comandos On-Demand authentication local-db" en la pgina 1050.
radius
Habilita la autenticacin por medio de un servidor RADIUS. Ver "Comandos on-demand authentication del servidor RADIUS" en la pgina 1049.
show
Enumera la informacin de estado sobre las diferentes opciones y argumentos del comando de autenticacin. Carga archivos relacionados con la autenticacin en un servidor.
upload
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1047
Donde: ad, radius y local-db representan el mtodo de autenticacin, e index representa el ndice del servidor RADIUS. El ejemplo siguiente describe cmo especificar los mtodos de Active Directory y del servidor RADIUS:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# default ad | radius radiusAuthServerIndex
Donde:
1048
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Representa el nombre de dominio de Microsoft Windows Server 2003 Active Directory. Representa el nombre que se muestra para el mtodo de autenticacin de Active Directory detallado en AuthServer (Servidor de autenticacin) en el cuadro de dilogo Log on (Inicio de sesin).
nombre de alias
El ejemplo siguiente describe cmo especificar el ID de dominio de Microsoft Windows Server 2003 Active Directory:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad domain symantec.com name symantec
Donde: symantec.com representa el nombre de alias mostrado para Auth Server (Servidor de autenticacin) en el cuadro de dilogo de inicio de sesin.
El ejemplo siguiente describe cmo habilitar la autenticacin para el cliente On-Demand con Microsoft Windows Server 2003 Active Directory:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad enable
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1049
Se debe iniciar sesin en la consola del dispositivo Gateway Enforcer como superusuario para ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. El ejemplo siguiente describe cmo habilitar la autenticacin para un cliente de Symantec Network Access Control On-Demand en la consola de un dispositivo Gateway Enforcer:
Enforcer# on-demand Enforcer (on-demand)# authentication enable
Se debe iniciar sesin en la consola del dispositivo Gateway Enforcer como superusuario para ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. El ejemplo siguiente describe cmo deshabilitar la autenticacin para un cliente de Symantec Network Access Control On-Demand en la consola de un dispositivo Gateway Enforcer:
Enforcer# on-demand Enforcer (on-demand)# authentication disable
1050
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Donde:
alias_name El nombre que se muestra para el mtodo de autenticacin del RADIUS detallado en Auth Server(Servidor de autenticacin), en el cuadro de dilogo de inicio de sesin. La direccin y el puerto del servidor RADIUS en el formato de IP: puerto o host: puerto. Es posible aceptar el puerto predeterminado de 1812 o especificar un nmero de puerto entre 1 y 65535. El nombre de alias del servidor RADIUS. shared secret auth_method El secreto compartido en el servidor RADIUS. Uno de los siguientes mtodos de autenticacin: PAP (protocolo de autenticacin de contrasea) CHAP (protocolo de autenticacin por desafo mutuo) MS-CHAP-1 (Microsoft CHAP, versin 1)
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1051
Donde: nombre_de_usuario representa una cuenta de usuario que se puede agregar a la base de datos incorporada. A continuacin, se describe cmo agregar local-db:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db add user jim
1052
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Donde:
add clear delete disable edit enable Crea una nueva cuenta de usuario en la base de datos integrada Limpia todas las cuentas de usuario de la base de datos local Quita un usuario existente de la base de datos local Deshabilita la autenticacin de la base de datos local Modifica una cuenta de usuario existente Habilita la autenticacin de la base de datos local
El ejemplo siguiente describe cmo configurar la autenticacin de la base de datos local para un cliente de Symantec Network Access Control On-Demand en la consola de un dispositivo Gateway Enforcer:
Enforcer# on-demand Enforcer(on-demand)#authentication Enforcer(authentication)# local-db disable Local database authentication is disabled. Enforcer(authentication)# local-db enable Local database authentication is enabled. Enforcer(authentication)# local add username test password test Enforcer(authentication)# local-db delete username test Your action will delete the user account "test" permanently. Please confirm. [Y/N]y
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Editar el titular de la pgina Welcome (Bienvenido)
1053
Enforcer(authentication)# local-db edit username test password b Enforcer(authentication)# local-db clear Notice that your action will remove ALL user account permanently! Please confirm. [Y/N]y
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
En la ventana emergente, escriba el mensaje que es necesario que los usuarios vean en la pgina Welcome(Bienvenido) del cliente de Symantec Network Access Control On-Demand. Puede utilizar hasta 1024 caracteres.
1054
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Editar el titular de la pgina Welcome (Bienvenido)
Seccin
Captulo 53. Ejecucin de recuperacin despus de un desastre Captulo 54. Resolucin de problemas de instalacin y de comunicacin Captulo 55. Solucin de problemas de elaboracin de informes Captulo 56. Solucin de problemas en el dispositivo Enforcer
1056
Captulo
53
Ejecucin de recuperacin despus de un desastre Cmo restaurar la base de datos Reinstalar o reconfigurar Symantec Endpoint Protection Manager
1058
Paso
Paso 2
Accin
Restaure la base de datos. Ver "Cmo restaurar la base de datos" en la pgina 1058.
Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. Consulte el artculo de la base de conocimientos: Realizar una recuperacin despus de un desastre cuando el proceso de restauracin o copia de seguridad de la base de datos genera un error al usar el "Asistente de restauracin/copia de seguridad de base de datos" para una base de datos integrada.
Detenga el servicio del servidor de administracin. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
En el men Inicio, haga clic en Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Tools > Database Back Up and Restore. En el cuadro de dilogo Database Back Up and Restore, haga clic en Restaurar. Haga clic en S para confirmar la restauracin de la base de datos.
3 4
Ejecucin de recuperacin despus de un desastre Reinstalar o reconfigurar Symantec Endpoint Protection Manager
1059
En el cuadro de dilogo Restaurar sitio, seleccione el archivo de la base de datos de copia de seguridad y despus haga clic en Aceptar. Localice la copia del archivo de la base de datos de copias de seguridad que usted hizo cuando hizo copia de seguridad de la base de datos. De forma predeterminada, el archivo de copia de seguridad de la base de datos se denomina fecha_marca de hora.zip.
6 7 8
Haga clic en Aceptar. Haga clic en Salir. Reinicie el servicio del servidor de administracin.
1 2
Desinstale el servidor de administracin existente. Instale el servidor desde el disco del producto. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
En el panel Bienvenido, asegrese de que la opcin Usar un archivo de recuperacin est seleccionada y despus haga clic en Siguiente. De forma predeterminada, el archivo de recuperacin se encuentra en:
Unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup.
Siga las instrucciones en cada panel. La configuracin predeterminada funciona para la mayora de los casos. Si el servidor reinstalado se conecta a una base de datos existente, se cambia la configuracin de la base de datos a la de la base de datos existente.
1060
Ejecucin de recuperacin despus de un desastre Reinstalar o reconfigurar Symantec Endpoint Protection Manager
Es posible tambin restaurar la base de datos si es necesario. Sin embargo, si la base de datos de Symantec Endpoint Protection Manager est albergada en otro equipo o no se ve afectada de otra manera, no es necesario restaurar su base de datos. Ver "Cmo restaurar la base de datos" en la pgina 1058. Para reconfigurar el servidor de administracin
Para reconfigurar el servidor de administracin, haga clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Herramientas deSymantecEndpointProtectionManager>Asistenteparalaconfiguracin del servidor de administracin. Para instalar un servidor de administracin para la replicacin, haga clic en Instalar un sitio adicional. Siga las instrucciones en cada panel.
2 3
Captulo
54
Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo Identificacin del punto de falla de una instalacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo
Es posible descargar una utilidad para diagnosticar problemas comunes que se encuentran con la instalacin y el uso de Symantec Endpoint Protection Manager o el cliente de Symantec Endpoint Protection. Para descargar la herramienta de Symantec Endpoint Protection
1062
Resolucin de problemas de instalacin y de comunicacin Identificacin del punto de falla de una instalacin
En la consola, haga clic en Ayuda > Descargar herramienta de soporte. En el cliente, haga clic en Ayuda y soporte > Descargar herramienta de soporte
1 2
En un programa de edicin de texto, abra el archivo de registro que gener la instalacin. Para encontrar errores, busque la entrada siguiente:
Value 3
Lo ms probable es que la accin que haya tenido lugar antes de la lnea que contenga esta entrada sea la que haya causado la falla. Las lneas que aparecen despus de esta entrada corresponden a los componentes cuya instalacin se ha revertido debido a que ha fallado el proceso.
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1063
Tabla 54-1
Qu comprobar
Buscar el cliente para ver si se conecta al servidor de administracin
Probar la conectividad entre Es posible realizar varias tareas de comprobar la el cliente y el servidor de conectividad entre el cliente y el servidor de administracin. administracin Ver "Habilitacin y consulta del registro de acceso para comprobar si el cliente se conecta al servidor de administracin" en la pgina 1066. Establezca una comunicacin ping con el servidor de administracin desde el equipo cliente. Ver "Usar el comando ping para probar la conectividad con el servidor de administracin" en la pgina 1068. Utilice un navegador Web en el equipo cliente para conectarse al servidor de administracin. Ver "Usar un navegador para probar la conectividad al servidor de administracin en el equipo cliente" en la pgina 1068. Comprobar la existencia de cualquier problema de red Es necesario verificar que no haya problemas de red; para ello compruebe los puntos siguientes: Pruebe la conectividad entre el cliente y el servidor de administracin primero. Si el equipo cliente no puede establecer una comunicacin ping o telnet con el servidor de administracin, es necesario verificar el servicio DNS para el cliente. Compruebe la ruta de enrutamiento del cliente.
Compruebe que el servidor de administracin no tenga problemas de red. Compruebe que el firewall de Symantec Endpoint Protection (o cualquier firewall de otro fabricante) no cause ningn problema de red.
1064
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
Qu comprobar
Comprobar los registros de depuracin en el cliente
Solucin
Es posible utilizar el registro de depuracin en el cliente para determinar si el cliente tiene problemas de comunicacin. Ver "Comprobar los registros de depuracin en el equipo cliente" en la pgina 1069. Ver "Comprobar los registros de la bandeja de entrada en el servidor de administracin" en la pgina 1070.
Si los clientes han perdido la comunicacin con un servidor de administracin, se puede usar una herramienta para recuperar el archivo de comunicacin. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 1070.
Si Symantec Endpoint Protection Manager muestra errores de registro o cdigos de error HTTP, consulte el artculo de la base de conocimientos siguiente: Symantec Endpoint Protection Manager resolucin de problemas de comunicacin.
1 2
En el cliente, en el panel de programa, haga clic en Ayuda > Solucin de problemas. En la columna izquierda, seleccione Estado de conexin. Consulte los valores de datos de estado de conexin.
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1065
Nota: En los clientes administrados, el icono del rea de notificacin no aparece si se configura para que no est disponible. Tabla 54-2 Icono Iconos de estado de clientes de Symantec Endpoint Protection Descripcin
El cliente se ejecuta sin problemas. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El icono es un escudo amarillo plano. El cliente se ejecuta sin problemas. Est conectado y se comunica con el servidor. Todos los componentes de la poltica de seguridad protegen el equipo. El icono es un escudo amarillo con un punto verde. El cliente tiene un problema menor. Por ejemplo, las definiciones de virus pueden estar desactualizadas. El icono es un escudo amarillo y un punto amarillo claro que contiene una marca de exclamacin negra. El cliente no se ejecuta, tiene un problema grave o tiene por lo menos una tecnologa de proteccin deshabilitada. Por ejemplo, la Proteccin contra amenazas de red puede estar deshabilitada. El icono es un escudo amarillo con un punto blanco delineado en rojo y una lnea roja a travs del punto.
La Tabla 54-3 muestra los iconos de estado de clientes de Symantec Network Access Control que aparecen en el rea de notificacin. Tabla 54-3 Icono Iconos de estado de clientes de Symantec Network Access Control Descripcin
El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El icono es una llave dorada plana. El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Se comunica con el servidor. El icono es una llave dorada con un punto verde. El cliente no super la comprobacin de integridad del host o no actualiz la poltica de seguridad. El icono es una llave dorada con un punto rojo que contiene una "X" blanca
1066
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1 2 3 4
En el equipo cliente, abra el cliente. En el cliente, haga clic en Ayuda y despus haga clic en Solucin de problemas. En el cliente, en Datos para la solucin de problemas, haga clic en Exportar. En el cuadro de dilogo Guardar como, acepte el nombre de archivo predeterminado o escriba un nuevo nombre de archivo y despus haga clic en Guardar. Es posible guardar el archivo en el escritorio o en una carpeta de su opcin.
Con un programa de edicin de texto, abra Troubleshooting.txt para examinar el contenido. Contctese con el soporte tcnico de Symantec para obtener ayuda. El soporte tcnico de Symantec puede solicitarle que enva por correo electrnico el archivo Troubleshooting.txt.
Habilitacin y consulta del registro de acceso para comprobar si el cliente se conecta al servidor de administracin
Es posible consultar el registro acceso al servidor de HTTP de Apache en el servidor de administracin para comprobar si el cliente se conecta al servidor de administracin. Si el cliente se conecta, es probable que el problema de conexin del cliente no sea un problema de red. Los problemas de red incluyen el acceso de bloqueo del firewall o redes que no se conectan entre s. Primero debe habilitar el registro de acceso del servidor de HTTP de Apache antes de consultar el registro. Nota: Deshabilite el registro una vez que lo consulta, ya que el registro usa espacio en el disco duro y recursos de CPU innecesarios.
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1067
Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para habilitar el registro de acceso del servidor de HTTP de Apache
En el archivo httpd.conf, quite la marca de hash (#) de la cadena de texto siguiente y guarde el archivo:
#CustomLog "logs/access.log" combined
Detenga y reinicie el servicio de Symantec Endpoint Protection Manager y el servidor de HTTP de Apache: Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163. Ver "Detencin e inicio del Servidor Web Apache" en la pgina 1067.
1 2 3
En el servidor de administracin, abra drive:\Program Files\Symantec\Symantec Endpoint Protection Manager\apache\access.log Busque el nombre de host o la direccin IP de un equipo cliente, lo que indica que los clientes se conectan al servidor de HTTP de Apache. Deshabilite el registro del acceso del servidor de HTTP de Apache.
1068
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1 2
En el cliente, abra una lnea de comandos. Escriba el comando ping. Por ejemplo: ping nombre donde nombre es el nombre del equipo del servidor de administracin. Es posible utilizar la direccin IP del servidor en lugar del nombre del equipo. En cualquier caso, el comando debe devolver la direccin IP correcta del servidor. Si el comando ping no devuelve la direccin correcta, verifique el servicio DNS para el cliente y compruebe su ruta de encaminamiento.
Compruebe si el icono de estado del cliente muestra un punto verde. Ver "Cmo determinar si el cliente est conectado y protegido" en la pgina 1064. Compruebe el estado de conexin en el cliente. Ver "Visualizacin del estado de conexin del cliente en el cliente" en la pgina 1064.
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1069
Para usar un navegador para probar la conectividad al servidor de administracin en el equipo cliente
1 2
En el equipo cliente, abra un navegador web, como Internet Explorer. En la lnea de comandos navegador, escribe el comando siguiente: http://direccin del servidor de administracin:8014/secars/secars.dll?hello,secars donde la direccin del servidor de administracin es el nombre DNS, el nombre de NetBIOS o la direccin IP del servidor de administracin.
Si aparece la palabra Aceptar, el equipo cliente se conecta al servidor de administracin. Compruebe si hay un problema en el cliente. Si no aparece la palabra Aceptar, el equipo cliente no se conecta al servidor de administracin. Compruebe las conexiones de red del cliente y que los servicios de red estn en ejecucin en el equipo cliente. Verifique el servicio DNS para el cliente y compruebe su ruta de encaminamiento. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062.
En el cliente, en el men Ayuda y asistencia tcnica, en el cuadro de dilogo Solucin de problemas, puede hacer clic en Editar configuracin del registro de depuracin y escribir un nombre para el registro. Despus puede hacer clic en Ver registro. Es posible utilizar el registro de Windows para activar la depuracin en el cliente. Es posible encontrar la clave de registro de Windows en la ubicacin siguiente: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on
1070
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
En el servidor de administracin, en HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM, establezca el valor DebugLevel en 3. Tpicamente, la bandeja de entrada aparece en la ubicacin siguiente en el equipo del servidor de administracin:
\Program Files\Symantec\Symantec Endpoint Protection Manager\data\ inbox\log
Migrar o mover clientes a un nuevo dominio o servidor de administracin. Restaurar las rupturas de comunicacin al cliente que no pueden ser corregidas en el servidor de administracin.
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1071
Mover un cliente de un servidor a otro servidor que no sea un partner de replicacin. Mover un cliente de un dominio a otro. Convertir un cliente no administrado en un cliente administrado. Convertir un cliente administrado en un cliente no administrado.
Es posible escribir un script con la herramienta para modificar la configuracin de comunicacin para una gran cantidad de clientes. Ver "Acerca de clientes administrados y clientes no administrados" en la pgina 144. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop
En la consola, exporte el archivo de comunicacin del grupo que se conecta al servidor de administracin al cual desea que el equipo cliente se conecte. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219.
2 3
Distribuya el archivo de comunicacin al equipo cliente. En el disco del producto, localice la carpeta \Tools\NoSupport\SylinkDrop y abra SylinkDrop.exe. Es posible ejecutar la herramienta remotamente o guardarla y despus ejecutarla en el equipo cliente. Si usa la herramienta en la lnea de comandos, lea el archivo SylinkDrop.txt para obtener una lista de los parmetros de comando de la herramienta.
4 5 6 7
En el cuadro de dilogo desplegable Sylink, haga clic en Examinar y localice el archivo .xml que se distribuy en el paso 2 al equipo cliente. Haga clic en Actualizar Sylink. Si ve un cuadro de dilogo de confirmacin, haga clic en Aceptar. En el cuadro de dilogo desplegable Sylink, haga clic en Salir.
1072
Resolucin de problemas de instalacin y de comunicacin Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
El servicio del servidor de administracin (semsrv) se detiene. El servicio del servidor de administracin no permanece en estado iniciado. Las pginas Pgina principal, Supervisin e Informes muestran un error de HTTP. Las pginas Pgina principal, Supervisin e Informes estn en blanco. Las pginas Pgina principal, Supervisin e Informes muestran una barra de progreso que carga continuamente, sin mostrar ningn contenido.
Todos estos problemas muestran el error Java -1 en el registro de eventos de Windows. Para encontrar la causa especfica del error Java -1, consulte el registro scm-server. El registro scm-server est situado tpicamente en la ubicacin siguiente: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\logs\scm-server-0.log Tabla 54-4 Qu comprobar Cmo comprobar la comunicacin con la consola o la base de datos Descripcin
Pruebe la conectividad entre Es posible verificar que el servidor de administracin y la la base de datos y el servidor base de datos se comuniquen correctamente. de administracin. Ver "Cmo verificar la conexin con la base de datos" en la pgina 1073. Compruebe que el tamao Es posible que sea necesario ajustar el tamao del montn del montn del servidor de que sea apropiado para el sistema operativo del servidor de administracin sea correcto. administracin. Si no se puede iniciar sesin en la consola remota del servidor de administracin o si se ve un mensaje de memoria insuficiente en el registro smc-server, es posible que sea necesario aumentar el tamao del montn. El tamao del montn predeterminado de Symantec Endpoint Protection Manager es 256 MB.
Resolucin de problemas de instalacin y de comunicacin Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
1073
Qu comprobar
Compruebe que el servidor de administracin no est ejecutando varias versiones de PHP.
Descripcin
Es posible comprobar si el servidor de administracin ejecuta varios paquetes de software que usan diversas versiones de PHP. PHP comprueba la existencia de un archivo de configuracin global (php.ini). Si hay varios archivos de configuracin, deber forzar cada producto a usar su propio intrprete. Cuando cada producto usa la versin correcta de PHP asociado a l, el servidor de administracin funciona correctamente. Es posible comprobar si el cliente y el servidor de administracin ejecutan los requisitos del sistema recomendados o los mnimos. Ver "Requisitos del sistema" en la pgina 84.
Verifique que el servicio de la base de datos integrada de Symantec se ejecute y que el proceso dbsrv9.exe escuche el puerto TCP 2638. Pruebe la conexin de ODBC.
Si el servidor de administracin ejecuta la base de datos SQL remota, realice las acciones siguientes:
Verifique que se haya especificado una instancia con nombre cuando instal y configur Symantec Endpoint Protection Manager. Verifique que SQL Server funcione y est configurado correctamente. Verifique que la conexin de red entre el servidor de administracin y la base de datos SQL sea correcta. Pruebe la conexin de ODBC.
1 2
En el servidor de administracin, haga clic en Inicio > Panel de control > Herramientas administrativas. En el cuadro de dilogo Herramientas administrativas, haga doble clic en Orgenes de datos (ODBC).
1074
Resolucin de problemas de instalacin y de comunicacin Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
3 4 5 6 7 8
En el cuadro de dilogo Administrador de orgenes de datos ODBC, haga clic en DSN de sistema. En la ficha DSN de sistema, haga doble clic en SymantecEndpointSecurityDSN. En la ficha ODBC, verifique que la lista desplegable Nombre del origen de datos sea SymantecEndpointSecurityDSN y escriba una descripcin opcional. Haga clic en Inicio de sesin. En la ficha Inicio de sesin, en el cuadro de texto ID de usuario, escriba dba. En el cuadro de texto Contrasea, escriba la contrasea para la base de datos. Esta contrasea es la que usted introdujo para la base de datos cuando instal el servidor de administracin.
Haga clic en Base de datos. <\\nombre del servidor\nombre de instancia>. Si usa la versin en ingls de Symantec Endpoint Protection Manager, escriba la opcin predeterminada, sem5. Si no, deje el espacio en blanco del cuadro de texto Nombre del servidor.
11 En la ficha ODBC, haga clic en Probar conexin y verifique que funcione. 12 Haga clic en Aceptar. 13 Haga clic en Aceptar.
Para verificar la comunicacin con la base de datos SQL
1 2 3 4 5 6 7
En el servidor de administracin, haga clic en Inicio > Panel de control > Herramientas administrativas. En el cuadro de dilogo Herramientas administrativas, haga doble clic en Orgenes de datos (ODBC). En el cuadro de dilogo Administrador de orgenes de datos ODBC, haga clic en DSN de sistema. En la ficha DSN de sistema, haga doble clic en SymantecEndpointSecurityDSN. En la lista desplegable Servidor, verifique que se seleccionen el servidor y la instancia correctos. Haga clic en Siguiente. En ID de inicio de sesin, escriba sa.
Resolucin de problemas de instalacin y de comunicacin Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
1075
En el cuadro de texto Contrasea, escriba la contrasea para la base de datos. Esta contrasea es la que usted introdujo para la base de datos cuando instal el servidor de administracin.
Haga clic en Siguiente y asegrese de que sem5 est seleccionado para la base de datos predeterminada.
10 Haga clic en Siguiente. 11 Haga clic en Finalizar. 12 Haga clic en Probar origen de datos y busque el resultado que indica:
PRUEBAS COMPLETADAS CORRECTAMENTE
1076
Resolucin de problemas de instalacin y de comunicacin Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
Captulo
55
Solucin de problemas de elaboracin de informes Ayuda contextual de solucin de problemas de la consola de elaboracin de informes Cmo cambiar a letras de la elaboracin de informes para mostrar idiomas asiticos Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits
Las marcas de fecha, incluyendo los horarios de anlisis de equipos cliente, de los informes y registros se dan en la hora local del usuario. La base de datos de informes contiene eventos especificados segn la hora del meridiano de Greenwich (GMT). Al crear un informe, estos valores de horario se convierten en la hora local del equipo en el que se ven los informes. Si los clientes administrados estn en una zona horaria diferente a la del servidor de administracin y se usa la opcin de filtro Definir fechas
1078
especficas, se pueden ver resultados inesperados. La exactitud de los datos y la hora en el equipo cliente y en el servidor de administracin pueden verse afectados.
Si modifica la zona horaria en el servidor, cierre sesin en la consola y vuelva a iniciar sesin para ver los horarios exactos en registros e informes. En algunos casos, los datos del informe no tienen una correspondencia directa con lo que aparece en los productos de seguridad. Esta falta de correspondencia se produce porque el software de elaboracin de informes agrega eventos de seguridad. Si no utiliza el puerto predeterminado cuando se instalan las pginas de ayuda para informes, no es posible acceder a la ayuda contextual en pantalla. Para acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesario agregar una variable al archivo Reporter.php. Ver "Ayuda contextual de solucin de problemas de la consola de elaboracin de informes" en la pgina 1080. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Es posible utilizar SSL con las funciones de la elaboracin de informes para una mayor seguridad. El SSL proporciona confidencialidad, integridad para sus datos y autenticacin entre el cliente y el servidor. Consulte el artculo de la base de conocimientos: Configuracin de Secure Sockets Layer (SSL) para trabajar con las funciones de elaboracin de informes de Symantec Endpoint Protection en Windows Server 2003. La informacin sobre categoras de riesgos que se incluye en los informes se obtiene del sitio web de Symantec Security Response. Hasta que la consola de Symantec Endpoint Protection Manager pueda recuperar esta informacin, cualquier informe que se genere indica Desconocido en los campos de la categora de riesgo. Los informes que se generan brindan un cuadro exacto de los equipos en peligro de su red. Los informes se basan en los datos de registro, no en los datos de registro de Windows. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Ver "Cmo cambiar a letras de la elaboracin de informes para mostrar idiomas asiticos" en la pgina 1080.
1079
Si se producen errores de la base de datos durante la ejecucin de informes que incluyen una gran cantidad de datos, se recomienda cambiar los parmetros de tiempo de espera. Ver "Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros" en la pgina 1081. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Para obtener ms informacin, consulte el documento siguiente en el artculo de la base de conocimientos: El servidor de informes de SAV o la elaboracin de informes de SEPM no responde ni muestra un mensaje de error del tiempo de espera al consultar una gran cantidad de datos. Si ha deshabilitado el uso de direcciones de loopback en el equipo, las pginas de informes no se visualizan. Ver "Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas" en la pgina 1083. Si el registro de Sistema llega a daarse en un cliente de 64 bits, se puede ver un mensaje de error no especificado en los registros de Sistema en la consola de Symantec Endpoint Protection Manager. Ver "Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits" en la pgina 1084.
Es importante tener en cuenta la siguiente informacin si algunos equipos de su red estn ejecutando versiones anteriores de Symantec AntiVirus:
Cuando se utilizan los filtros de informes y registros, los grupos de servidores se categorizan como dominios. Los grupos de clientes se categorizan como grupos, y los servidores principales se categorizan como servidores. Si se genera un informe que incluye equipos con versiones anteriores, el valor de los campos de direccin IP y MAC es Ninguno. Las funciones de elaboracin de informes utilizan una carpeta temporal: drive:\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp. Se recomienda programar sus propias tareas automatizadas de limpiar peridicamente esta carpeta temporal. Si lo hace as, asegrese de no eliminar el archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden los datos entrantes de registros de versiones anteriores del cliente de Symantec AntiVirus.
1080
Solucin de problemas de elaboracin de informes Ayuda contextual de solucin de problemas de la consola de elaboracin de informes
1 2 3
Cambie el directorio por unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Abra el archivo de configuracin Reporter.php con un editor. Agregue la lnea siguiente al archivo y sustituya el nmero de puerto por el nmero de puerto que usted utiliz cuando instal la ayuda de informes. $scm_http_port=nmero de puerto
Solucin de problemas de elaboracin de informes Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros
1081
1 2 3
Cambie el directorio por unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Abra el archivo de configuracin I18nCommon.bundle con un editor. Escriba el nombre del archivo de fuente que desee utilizar despus del signo de igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisiera utilizar Arial, se escribira lo siguiente: SPECIAL_FONT=arial.ttf
4 5
Guarde el archivo en formato UTF-8 y despus cierre el archivo. Asegrese de que el archivo de fuente que se escribe se encuentre en el directorio %WINDIR%\fonts.
Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros
Si ocurren errores de la base de datos cuando se ven informes o registros que contienen muchos datos, es posible realizar los cambios siguientes:
Modificar el tiempo de espera de conexin de Microsoft SQL Server Modificar el tiempo de espera de comandos de Microsoft SQL Server
El tiempo de espera de conexin es 300 segundos (5 minutos) El tiempo de espera de comandos es 300 segundos (5 minutos)
Para cambiar los valores de tiempo de espera de Microsoft SQL Server en Reporter.php
Vaya a la carpeta siguiente en el servidor de Symantec Endpoint Protection Manager: unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources
2 3
Abra el archivo Reporter.php con un editor de texto sin formato, como el Bloc de notas. Encuentre la lnea $CommandTimeout y aumente el valor (en segundos). Si no existe la lnea, crela. Por ejemplo, para aumentar el perodo de tiempo de espera a 10 minutos, cambie la lnea al valor siguiente: $CommandTimeout = 600;
1082
Solucin de problemas de elaboracin de informes Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros
Encuentre la lnea $ConnectionTimeout y aumente el valor (en segundos). Si no existe la lnea, crela. Por ejemplo, para aumentar el perodo de tiempo de espera a 10 minutos, cambie la lnea al valor siguiente: $ConnectionTimeout = 600;
Nota: Si especifica un valor igual a cero o deja los campos en blanco, usar la configuracin predeterminada. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar los siguientes parmetros:
parmetro max_execution_time en el archivo Php.ini Los parmetros de tiempo de espera de Apache, FcgidIOTimeout, FcgidBusyTimeout y FcgidIdleTimeout, en el archivo httpd.conf
1 2 3 4 5 6
Vaya al directorio unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Php. Haga clic con el botn derecho en el archivo Php.ini y en Propiedades. En la ficha General, anule la seleccin de Solo lectura. Haga clic en Aceptar. Abra el archivo Php.ini con un editor de texto sin formato, como el Bloc de notas. Localice la entrada max_execution_time y aumente el valor (en segundos). Por ejemplo, para aumentar el tiempo de espera a 10 minutos, cambie la lnea al valor siguiente: max_execution_time=600
7 8 9
Guarde el archivo Php.ini y cirrelo. Haga clic con el botn derecho en el archivo Php.ini y en Propiedades. En la ficha General, seleccione Solo lectura.
Solucin de problemas de elaboracin de informes Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas
1083
1 2 3
Vaya al directorio unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\apache\conf. Abra el archivo httpd.conf con un editor de texto sin formato, como el Bloc de notas. Localice las lneas siguientes y aumente los valores (en segundos):
Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas
Si ha deshabilitado el uso de direcciones de loopback en el equipo, las pginas de informes no se visualizan. Si intenta iniciar sesin en la consola de Symantec Endpoint Protection Manager o acceder a las funciones de elaboracin de informes, se ve el mensaje de error siguiente: No es posible establecer una comunicacin con el componente de informes Las pginas Inicio, Supervisin e Informes estn en blanco; las pginas Polticas, Clientes y Administrador parecen normales y funcionan normalmente. Para que se muestren los componentes de Informes cuando estn desactivadas las direcciones de bucle invertido, es necesario asociar la palabra localhost (host local) con la direccin IP de su equipo. Es posible editar el archivo de host de Windows para asociar el host local con una direccin IP. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Para asociar el host local con la direccin IP en los equipos con Windows
Cambie el directorio a la ubicacin de su archivo de host. De forma predeterminada, el archivo de host se encuentra en %SystemRoot%\ system32\drivers\etc.
1084
Solucin de problemas de elaboracin de informes Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits
Agregue la lnea siguiente al archivo de host: xxx.xxx.xxx.xxx localhost #funciones de informes para iniciar sesin donde se sustituye xxx.xxx.xxx.xxx por la direccin IP de su equipo. Es posible agregar cualquier comentario que desee despus del signo #. Por ejemplo, es posible escribir la siguiente lnea: 192.168.1.100 localhost # esta entrada es para mi equipo de consola
Captulo
56
Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager Cmo solucionar problemas en un dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Si los mdulos Enforcer y el servidor de administracin no se comunican, consulte los siguientes motivos y soluciones posibles.
1086
Solucin de problemas en el dispositivo Enforcer Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Tabla 56-1
Resolucin de problemas en problemas de comunicacin entre los mdulos de aplicacin Enforcer y el servidor de administracin Solucin
Compruebe la configuracin del servidor de administracin en Enforcer usando el comando configure show spm. Asegrese de haber configurado la direccin IP del servidor de administracin, el nmero de puerto y el secreto previamente compartido correctamente. El nmero de puerto predeterminado es 8014. Si Tipo de Enforcer se volvi a configurar o se cambi, elimine el grupo Enforcer en el servidor de administracin o mueva Enforcer a un grupo diferente. Por ejemplo, Tipo de Enforcer pudo haber cambiado de Gateway Enforcer a LAN Enforcer. La lista de servidores de administracin para Enforcer puede tener un servidor de administracin que Enforcer no puede alcanzar o tiene varias interfaces de un servidor de administracin. Se recomienda agregar una lista de servidores de administracin con solo un servidor de administracin que puede conectarse a Enforcer. El servidor de administracin debe tener una direccin IP.
Problema
Enforcer no puede registrarse con Symantec Endpoint Protection Manager
Retraso en la conexin a la Si usa un Enforcer de apertura en caso de error, compruebe red por medio de Enforcer la configuracin del conmutador. Asegrese de que PortFast o de los clientes de bloqueo est habilito en ambos puertos a los cuales se conecta Enforcer. del dispositivo Gateway Enforcer Eventos de desconexin de clientes en el registro del cliente del dispositivo LAN Enforcer Si los clientes suspenden frecuentemente las solicitudes de reautenticacin (802.1x EAP) del conmutador y no las responden, es posible que deba disminuir el tiempo de espera de reautenticacin del conmutador.
El dispositivo LAN Compruebe que el modelo seleccionado del conmutador Enforcer no enva clientes en la configuracin coincida con el conmutador en uso. a la VLAN correcta Compruebe que los nombres de VLAN coincidan exactamente con la configuracin del conmutador. Compruebe que las asignaciones de VLAN de la tabla de accin sean correctas para el conmutador en la consola del servidor de administracin.
Ver "Preguntas ms frecuentes sobre los dispositivos Enforcer" en la pgina 1088. Ver "Cmo solucionar problemas en un dispositivo Enforcer" en la pgina 1087.
1087
La contrasea raz de Limite las contraseas a 128 caracteres. Use otra contrasea Enforcer se muestra como no ms corta. vlida cuando se usa la Ver "Password" en la pgina 1141. interfaz de lnea de comandos Modificar la memoria en el R200 causa errores de hardware Los errores son debido a la codificacin dura de IRQ. Quite memoria adicional o reinstale Enforcer despus del cambio de hardware. Nuestras pruebas han mostrado que la memoria adicional no brinda una diferencia apreciable. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Algunas opciones de configuracin (Debug Level, Capture) se restablecen a la configuracin predeterminada cuando se actualiza Enforcer. Un restablecimiento a la configuracin predeterminada puede aparecer en la actualizacin, pero no aparece despus de eso. Ver "Cmo actualizar la imagen de dispositivo Enforcer" en la pgina 811.
Los problemas aparecen al Resuelva este problema configurando HP OpenView: ejecutar SNMP con Enforcer Cargue el archivo MIB de Symantec seleccionando y HP OpenView Opcin > Cargar/descargar MIB. En Opcin > Configuracin del evento, elija OnDemandTraps (.1.3.6.1.4.1.393.588) y modifique cada captura segn sea necesario. Por ejemplo, en Mensaje de evento, elija Registrar y visualizar en categora. A continuacin, seleccione una categora de la lista desplegable. Configure el Mensaje de registro de eventos como $1.
Ver "Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager" en la pgina 1085.
1088
Solucin de problemas en el dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer
Ver "Qu proteccin contra virus y software antivirus administra la integridad del host?" en la pgina 1088. Ver "Es posible configurar polticas de integridad del host en el nivel de grupo o el nivel global?" en la pgina 1088. Ver "Se puede crear un mensaje de integridad del host personalizado?" en la pgina 1089. Ver "Qu sucede si los dispositivos Enforcer no pueden comunicarse con Symantec Endpoint Protection Manager?" en la pgina 1089. Ver "Se necesita un servidor RADIUS cuando un dispositivo LAN Enforcer se ejecuta en modo transparente?" en la pgina 1090. Ver "Cmo maneja la aplicacin los equipos sin clientes?" en la pgina 1091.
Es posible configurar polticas de integridad del host en el nivel de grupo o el nivel global?
Es posible asignar las polticas de integridad del host por grupo y por ubicacin en la consola de Symantec Endpoint Protection Manager. Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
Solucin de problemas en el dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer
1089
Qu sucede si los dispositivos Enforcer no pueden comunicarse con Symantec Endpoint Protection Manager?
Si planea utilizar mdulos de aplicacin Enforcer con Symantec Endpoint Protection, recomendamos que cuente con servidores de administracin redundantes. Si Symantec Endpoint Protection Manager no est disponible, Enforcer bloquea el trfico de los clientes. Los servidores de administracin redundantes son preferibles. Enforcer enva un paquete UDP en el puerto 1812 usando el protocolo RADIUS a Symantec Endpoint Protection Manager para verificar el GUID de los clientes. Si un firewall bloquea este puerto o si Symantec Endpoint Protection Manager no est disponible, los clientes estn bloqueados. Una opcin en Enforcer permite el acceso de clientes a la red cuando Symantec Endpoint Protection Manager no est disponible. Si se habilita esta opcin y Symantec Endpoint Protection Manager no est disponible, la comprobacin de GUID y las comprobaciones de perfil no se realizan. Solamente la comprobacin de integridad del host se puede realizar en el cliente cuando Symantec Endpoint Protection Manager no est disponible. Es posible utilizar el comando advanced local-auth para habilitar o deshabilitar la autenticacin de Enforcer de un cliente. Ver "Advanced local-auth" en la pgina 1089.
Advanced local-auth
El comando advanced local-auth habilita o deshabilita la autenticacin del cliente de Enforcer. Utilice este comando para la solucin de problemas. La autenticacin del cliente est habilitada de forma predeterminada. El comando advanced local-auth utiliza la sintaxis siguiente:
advanced local-auth {disable | enable}
donde:
1090
Solucin de problemas en el dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer
disable
Verifica el agente con el servidor de administracin. Esto bloquea el agente si no puede conectarse a un servidor de administracin. La configuracin predeterminada para la autenticacin del cliente es Deshabilitar.
enable
Deshabilita la verificacin del agente y realiza la validacin de la integridad del host solamente.
De forma predeterminada, el dispositivo Gateway Enforcer verifica el identificador nico global (GUID) del cliente con Symantec Endpoint Protection Manager. Si Gateway Enforcer no puede conectarse con Symantec Endpoint Protection Manager para verificar el GUID, bloquea el cliente. Aunque no se recomiende como paso de solucin de problemas, es posible detener la verificacin de GUID del dispositivo Gateway Enforcer. De forma predeterminada, el dispositivo Gateway Enforcer verifica el GUID. En cambio, el dispositivo Gateway Enforcer realiza solamente un control de validacin de Integridad del host. Asegrese de volver a habilitar esta opcin si desea que el dispositivo Gateway Enforcer verifique el GUID. Ver "Comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager" en la pgina 742.
Se necesita un servidor RADIUS cuando un dispositivo LAN Enforcer se ejecuta en modo transparente?
Los requisitos del servidor RADIUS dependen de cmo se configura el conmutador y de qu elementos autentica el conmutador. Los siguientes son algunos elementos que deben tenerse en cuenta:
Conmutadores que utilizan servidores RADIUS para ms tareas que la autenticacin de usuarios 802.1x. Por ejemplo, cuando usted inicia sesin en el conmutador, es necesario escribir un nombre de usuario y una contrasea. El servidor RADIUS realiza tpicamente la autenticacin para este inicio de sesin. Cuando se instala el dispositivo LAN Enforcer, esta autenticacin se enva al dispositivo LAN Enforcer. Si la autenticacin se enva al dispositivo LAN Enforcer, es necesario configurar la direccin IP del servidor RADIUS en el dispositivo LAN Enforcer. Debe configurar el dispositivo LAN Enforcer para que remita todas las solicitudes que no son EAP directamente al servidor RADIUS. Instalacin de un suplicante de 802.1x en un sistema cliente. Si existe un suplicante de 802.1x en un sistema cliente, el dispositivo LAN Enforcer intenta autenticar con el servidor RADIUS. La autenticacin 802.1x est habilitada de forma predeterminada en Windows XP. Si permite que su cliente funcione en
Solucin de problemas en el dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer
1091
modo transparente, no se deshabilita automticamente el suplicante de 802.1x incorporado. Es necesario asegurarse de que ningn suplicante de 802.1x se ejecuta en ninguno de sus equipos cliente.
Configuracin de Enforcer para omitir la solicitud de RADIUS de cualquier equipo cliente que incluya un suplicante de 802.1x de otro fabricante. Es posible configurar este valor usando una direccin IP de 0.0.0.0 para el servidor RADIUS. Es posible utilizar este programa de instalacin si desea ejecutar un dispositivo LAN Enforcer en modo transparente. Algunos clientes pueden tener un suplicante de 802.1x. En este caso, es posible especificar que el dispositivo LAN Enforcer no enve trfico a un servidor RADIUS.
1092
Solucin de problemas en el dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer
Aplicacin de DHCP
La aplicacin de DHCP restringe los equipos que estn fuera de cumplimiento o los sistemas sin clientes. Restringe estos sistemas a un espacio de direccin separado o les proporciona un subconjunto de rutas en la red. Esta restriccin reduce los servicios de red para estos dispositivos. Al igual que con la aplicacin de gateway, es posible hacer excepciones para las direcciones MAC de confianza y los sistemas operativos que no son de Microsoft. Ver "Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 747.
Aplicacin de LAN
La aplicacin de LAN usa el protocolo 802.1x para la autenticacin entre el conmutador y los sistemas cliente que se conecten a la red. Para utilizar este mtodo de aplicacin, el software del conmutador debe admitir el protocolo 802.1x, y su configuracin debe ser correcta. Tambin se necesita software de suplicante de 802.1x si el administrador desea verificar la identidad del usuario, adems del estado de NAC del host. La configuracin del conmutador debe administrar las excepciones para los sistemas sin clientes, en lugar de cualquier configuracin de Symantec. Tiene varias maneras de configurar esta configuracin del conmutador. Los mtodos varan dependiendo del tipo de versin del conmutador y del software que se ejecuta. Un mtodo tpico implementa el concepto de una VLAN invitada. Los sistemas sin clientes son asignados a una red con un nivel inferior de conectividad de red. Otro mtodo implica basar las excepciones en direcciones MAC. Es posible deshabilitar 802.1x en puertos seleccionados. Sin embargo, deshabilitar por puertos seleccionados permite que cualquier usuario se conecte mediante el puerto, as que no se recomienda. Muchos distribuidores tienen provisiones especiales para los telfonos de VoIP, que pueden trasladar automticamente estos dispositivos a VLAN de voz especiales. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
Cuando se utiliza la API de aplicacin universal, la implementacin de la API del distribuidor externo administra las excepciones.
Solucin de problemas en el dispositivo Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
1093
Cuando se utiliza la solucin de Symantec para interconectar con Cisco NAC, la arquitectura de Cisco NAC administra cualquier exclusin.
Para la transferencia de archivos por la red, se necesita una conexin de serie entre un equipo y el dispositivo Enforcer. El ejemplo siguiente representa una salida de transferencia de archivos que HyperTerminal realiza:
<date> <Time> <File Name> 2008-08-01 16:32:26 user.log 2008-08-01 16:32:24 kernel.log 2008-08-01 14:30:03 ServerSylink[04-05-2010-14-30-03].xml 2008-08-01 14:29:59 ServerProfile[04-05-2010-14-29-59].xml Enforcer(debug)# upload tftp 10.1.1.1 filename kernel.log
1094
Solucin de problemas en el dispositivo Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
El firewall est evitando que el Existen varias soluciones posibles: cliente funcione cuando el Cambiar la configuracin del firewall para desbloquear el puerto UDP 39999. usuario descarga el agente por Agregar una ruta esttica a la ruta de Enforcer Enforcer. Por ejemplo: medio de PPTP VPN, CheckPoint VPN o Juniper route add IP netmask NM device eth0 VPN. donde IP y NM son la direccin IP y la mscara de red del grupo de la direccin IP del cliente. Este grupo se configura en el VPN por el administrador. Con frecuencia, las descargas toman bastante tiempo. El cliente generalmente enva trfico a VeriSign, lo que demora la velocidad de descarga. La solucin alternativa es que el administrador agregue a VeriSign a la lista de IP de confianza.
Por lo general, la Una comprobacin de integridad del host larga es un problema con la resolucin comprobacin de integridad de DNS y no debe aparecer despus de la primera comprobacin de integridad del del host demora mucho tiempo host. la primera vez. El firewall del cliente est evitando que el cliente bajo demanda funcione cuando el usuario no tiene derechos de administrador Los usuarios deben modificar la configuracin del firewall para desbloquear el puerto UDP 39999. Alternativamente, configure el firewall con lo siguiente: cclientctl.exe
La actualizacin de Enforcer Este problema se debe al tamao de los paquetes como conjunto. La solucin no contiene inicialmente el alternativa es primero actualizar Enforcer e importar el paquete de instalacin paquete de instalacin manual. manual del cliente en Symantec Endpoint Protection Manager y, despus, habilitar funciones cuando lo necesite en Enforcer. Eso agrega los archivos de instalacin manual. La URL de redireccionamiento El problema de sobrescritura de la URL de redireccionamiento sucede solamente en Enforcer sobrescribir una cuando la funcin On-Demand se habilita en Enforcer. Este es el comportamiento URL de redireccionamiento previsto. anterior en Symantec Endpoint Protection Manager. Por lo general, los clientes de Es un problema de tiempo de instalacin. Modifique el tiempo de espera de DHCP Vista no reciben una direccin a 12 segundos o ms. IP del servidor DHCP. Un usuario normal no puede La solucin alternativa es asegurarse de que el JRE est instalado. De lo contrario, instalar el agente si JRE (Java solamente los Administradores pueden instalarlo. Runtime Environment) no est instalado.
Solucin de problemas en el dispositivo Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
1095
Sntoma
Solucin
El servicio inalmbrico se El usuario debe reiniciar la conexin inalmbrica. desconecta cuando el cliente bajo demanda est instalado y se lo cierra cuando se usa la autenticacin 802.1x. Los sistemas que ejecutan Norton 360 v. 2.x tienen un problema al recibir el cliente. Para solucionar este problema, siga el vnculo de descarga manual para descargar e instalar el cliente.
Con Firefox, no puede La instalacin del complemento NP requiere derechos de administrador. descargar el complemente NP ni el cliente solamente con los derechos de usuario. La instalacin manual falla a veces. Para solucionar este problema, es posible que sea necesario instalar de la parche KB893803 de Microsoft. Este parche se incluye con la instalacin manual y debe instalarse antes que el cliente. Los privilegios de administracin son necesarios. El agente necesita instalar un controlador para funcionar. Si el usuario necesita la autenticacin 802.1x en Windows Vista, necesita abrir el navegador con la opcin Ejecutar como administrador o desactivar UAC para asegurarse de que el agente funcione con privilegios de administrador.
Aparece el mensaje "Se detect Es necesario eliminar el ActiveX existente haciendo clic en Herramientas > una versin anterior de Administrar complementos > Habilitar o deshabilitar complementos > Controles ActiveX" ActiveX descargados y eliminando HodaAgt class. El navegador muestra el mensaje No es posible visualizar la pgina web al usuario y el cliente no puede realizar la descarga correctamente. Es posible que el cliente todava est en ejecucin. Como funcin de seguridad, no es posible descargar un nuevo cliente en una sesin de cliente en ejecucin.
El navegador Firefox no puede Este problema sucede cuando Firefox se ejecuta primero. Los primeros reinicios de descargar el cliente a veces. Firefox son necesarios para que finalice su configuracin. Luego, debera ser posible descargar el cliente bajo demanda. Los equipos que ejecutan Mac Parece que este es un problema con esta versin de Mac OS. La versin 10.5 y OS 10.4 a veces no se posteriores no tienen el problema. La solucin alternativa para la versin 10.4 es autentican correctamente configurar el nombre de host en /etc/hostconfig/. debido a que se modifica el nombre de host.
1096
Solucin de problemas en el dispositivo Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
Sntoma
Solucin
Las comprobaciones de Esto se debe a la naturaleza transitoria de %temp%. La solucin alternativa utilizar integridad del host basadas en diferentes ubicaciones. la variable de sistema %temp% no funcionan. Las reglas personalizadas de integridad del host que se dirigen a los valores del registro de Windows no funcionan correctamente. Esto se debe a la naturaleza transitoria de las sesiones de usuario.
La instalacin de Panda Panda elimina un archivo Symantec Network Access Control muy importante. Este Titanium 2007 o Panda se reinstala automticamente y no es necesario que realice ninguna accin. Internet Security 2007 o 2008 provoca que aparezca un mensaje Espere mientras Windows configura Symantec Network Access Control. La autenticacin dot1x de El cliente On-Demand de Mac no es compatible con la autenticacin PEAP. Si su modo transparente del cliente Mac se configura para la autenticacin PEAP, es necesario deshabilitarla en las Mac a veces genera errores propiedades de conexin de red de Mac. La autenticacin dot1x de modo transparente entonces funciona correctamente. En Windows Vista, el cliente Este problema es especfico al uso de una autenticacin VSA y PEAP personalizada On-Demand no puede en Windows Vista. La solucin alternativa es usar una forma de autenticacin autenticarse correctamente al diferente. usar PEAP y una VSA personalizada
Apndice
Acerca de la implementacin y migracin del cliente Asignacin de funciones entre clientes de la versin 11.x y 12.1
Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Agregar una poltica" en la pgina 261.
1098
Implementacin del cliente y referencia de migracin Acerca de la implementacin y migracin del cliente
Enforcer
Recurso
Configuracin de los conjuntos de funciones Ver "Configuracin de funciones de paquetes para los clientes de instalacin de clientes" en la pgina 148. Implementacin de clientes en equipos de endpoint Migracin de clientes a un versin ms reciente Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152.
Cmo se asignan funciones de los clientes Ver "Asignacin de funciones entre clientes de versiones anteriores a los nuevos clientes de la versin 11.x y 12.1" en la pgina 1099.
Tabla A-2 enumera las tecnologas de proteccin recomendadas sugeridas para habilitar para los diversos equipos de endpoint basados en su rol. Tiene la oportunidad de seleccionar estas funciones cuando se crea un paquete de instalacin de clientes. Tabla A-2 Tecnologas de proteccin sugeridas por rol Tecnologas de proteccin recomendadas
Estaciones de trabajo, equipos de escritorio Proteccin completa para clientes y equipos porttiles Incluye todas las tecnologas de proteccin. Es apropiado para equipos porttiles y de escritorio, y estaciones de trabajo. Incluye proteccin integral de descarga y la proteccin del protocolo de correo. Servidores Proteccin completa para servidores Incluye todas las tecnologas de proteccin excepto la proteccin del protocolo de correo. Es apropiado para cualquier servidor que necesite seguridad de red mxima. Servidores de alta velocidad de transferencia Proteccin bsica sin sistema de proteccin contra intrusiones Proteccin bsica para servidores Incluye solamente proteccin bsica de descarga, antivirus y antispyware. Es apropiado para cualquier servidor que necesite rendimiento de red mximo.
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
1099
Tabla A-3 compara la configuracin del cliente predeterminada entre los clientes de las versiones 11.x y 12.1. Tabla A-3 Comparacin de la configuracin del cliente predeterminada Tecnologas de proteccin predeterminadas del cliente de la versin 12.1
Antivirus + SONAR + Diagnstico Insight de descargas Antivirus bsico
Antivirus bsico
Antivirus sin la proteccin contra amenazas Antivirus sin SONAR ni Diagnstico Insight de intrusin de descargas
1100
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
Tabla A-5
Tabla A-6
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
1101
Tabla A-7
Tabla A-8
1102
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
Tabla A-9
Toda la proteccin de SBE 12.0 a 12.1 (de 32 bits) Funciones de SBE 12.1 instaladas
Proteccin antivirus y antispyware
Tabla A-10
Toda la proteccin de SBE 12.0 a 12.1 (de 64 bits) Funciones de SBE 12.1 instaladas
Proteccin antivirus y antispyware
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
1103
Tabla A-11
Tabla A-12
SBE 12.0 a 12.1 sin TruScan (clientes no administrados solamente) Funciones de SBE 12.1 instaladas
Proteccin antivirus y antispyware
1104
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
Las tablas siguientes muestran cmo la configuracin del correo electrnico se asigna entre las versiones Small Business Edition del producto. En la versin 12.1 del cliente, el analizador de correo electrnico reemplaza al analizador de POP3/SMTP y al analizador de Microsoft Outlook. Tabla A-13 SBE 12.0 a 12.1 sin ningn anlisis de correo electrnico instalado en el cliente de versin anterior Funciones de SBE 12.1 instaladas
Proteccin antivirus y antispyware
Ninguno instalado
Ninguno instalado
Tabla A-14
SBE 12.0 a 12.1 con el analizador de SBE POP3/SMTP instalado en el cliente de versin anterior Funciones de SBE 12.1 instaladas
Proteccin antivirus y antispyware
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
1105
Ninguno instalado
Tabla A-15
SBE 12.0 a 12.1 con el analizador de SBE POP3/SMTP instalado en el cliente de versin anterior Funciones de SBE 12.1 instaladas
Proteccin antivirus y antispyware
1106
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
Ninguno instalado
Apndice
Instalacin del software de cliente usando herramientas de otro fabricante Acerca de las funciones y propiedades de instalacin del cliente Propiedades de la instalacin de clientes de Symantec Endpoint Protection Funciones del cliente de Symantec Endpoint Protection Parmetros de Windows Installer Propiedades del Centro de seguridad de Windows Ejemplos de lnea de comandos para instalar el cliente Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent Instalacin de clientes con Microsoft SMS 2003 Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1108
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin del software de cliente usando herramientas de otro fabricante
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin del software de cliente usando herramientas de otro fabricante
1109
Es posible configurar cmo Windows Security Center funciona con el cliente. Ver "Propiedades del Centro de seguridad de Windows" en la pgina 1117.
Es posible instalar el cliente con el componente de Symantec Integrated, el cual se instala con Symantec Endpoint Protection Manager. Ver "Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent" en la pgina 1119.
Es posible instalar el cliente usando Microsoft Systems Management Server. Ver "Instalacin de clientes con Microsoft SMS 2003" en la pgina 1119.
1110
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Acerca de las funciones y propiedades de instalacin del cliente
Herramienta
Windows 2003 Active Directory
Descripcin
Es posible usar el Objeto de directiva de grupo de Active Directory de Windows 2000/2003 si los equipos cliente ejecutan Windows 2000/2003. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Ver "Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory" en la pgina 1128.
Software de virtualizacin
Es posible instalar el cliente en entornos virtuales. Ver "Instalaciones virtuales y productos de virtualizacin admitidos" en la pgina 89.
Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Acerca de las funciones y propiedades de instalacin del cliente
1111
1112
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Acerca de las funciones y propiedades de instalacin del cliente
Nota: Las funciones se muestran con sangra para mostrar jerarqua. Las funciones no incluyen esta sangra dentro del archivo Setaid.ini. Los nombres de funciones en Setaid.ini diferencian entre maysculas y minsculas. Los valores de funciones que se configuran en 1 instalan las funciones. Los valores de funciones que se configuran en 0 no instalan las funciones. Es necesario especificar e instalar las funciones principales correctamente para instalar las funciones del cliente. Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 1113. La nica vez que Setaid.ini no se procesa es cuando se instala el software de cliente con los archivos en el disco del producto SAV. Es posible instalar estos archivos con las herramientas de distribucin de otro fabricante, como SMS/SCCM. Tenga en cuenta la siguiente configuracin adicional de setaid.ini que se asigna a las propiedades msi para la instalacin del cliente de Symantec Endpoint Protection:
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Propiedades de la instalacin de clientes de Symantec Endpoint Protection
1113
Descripcin
Determina si se debe ejecutar LiveUpdate como parte de la instalacin, donde valor corresponde a uno de los valores siguientes:
1: ejecuta LiveUpdate durante la instalacin (configuracin predeterminada). 0: no ejecuta LiveUpdate durante la instalacin.
De forma predeterminada, todos los clientes de Symantec Endpoint Protection en un grupo reciben las ltimas versiones de todo el contenido y de todas las actualizaciones del producto. Si se configura para obtener actualizaciones de un servidor de administracin, los clientes reciben solo las actualizaciones que descarga el servidor. Si la poltica de contenidos de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor de administracin no se configura para descargar todas las actualizaciones, los clientes reciben solo lo que el servidor descarga. ENABLEAUTOPROTECT Determina si Auto-Protect para el sistema de archivos est activado una vez finalizada =valor la instalacin, donde valor corresponde a uno de los valores siguientes:
1: habilita Auto-Protect despus de la instalacin (valor predeterminado). 0: deshabilita Auto-Protect despus de la instalacin.
SYMPROTECTDISABLED Determina si se debe habilitar Proteccin contra intervenciones como parte de la =valor instalacin, donde valor corresponde a uno de los valores siguientes:
1: deshabilita Proteccin contra intervenciones despus de la instalacin. 0: habilita Proteccin contra intervenciones despus de la instalacin (valor predeterminado)
1114
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Funciones del cliente de Symantec Endpoint Protection
podr utilizarse porque la funcin principal no est instalada. Por ejemplo, si especifica la instalacin de la funcin de firewall, pero no especifica la instalacin de NTPMain, el firewall no se instala. Tabla B-3 Funcin
Core
Funciones del cliente de Symantec Endpoint Protection Descripcin Funciones principales obligatorias
Instala los archivos que se usan para Ninguno las comunicaciones entre los clientes y Symantec Endpoint Protection Manager. Esta funcin es obligatoria. Instala virus, spyware y proteccin Core bsica de descarga. Las subfunciones instalan la proteccin adicional. Instala la proteccin completa para SAVMain archivos descargados. Incluye anlisis de reputacin completamente funcional por Diagnstico Insight de descargas. Instala la funcin de correo electrnico de Auto-Protect para Lotus Notes. Instala la funcin de correo electrnico de Auto-Protect para Microsoft Exchange. SAVMain
SAVMain
Descargar
NotesSnapin
OutlookSnapin
SAVMain
Pop3Smtp
Instala la proteccin de correo POP3 SAVMain y SMTP. Disponible solamente en sistemas de 32 bits. Instala los componentes de Proteccin proactiva contra amenazas. Instala la funcin de anlisis de SONAR. Instala la funcin Control de aplicaciones y Control de dispositivos. Core
PTPMain
TruScan
PTPMain
DCMain
PTPMain
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Parmetros de Windows Installer
1115
Funcin
NTPMain
Descripcin
Instala los componentes de Core Proteccin contra amenazas de red. Instala la funcin de prevencin contra intrusiones de navegador y de prevencin de intrusiones, y la red. Instala la funcin del firewall. Instala recursos en ingls. NTPMain
ITPMain
Firewall LANG1033
NTPMain Core
Descripcin
Archivo de instalacin Symantec AntiVirus.msi para el cliente de Symantec Endpoint Protection Manager. Si algn archivo .msi contiene espacios, escriba el nombre del archivo entre comillas cuando se utilice con /I y /x. Obligatorio.
Msiexec
Instala el archivo .msi especificado. Si el nombre del archivo contiene espacios, escriba el nombre entre comillas. Si el archivo .msi no est en el mismo directorio desde el que se ejecuta Msiexec, especifique el nombre de la ruta de acceso. Si el nombre de la ruta de acceso contiene espacios, escrbalo entre comillas. Por ejemplo, msiexec.exe /I C: ruta a Symantec AntiVirus .msi Obligatorio.
1116
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Parmetros de Windows Installer
Parmetro
/qn
Descripcin
Permite realizar la instalacin de forma silenciosa.
Nota: Cuando se usa una implementacin silenciosa, las aplicaciones que se conectan a
Symantec Endpoint Protection, como Microsoft Outlook y Lotus Notes, se deben reiniciar despus de la instalacin. /x "nombre de archivo Permite desinstalar los componentes especificados. msi" Opcional. /qb Permite instalar con una interfaz de usuario bsica que muestra el progreso de la instalacin. Opcional. /l*v archivo de registro Crea un archivo de registro detallado, donde archivo de registro corresponde al nombre del archivo que se quiere crear. Opcional. INSTALLDIR=ruta Permite designar una ruta personalizada en el equipo de destino, donde ruta corresponde al directorio de destino especificado. Si la ruta incluye espacios, deber escribirla entre comillas.
Force: exige que se reinicie el equipo. Necesario para la desinstalacin. Suppress: impide que se reinicie el equipo en la mayora de las ocasiones. ReallySuppress: impide todos los reinicios como parte del proceso de instalacin, incluso las instalaciones silenciosas.
Opcional.
Nota: Utilice ReallySuppress para suprimir un reinicio cuando se realiza una desinstalacin
silenciosa del cliente de Symantec Endpoint Protection.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Propiedades del Centro de seguridad de Windows
1117
Parmetro
ADDLOCAL= funcin
Descripcin
Permite seleccionar las funciones que se quieren instalar, donde funcin corresponde a un componente especfico o a una lista de componentes. Si esta propiedad no se utiliza, todas las funciones aplicables se instalan de forma predeterminada, y los clientes de correo electrnico de Auto-Protect se instalan solo para los programas de correo detectados. Para agregar todas las funciones apropiadas para las instalaciones de clientes, utilice el comando ALL como en ADDLOCAL=ALL. Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 1113.
Nota: Cuando se especifica una nueva funcin para instalar, es necesario incluir los nombres
de las funciones que ya estn instaladas y que desee guardar. Si no se especifican las funciones que se quieren conservar, Windows Installer las desinstala. Al especificar las funciones existentes, usted no sobrescribe las funciones instaladas. Para desinstalar una funcin existente, utilice el comando REMOVE. Opcional. REMOVE=funcin Desinstala un programa instalado previamente o una funcin especfica del programa instalado, donde funcin puede corresponder a uno de los siguientes elementos:
Funcin: desinstala la funcin o la lista de funciones del equipo de destino. ALL: desinstala el programa y todas las funciones instaladas. Si no se especifica otra funcin, All es el valor predeterminado.
Opcional.
0: no controlar (valor predeterminado). 1: deshabilitar una vez, la primera vez que se detecta. 2: deshabilitar siempre. 3: restaurar si est deshabilitado.
1118
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Ejemplos de lnea de comandos para instalar el cliente
Propiedad
WSCAVALERT=valor
Descripcin
Configura alertas de antivirus para WSC, donde valor corresponde a uno de los valores siguientes:
WSCFWALERT=valor
Configura alertas de firewall para WSC, donde valor corresponde a uno de los valores siguientes:
WSCAVUPTODATE=valor Configura el tiempo de desactualizacin de WSC para definiciones antivirus, donde valor corresponde a uno de los valores siguientes: 1 - 90: nmero de das (el valor predeterminado es 30). DISABLEDEFENDER=valor Determina si se deshabilita Windows Defender durante la instalacin, donde valor corresponde a uno de los valores siguientes: 1: deshabilita Windows Defender (configuracin predeterminada). 0: no deshabilita Windows Defender.
Instalar silenciosamente todos los componentes de cliente msiexec /I "SEP.msi" INSTALLDIR=C:\SFN de Symantec Endpoint Protection con las opciones REBOOT=ReallySuppress /qn /l*v c:\temp\msi.log predeterminadas en el directorio C:\SFN. Suprimir un reinicio del equipo y crear un archivo de registro detallado.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent
1119
Tarea
Lnea de comandos
Instalar silenciosamente el cliente de Symantec Endpoint msiexec /I "SEP.msi" Protection con Proteccin antivirus y antispyware y con ADDLOCAL=Core,SAVMain,EMailTools,OutlookSnapin, Proteccin contra amenazas de red. Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log Crear un archivo de registro detallado. El equipo se debe reiniciar para implementar la Proteccin contra amenazas de red.
Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent
Es posible instalar e implementar el software de cliente de Symantec en los equipos Windows mediante el software de Altiris, ahora llamado Symantec Management Agent. Symantec Endpoint Protection proporciona un componente integrado gratuito para Symantec Endpoint Protection que proporciona funcionalidades de instalacin predeterminadas, administracin de clientes integrada y elaboracin de informes de alto nivel. Symantec Management Agent permite a las organizaciones de tecnologa de la informacin administrar, proteger y proporcionar activos de TI heterogneos. Tambin admite transferencia de software, administracin de parches y muchas otras funcionalidades de administracin. El software de Altiris ayuda a alinear servicios para conducir objetivos de negocio, proporcionar niveles de seguridad adecuados para auditoras, automatizar tareas y reducir los costos y la complejidad de la administracin. Para obtener informacin sobre el componente integrado para Symantec Endpoint Protection, consulte la documentacin Tools/SEPIntegrationComponent en el disco del producto. Para obtener informacin sobre Altiris, vaya a la siguiente URL: http://www.altiris.com Para descargar el componente de integracin para Symantec Endpoint Protection u otras soluciones de Altiris, vaya a la siguiente URL: http://www.altiris.com/Download.aspx
1120
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con Microsoft SMS 2003
que utilizan SMS han instalado previamente software con SMS. Como resultado, se asume que no es necesario proporcionar informacin detallada acerca de la instalacin de software de cliente de Symantec con SMS. Nota: Este tema adems se aplica a Microsoft System Center Configuration Manager (SCCM). El software de instalacin de clientes de Symantec requiere que Microsoft Installer 3.1 se ejecute en los equipos cliente antes de la instalacin. Este software se instala automticamente (si no estaba instalado) en los equipos cliente, pero solamente cuando se implementa con un solo archivo ejecutable setup.exe. Este software no se instala automticamente si se implementa con el archivo msi. Los equipos con Windows Server 2003 con Service Pack 2 y Windows Vista incluyen Microsoft Installer 3.1 o superior. Si es necesario, primero implemente WindowsInstaller-x86.exe incluido en Symantec Endpoint Protection y el disco del producto de Symantec Network Access Control. La actualizacin a msi 3.1 adems necesita que reinicie el equipo. Nota: Esta nota se aplica a la versin 2.0 de SMS y anteriores: Si usa SMS, desactive la funcin Mostrar el icono de estado en la barra de herramientas para todas las actividades del sistema en los clientes de Monitor de programas anunciados. En ocasiones, Setup.exe podra necesitar actualizar un archivo compartido que est en uso por el Monitor de programas anunciados. Si se est usando el archivo, no se podr llevar a cabo la instalacin. Symantec recomienda que los paquetes de SMS/SCCM inicien Setup.exe en lugar del MSI directamente. Este mtodo asegura que el motor de MSI pueda realizar una actualizacin a la versin mnima recomendada y habilita el registro del instalador. Use la funcin personalizada de creacin de paquetes en SMS/SCCM para crear paquetes personalizados en lugar de la funcin del asistente de paquetes. Advertencia: Es necesario incluir un archivo Sylink.xml en los paquetes de instalacin de clientes que usted cre usando los archivos en el disco del producto. Debe incluir un archivo Sylink.xml que se crea despus de la instalacin y usar Symantec Endpoint Protection Manager. El archivo Sylink.xml identifica el servidor de administracin al cual los clientes informan. Si no incluye este archivo, el cliente est instalado como cliente no administrado. Como resultado, todos los clientes se instalan con las configuraciones predeterminadas y no se comunican con un servidor de administracin.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1121
Tabla B-7 enumera las tareas para crear y distribuir software del cliente Symantec con SMS 2003. Tabla B-7 Proceso para instalar el cliente que usa Microsoft Systems Management Server Descripcin
Cree un paquete de instalacin de software con Symantec Endpoint Protection Manager que contenga el software y las polticas para instalar en sus equipos cliente. Adems, este paquete de instalacin de software debe contener un archivo denominado Sylink.xml, que identifica el servidor que administra los clientes. Cree un directorio de origen y copie los archivos de instalacin de clientes de Symantec en ese directorio. Por ejemplo, se creara un directorio de origen que contiene los archivos de instalacin para el software de cliente de Symantec. Cree un paquete, asgnele un nombre e identifique el directorio de origen como parte del paquete. Configure el cuadro de dilogo Programa para el paquete a fin de especificar el ejecutable que inicia el proceso de instalacin y especifique el msi con parmetros. Distribuya el software en colecciones especficas con anuncios.
Paso
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
Para obtener ms informacin sobre cmo usar SMS/SCCM, consulte la documentacin de Microsoft apropiada para su versin.
1122
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
Por motivos de seguridad, los objetos de poltica de grupo de Windows no permiten el inicio del archivo ejecutable WindowsInstaller*.exe desde los archivos de instalacin. Por lo tanto, antes de instalar el software de cliente de Symantec, es necesario ejecutar este archivo en los equipos que no contienen y no ejecutan Windows Installer 3.1. Es posible ejecutar este archivo con un script de inicio del equipo. Si usa un objeto de polticas de grupo como mtodo de instalacin, es necesario decidir cmo actualizar los equipos cliente que no ejecutan Windows Installer 3.1. La instalacin de clientes de Symantec utiliza los archivos .msi estndar de Windows Installer. Como resultado, es posible personalizar la instalacin del cliente con las propiedades .msi Ver "Acerca de la configuracin de cadenas de comando de MSI" en la pgina 1111. Finalmente, confirme que el servidor DNS est instalado correctamente. Es necesario usar el programa de instalacin correcto, ya que Active Directory confa en su servidor DNS para la comunicacin del equipo. Para probar el programa de instalacin, puede establecer una comunicacin ping con el equipo de Windows Active Directory y, despus, establecer una comunicacin ping en la direccin opuesta. Utilice el nombre de dominio completo. Utilizar el nombre del equipo solamente no requiere nuevas operaciones de bsqueda DNS. Utilice el siguiente formato:
ping nombreequipo.nombredominiocompleto.com
Tabla B-8
Pasos para instalar el software de cliente usando un Objeto de polticas de grupo de Active Directory Accin
Crear la imagen de instalacin administrativa. Ver "Crear la imagen de instalacin administrativa" en la pgina 1123.
Paso
Paso 1
Paso 2
Copiar Sylink.xml a los archivos de instalacin. Ver " Copia de un archivo Sylink.xml a los archivos de instalacin" en la pgina 1127.
Paso 3
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1123
Paso
Paso 4
Accin
Crear una distribucin de software de objeto de polticas de grupo. Es necesario tambin probar la instalacin de GPO con una pequea cantidad de equipos antes de implementarlo en los equipos de produccin. Si el DNS no se configura correctamente, las instalaciones de GPO pueden tardar una hora o ms. Ver "Crear una distribucin de software de objeto de poltica de grupo" en la pgina 1124.
Paso 5
Crear un script de inicio de Windows Installer 3.1. Ver "Crear un script de inicio de Windows Installer 3.1" en la pgina 1125.
Paso 6
Agregar equipos a la unidad organizativa. Ver "Adicin de equipos a la unidad organizativa y el software de instalacin" en la pgina 1127.
Ver "Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory" en la pgina 1128.
1 2 3 4 5
Copie los contenidos del disco del producto en el equipo. Desde una lnea de comandos, vaya a la carpeta SEP y escriba msiexec /a
"SEP.msi"
En el panel de bienvenida, haga clic en Siguiente. En el panel Ubicacin de red, especifique la ubicacin donde desea crear la imagen de instalacin administrativa y, a continuacin, haga clic en Instalar. Haga clic en Finalizar.
1124
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Administracin de polticas de grupo. En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola, haga clic con el botn secundario en el dominio y despus haga clic en Usuarios y equipos de Active Directory. En la ventana Usuarios y equipos de Active Directory, haga clic con el botn secundario en Dominio y despus haga clic en Nueva > Unidad organizativa. En el cuadro de dilogo Nuevo objeto, en el cuadro Nombre, escriba un nombre para su unidad organizativa y haga clic en Aceptar. En la ventana Usuarios y equipos de Active Directory, haga clic en Archivo > Salir. En la ventana Administracin de polticas de grupo, en el rbol de la consola, haga clic con el botn secundario en la unidad organizativa que usted cre y despus haga clic en Crear y vincular un GPO aqu. Puede ser necesario actualizar el dominio para ver su nueva unidad organizativa.
3 4 5 6
7 8
En el cuadro de dilogo Nuevo GPO, en el cuadro Nombre, escriba un nombre para su GPO y haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en el GPO que usted cre y despus haga clic en Editar.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1125
En la ventana Editor de objetos de poltica de grupo, en el panel izquierdo, en Configuracin del equipo, ample Configuracin de software. haga clic en Nuevo > Paquete.
10 Haga clic con el botn secundario en Instalacin de software y, a continuacin, 11 En el cuadro de dilogo Abrir, escriba la ruta de convencin de nomenclatura
universal (UNC) que hace referencia al paquete de MSI y lo contiene. Utilice el formato segn el ejemplo siguiente:
\\nombre de servidor\SharedDir\Symantec AntiVirus.msi
12 Haga clic en Abrir. 13 En el cuadro de dilogo Implementar software, haga clic en Asignado y
despus haga clic en Aceptar. El paquete aparece en el panel derecho de la ventana Editor de objetos de poltica de grupo si usted selecciona Instalacin de software. Para configurar plantillas para el paquete
En la ventana Editor de objetos de poltica de grupo, en el rbol de la consola, muestre y habilite las opciones siguientes:
Configuracin del equipo > Plantillas administrativas > Sistema > Inicio de sesin > Esperar siempre la deteccin de red al inicio del equipo y de sesin Configuracin del equipo > Plantillas administrativas > Sistema > Poltica de grupo > Procesamiento de polticas de instalacin de software Configuracin de usuario > Plantillas administrativas > Componentes de Windows > Windows Installer > Instalar siempre con privilegios elevados
2 3
Cierre la ventana del Editor de objetos de poltica de grupo. En la ventana Administracin de polticas de grupo, en el panel izquierdo, haga clic con el botn secundario en el objeto de poltica de grupo que usted edit y despus haga clic en Forzado. En el panel derecho, bajo Filtrado de seguridad, haga clic en Agregar. En el cuadro de dilogo, bajo Escriba el nombre de objeto a seleccionar, escriba Equipos del dominio y haga clic en Aceptar.
4 5
1126
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
Installer 3.1 es obligatorio para el paquete de instalacin GPO. Usted puede elegir la forma en que se instale Windows Installer 3.1 en los equipos. Nota: Los usuarios restringidos no pueden ejecutar Windows Installer 3.1, y los usuarios restringidos con privilegios elevados no pueden ejecutar Windows Installer 3.1. Los usuarios restringidos se configuran con la poltica de seguridad local. Una forma de instalar Windows Installer 3.1 es con un script de inicio del equipo de GPO. Los scripts de inicio se ejecutan antes que los archivos de instalacin .msi de GPO cuando los equipos se reinician. Si se utiliza este enfoque, tenga en cuenta que el script de inicio ejecuta y reinstala Windows Installer cada vez que se reinicia el equipo. Si lo instala en modo silencioso, sin embargo, los usuarios experimentan un retraso leve antes de ver la pantalla de inicio de sesin. El software de cliente de Symantec se instala solamente una vez con un GPO. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para instalar Windows Installer 3.1
En la ventana Administracin de polticas de grupo, en el rbol de la consola, ample su unidad organizativa, haga clic con el botn secundario en su paquete y despus haga clic en Editar. En la ventana Editor de objetos de poltica de grupo, en el rbol de la consola, expanda Configuracin del equipo > Configuracin de Windows y despus haga clic en Scripts (Inicio/Cierre). En el panel derecho, haga doble clic en Inicio. En el cuadro de dilogo Propiedades de inicio, haga clic en Mostrar archivos. En una nueva ventana, copie el archivo WindowsInstaller-893803-x86.exe de la carpeta GPO del archivo de instalacin a la carpeta y la ventana de Inicio. Vuelva a abrir el cuadro de dilogo Propiedades de inicio y haga clic en Agregar. En el cuadro de dilogo Agregar un script, haga clic en Examinar. En el cuadro de dilogo Examinar, seleccione el archivo ejecutable de Windows Installer y despus haga clic en Abrir. En el cuadro de dilogo Agregar un script, en el cuadro Parmetros de script, escriba /quiet /norestart y haga clic en Aceptar.
3 4 5 6 7 8 9
10 En el cuadro de dilogo Propiedades de inicio, haga clic en Aceptar. 11 Salga de la ventana del administrador de objetos de poltica de grupo.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1127
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Usuarios y equipos de Active Directory. En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola, localice uno o ms equipos para agregarlos a la unidad organizativa que usted cre para la instalacin de GPO. Los equipos primero aparecen en la unidad organizativa de los equipos.
3 4 5 6
Arrastre los equipos y sultelos en la unidad organizativa que cre para la instalacin. Cierre la ventana Usuarios y equipos de Active Directory. Para aplicar rpidamente los cambios a los equipos cliente (para la prueba), abra una lnea de comandos en los equipos cliente. Escriba uno de los siguientes comandos y presione Intro.
En los equipos con Windows 2000, escriba secedit /refreshpolicy machine_policy. En los equipos con Windows XP o superior, escriba gpupdate.
1128
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
antes de copiar el archivo. Si no lo hace, el archivo Sylink.xml provoca que los clientes aparezcan en grupo predeterminado. Nota: Los paquetes que se exportan con la consola de Symantec Endpoint Protection Manager incluyen un archivo Sylink.xml. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para copiar el archivo Sylink.xml a los archivos de instalacin
1 2
Si no lo ha hecho, instale Symantec Endpoint Protection Manager. Localice un archivo Sylink.xml en una de las carpetas de la bandeja de salida. De forma predeterminada, estas carpetas se encuentran en \\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\uid\, donde uid representa un nombre nico para la carpeta del paquete, como 8F171749C0A85C820163FBAA230DBF18. Es posible que deba abrir y leer los archivos Sylink.xml en las diversas carpetas uid con un programa de edicin de texto para encontrar el archivo que desea.
3 4
Si es necesario, copie Sylink.xml en soportes extrables. Copie Sylink.xml usando uno de los siguientes mtodos:
Si cre una imagen administrativa del archivo de instalacin, sobrescriba el archivo Sylink.xml en la carpeta \directorio_instalacin\Archivos de programa\Symantec Endpoint Protection Manager\. Si no cre una imagen administrativa del archivo de instalacin, copie la carpeta SEPT del disco del producto a una carpeta en su equipo. A continuacin, para crear un cliente administrado, copie el archivo Sylink.xml en esa carpeta de destino.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
1129
Para desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Administracin de polticas de grupo. La versin de Windows que se usa puede mostrar Todos los programas en vez de Programas, en el men Inicio.
En la ventana Administracin de polticas de grupo, en el rbol de la consola, expanda el dominio, expanda Configuracin del equipo, expanda Configuracin de software, haga clic con el botn secundario en Instalacin de software y despus haga clic en Propiedades. En la ficha Avanzadas, seleccione Desinstalar esta aplicacin cuando est fuera del mbito de administracin y despus haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en el paquete de software y despus haga clic en Quitar. En el cuadro de dilogo Quitar software, marque Desinstalar inmediatamente el software de usuarios y equipos y despus haga clic en Aceptar. Cierre la ventana Editor de objetos de poltica de grupo y despus cierre la ventana Administracin de polticas de grupo. El software se desinstala cuando se reinician los equipos cliente.
3 4 5 6
1130
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
Apndice
Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer Jerarqua de comandos de la CLI Movimiento hacia arriba y hacia abajo en la jerarqua de comandos Accesos directos de pulsaciones del teclado de la CLI del dispositivo Enforcer Obtener ayuda con los comandos de la CLI Comandos de nivel superior
1132
Jerarqua de comandos de la CLI del dispositivo Enforcer Comandos del primer subnivel Comandos del segundo subnivel
Los comandos clear, exit, help y show solamente No disponible. estn disponibles con el inicio de sesin de administrador y root (superuser). Es posible usar los comandos siguientes del subnivel:
clear compress exit filter help show start upload verbose No disponible.
clear
No disponible.
1133
Los comandos clear, exit, help y show solamente Solamente el estn disponibles con el inicio de sesin de comando advanced administrador y root (superuser). tiene un conjunto de comandos de Es posible usar los comandos siguientes del subnivel. subnivel:
advanced clear dns exit help interface interface-role ntp redirect route show spm No disponible.
console
baud-rate, clear, exit, help, show, ssh y sshkey Los comandos clear, exit, help y show estn disponibles con el inicio de sesin de administrador y root (superuser).
date
No disponible.
debug
clear, exit, destination, help, level, show y upload No disponible. Los comandos clear, exit, help y show estn disponibles con el inicio de sesin de administrador y root (superuser).
1134
Los comandos clear, exit, help y show solamente No disponible. estn disponibles con el inicio de sesin de administrador y root (superuser).
clear database disable enable exit help ldap show clear exit help refresh show All o IP direccin ip.
monitor
on-demand
Los comandos clear, exit, help y show solamente Vea cada comando estn disponibles con el inicio de sesin de para obtener administrador y root (superuser). informacin acerca de los autenticacin comandos de banner segundo subnivel. clear Por ejemplo, client-group persistence disable duration days 10 configura la dot1x duracin de la enable persistencia en 10 exit das. help
password ping
No disponible. No disponible.
Interfaz de lnea de comandos del dispositivo Enforcer Movimiento hacia arriba y hacia abajo en la jerarqua de comandos
1135
disable enable heartbeat receiver show trap exit clear help No disponible. No disponible. No disponible. No disponible.
1136
Interfaz de lnea de comandos del dispositivo Enforcer Accesos directos de pulsaciones del teclado de la CLI del dispositivo Enforcer
Si escribe solamente el comando que da acceso a un grupo de comandos y presiona Intro, la indicacin siguiente muestra el grupo de comandos entre parntesis. Por ejemplo:
Enforcer# capture Enforcer(capture)#
Si desea subir en la jerarqua y acceder a comandos fuera del grupo, debe primero salir del grupo de comandos.
Enforcer(capture)# exit Enforcer#
Accin
Si presiona la tecla de tabulacin o escribe ?, puede hacer lo siguiente:
Enumera todos los comandos o todas las opciones disponibles. Completa el comando o el nombre de la opcin. Detalla todos los comandos o las opciones posibles que se inician con las letras que escribe.
Ver "Obtener ayuda con los comandos de la CLI" en la pgina 1137. CTRL+D CTRL+C Sale de un grupo de comandos. Borra todos los caracteres de la lnea de comandos.
Interfaz de lnea de comandos del dispositivo Enforcer Obtener ayuda con los comandos de la CLI
1137
Accin
Enumera los comandos del bfer de historial. Los comandos que se escriben se almacenan en un bfer de historial de 16 k. Los comandos se ponen en un ndice que comienza por 1. Cuando se desborda el bfer, se sustituye el comando ms antiguo y los nmeros de ndice cambian, de modo que el comando ms antiguo tenga siempre el ndice 1. El comando ! enumera todos los comandos en el bfer de historial. Si escribe un nmero despus de !, la consola de Enforcer restaura el comando que tiene ese nmero. El comando no se ejecuta hasta que usted presione Intro. Lo que sigue es un ejemplo: Enforcer# ! 1. con 2. configure 3. ping 192.168.0.1 4. traceroute 192.168.0.16 Enforcer# !3 Enforcer# ping 192.168.0.1
Tecla de flecha arriba Tecla de flecha abajo Tecla de flecha izquierda Tecla de flecha derecha Teclas Inicio y Fin Tecla Retroceso Tecla Suprimir
Restaura los comandos del bfer de historial desplazndose hacia arriba y hacia abajo por el ndice. Mueve el cursor un carcter hacia la izquierda o hacia la derecha.
Mueve el cursor al principio o al final de la lnea de comandos. Elimina un carcter en la lnea de comandos que est a la izquierda del cursor. Elimina un carcter en el cual se encuentra el cursor.
1138
Interfaz de lnea de comandos del dispositivo Enforcer Obtener ayuda con los comandos de la CLI
Accin
En la lnea de comandos, presione Tabulador o ? Se enumeran todos los comandos disponibles en el nivel actual de la jerarqua. Ejemplo: Una vez que escribi el comando configure y presion Intro para acceder al grupo del comandos configure, presione la tecla de tabulacin o ? para visualizar todos los comandos configure disponibles.
Visualizar una breve descripcin En la lnea de comandos, escriba Help seguido por el nombre de comando. (El de un comando especfico. comando debe estar disponible en el nivel actual de la jerarqua). Completar el nombre del Escriba una o ms letras que comiencen el nombre de comando y presione comando o enumerar todos los Tabulador o ?. comandos posibles que Por ejemplo: comiencen con las letras escritas Cuando se escribe "co" y despus se presiona Tabulador o ? en la lnea de comandos principal, la consola de Enforcer enumera todos los comandos disponibles que comienzan con "co". Como se muestra en el ejemplo siguiente, dos comandos comienzan con "con". Por lo tanto, la consola de Enforcer completa la letra N. Ejemplo: Enforcer# co? configure console Configure Enforcer setting Console setting
Enforcer# con
Visualizar todas las opciones Escriba el comando y presione Tabulador o ? para un comando especfico, Por ejemplo: junto con una breve descripcin Si est en el grupo de comandos configure y desea visualizar las opciones para de cada opcin el comando interface, escriba interface y presione la tecla de tabulacin o ?. Ejemplo: Enforcer(configure)# interface? Se muestra cada opcin de interfaz con una descripcin abreviada.
1139
Qu desea hacer?
Accin
Completar el nombre de la opcin Una vez que escribi el nombre de la opcin, escriba una o ms letras que o enumerar todas las opciones comiencen el nombre de la opcin y presione Tabulador o ?. disponibles que comiencen con Por ejemplo: las letras escritas Si escribe el comando capture show, seguido por la letra f, la consola de Enforcer enumera las dos opciones que comienzan con la letra F. Porque ambas comienzan con las letras "fil", la consola completa con "il". Por ejemplo: Enforcer# files filter filter capture show f? Display packet capture files Display current packet capture
Clear
El comando clear borra el contenido de la pantalla. Lo que sigue es un ejemplo de la sintaxis:
Enforcer# clear
Date
El comando date configura la hora del sistema o la zona horaria para el dispositivo. Lo que sigue es un ejemplo de la sintaxis:
date {da <MM/DD/YY> | hora <HH:MM:SS> | zona horaria}
1140
Exit
El comando exit cierra la consola cuando se utiliza como comando principal, o sale de un grupo de comandos cuando se utiliza dentro de un grupo de comandos. Es posible tambin utilizar Ctrl+D en vez del comando exit. Lo que sigue es un ejemplo de la sintaxis:
Enforcer# exit
Ayuda
El comando help muestra informacin de ayuda para un comando especificado. Si desea visualizar la ayuda para todos los comandos disponibles, escriba un signo de interrogacin (?) o presione la tecla de tabulacin. Nota: Algunos comandos son especficos solamente de Gateway Enforcer. Estos comandos no aparecen en los otros dispositivos Enforcer. Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos principal:
help {capture | clear | configure | console | date | debug | exit | hostname| mab | monitor| on-demand | password | ping | reboot | show | shutdown | start | stop | traceroute | update | snmp}
Cuando se utiliza el comando help dentro de un grupo de comandos, se visualiza la informacin de ayuda para un comando individual del grupo. Para mostrar la ayuda para todos los comandos en el grupo, se puede escribir ? o presionar la tecla Tab. Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos capture:
help {clear | compress | exit | filter | show | start | verbose | ymodem | upload}
1141
Nombre de host
El comando hostname modifica el nombre de host del dispositivo Enforcer. El nombre de host predeterminado es Enforcer. Si cambia el nombre de un dispositivo Enforcer, se puede distinguir entre varios dispositivos Enforcer en Symantec Endpoint Protection Manager y en los registros de Enforcer. El nombre del host se registra automticamente en Symantec Endpoint Protection Manager durante el latido siguiente. Si modifica el nombre de host de un dispositivo Enforcer, es posible que tambin sea necesario modificar la entrada en el servidor DNS. Lo que sigue es un ejemplo de la sintaxis para el comando hostname:
hostname hostname
Password
El comando password modifica la contrasea de la cuenta. Es necesario confirmar la contrasea existente antes de especificar y confirmar la nueva contrasea. La nueva contrasea debe contener una letra minscula, una letra mayscula, un dgito y un smbolo. Lo que sigue es un ejemplo de la sintaxis para el comando password:
password
1142
Ping
El comando ping verifica las conexiones a un host remoto que se han especificado con una direccin IP o un nombre de host. El comando utiliza paquetes de solicitud de eco ICMP y de respuesta de eco para determinar si un sistema determinado de IP en una red es funcional. Es posible utilizar el comando ping para diagnosticar incidentes de red IP o de router. El comando ping le permite comprobar si un dispositivo Enforcer puede comunicarse con Symantec Endpoint Protection Manager. Lo que sigue es un ejemplo de la sintaxis para el comando ping:
ping ip-address | hostname
Ejemplo
ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=0.585 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.149 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.131 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.128 ms --- 192.168.0.1 ping statistics --4 packets transmitted, 4 received, 0% packet loss, time 57ms rtt min/avg/max/mdev = 0.128/0.248/0.585/0.194 ms, pipe 2, ipg/ewma 19.043/0.436 ms
Reboot
El comando reboot reinicia el dispositivo Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando reboot:
reboot
Shutdown
El comando shutdown apaga el dispositivo Enforcer.
1143
Show
El comando show muestra informacin sobre la configuracin o el estado del dispositivo Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando show:
show { capture | configure | console | date | debug | hostname| status | update | version }
donde:
capture Muestra la configuracin del paquete de captura, como el protocolo, los filtros y la compresin. Muestra la red de Enforcer y la configuracin de Symantec Endpoint Protection Manager. Muestra la configuracin de la consola. Muestra el estado detallado del servicio de Enforcer. Muestra la actualizacin disponible para la instalacin desde tftp, DVD-ROM o unidad USB. Muestra la versin de Enforcer y la informacin de copyright. Muestra la hora local y la hora UTC. Muestra la configuracin de depuracin de Enforcer. Muestra nombre de host del dispositivo.
configure
1144
0 days 00:00:28
Start
El comando start inicia el servicio de Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando start:
Enforcer# start
Stop
El comando stop detiene el servicio de Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando stop:
Enforcer# Stop
Traceroute
El comando traceroute localiza la ruta que los paquetes toman para llegar a un host remoto. El host remoto se ha especificado con una direccin IP o un nombre de host. Lo que sigue es un ejemplo de la sintaxis para el comando traceroute:
traceroute [ direccin_ip | nombre_de_host ]
Ejemplo
traceroute 10.50.0.180 traceroute to 10.50.0.180 (10.50.0.180), 30 hops max, 38-byte packets 1 192.168.0.1 (192.168.0.1) 0.391 ms 0.132 ms 0.111 ms 2 10.50.2.1 (10.50.2.1) 0.838 ms 0.596 ms 0.589 ms 3 oldserver1.sygate.dev (10.50.0.180) 1.170 ms 0.363 ms 0.469 ms
Update
El comando update actualiza el paquete de software de Enforcer desde un servidor TFTP o desde el CD-ROM o la unidad USB. Lo que sigue es un ejemplo de la sintaxis para el comando update:
1145
Enforcer:# update
1146
ndice
Smbolos
802.1x autenticacin 937 configuracin del conmutador 926 configurar la autenticacin 940 puntos de acceso inalmbricos 889 suplicante 1090
A
Acceso remoto 819 acciones analizar detecciones 366 Activadores adaptador de red 433 host 428 servicio de red 431 activadores aplicacin 422 Activadores de hosts reglas de firewall 428 activadores de la aplicacin reglas de firewall 422 Actualizacin cliente 170 Adaptadores. Ver adaptadores de red Adaptadores de red activadores 433 adicin a una regla 449 adaptadores de red adicin a la lista predeterminada 434 adicin un administrador 655 Administracin de Enforcer configuracin del cliente 952 Conmutacin por error 946 conmutacin por error de Gateway 946 consola 947 crear un grupo 946 eliminar Enforcer 949 exportacin de la configuracin del grupo 950 importacin de la configuracin del grupo 950
modificar un nombre de grupo 946 mostrar la informacin 948 nombre del grupo 945 restriccin de interrupciones del cliente 953 Administrador acerca de 651 adicin 655 bloquear cuenta despus de inicio de sesin fallido 668 cambiar el tipo de 659 cambiar la contrasea 664 cambiar nombre 655 configurar la autenticacin 660 derechos de acceso 656 tipos de 651 Administrador del dominio 651 Administrador del sistema acerca de 651 Administrador limitado acerca de 651 configurar derechos de acceso 658 Administradores redundantes 1089 Administrar dominios 646 administrar anlisis de amenazas proactivos de TruScan 389 Agregar un grupo 199 mbito DHCP creacin de excepciones 987 amenazas combinadas 302 Amenazas combinadas 302 Anlisis 361, 389. Ver TruScan acerca de 296 administracin 293 configuracin variada 362 detenido 369 ejecucin manual 318 eventos del registro de riesgos 362 interrumpido 369 opciones de progreso del anlisis 369
1148
ndice
personalizar definidos por el administrador 357 pospuesto 369 Anlisis activos cundo ejecutarlos 296 Anlisis completos cundo ejecutarlos 296 anlisis de amenazas proactivo. Ver Anlisis de amenazas proactivos TruScan Anlisis de amenazas proactivos TruScan comparacin con SONAR 379 Anlisis definido por el administrador personalizacin 357 anlisis definidos por el administrador 350, 352 Ver tambin Anlisis manuales Ver tambin Anlisis programados en equipos Mac 352 en equipos Windows 350 Anlisis manuales ejecucin 318 opciones de progreso del anlisis 369 Anlisis programados agregar a una poltica 316317 clientes Mac 317 guardar como plantilla 316317 opciones cuando no se realizan 316 opciones de progreso del anlisis 369 Analizar Registros 621 Antispyware. Ver proteccin antispyware Antivirus. Ver proteccin contra virus software 1088 Apache registro 1066 API de aplicacin universal 800 Aplicacin usar una excepcin para detectar 526 uso de excepcin para permitir o bloquear 526 Aplicacin de polticas 1091 Aplicaciones bsqueda 281 opciones en requisitos de integridad del host 781 reparacin para la integridad del host 773 supervisin de aplicaciones de red 425 aplicaciones 423 Ver tambin Aplicaciones reconocidas adicin a una regla 423 bsqueda 423 definicin 423 Aplicaciones engaosas 303
Aplicaciones reconocidas 423 Ver tambin aplicaciones acerca de 277 activacin 279 bsqueda 281 guardado de resultados de la bsqueda 283 lista 423 Archivo de almacn de claves JKS 682 Archivo del almacn de claves PKCS12 683 Archivos opciones en requisitos de integridad del host 781 registros de Enforcer 957 reparacin para la integridad del host 773 uso compartido 446 archivos de definiciones configurar acciones ante nuevas definiciones 344 Archivos de registro depuracin 1093 Arquitectura de red 81 Ataques bloqueo 409 auditora registro 619 Autenticacin 749, 864 comandos 1089 dispositivo Gateway Enforcer 744, 846, 875 dispositivo LAN Enforcer 934 error 854 Integrated Enforcer 996, 998 Integrated Enforcer para servidores DHCP de Microsoft 959 local 994 Poltica de conmutador 931 proceso 743 para el cliente 743 punto a punto 414 reautenticacin 922, 940 y clientes no autenticados 855, 1001 y clientes que no utilizan Windows 857, 1002 y hosts de confianza 994 y reautenticacin 855 autenticacin Certificado 682 comandos 1089 configuracin del intervalo 861 configurar para administradores 660 e Integrated Enforcer 974 intervalo de confianza 861
ndice
1149
proceso Gateway Enforcer 850 tipos de 741 Autenticacin local 994 comando 1089 habilitar en el dispositivo Gateway Enforcer 875 habilitar en el dispositivo LAN Enforcer 934 habilitar en Integrated Enforcer 996 Autenticacin punto a punto 414 Autenticacin SecurID especificar para un administrador 663 autenticacin SecurID configurar en el servidor de administracin 661 Auto-Protect Diagnstico Insight de descargas 212 habilitar o deshabilitar 212 para el sistema de archivos habilitacin 215 personalizar para equipos Mac 355 personalizar para los anlisis de correo electrnico 356 personalizar para los clientes Windows 353 Auto-Protect para el sistema de archivos. Ver Auto-Protect AutoUpgrade cliente 169
Bloquear el trfico reglas de firewall 439 Bloqueo clientes de grupos 201 equipos atacantes 409 Bloqueo del sistema 498 acerca de 475 ejecutar en modo prueba 506 Bots 302 Bots de Internet 302 Buscar grupos, usuarios y equipos 210 Buscar aplicaciones requisitos personalizados 782 Bsqueda de Insight dependencias de funciones 332 Bsqueda DNS 407
C
Clculo aleatorio descargas de contenido 563565 cambio de contrasea Administrador 664 Centro de seguridad de Windows 362, 371 Certificado Archivo de almacn de claves JKS 682 archivo de claves privadas y certificado (formato DER y PEM) 683 Archivo del almacn de claves PKCS12 683 digital 682 servidor 682 update 683 Cifrado contrasea 920 Symantec Integrated NAP Enforcer 1019 cifrado 682 contrasea 974 Cliente 183, 742 Ver tambin Replicacin actualizaciones herramientas de distribucin de otro fabricante 584 Intelligent Updater 583 autenticacin 851, 959, 974, 1001 cumplimiento 959, 974 desinstalacin 102 en cuarentena 744, 959, 974 implementacin 138 inalmbrico 889
B
Balanceo de carga definicin 720 bandeja de entrada de la aplicacin de correo electrnico exclusin para 308 Base de datos cambio de los parmetros de tiempo de espera 1081 copia de seguridad 729 errores 1081 errores CGI 1082 errores de proceso terminados 1082 mantenimiento 703 restaurar 1058 base de datos copia de seguridad 707 Bases de datos Disponibilidad 720 Bloodhound modificacin de la configuracin 361
1150
ndice
Interfaz de usuario acceso a 221 Configurar 223, 226 mensajes cuando se bloquea 951 proteccin mediante contrasea 230 reglas 417 replicacin de paquetes 183 Symantec Network Access Control 959 Cliente de aplicacin de Symantec 944 Cliente de una versin anterior conectar al dispositivo Gateway Enforcer 875 conectar al dispositivo LAN Enforcer 934 Cliente On-Demand 754 Cliente que no utiliza Windows dispositivo Gateway Enforcer 827 Clientes deshabilitar proteccin de 211 clientes de Symantec Endpoint Protection funciones de msi 1113 propiedades de Msi 1113 Clientes de una versin anterior 570 Clientes no administrados distribucin de actualizaciones con herramientas de otro fabricante 587 Clientes remotos supervisar 252 Comando capture 1132 Comando clear 1132 comando clear 1139 Comando configure 1132 autenticacin local avanzada 1089 spm 818 comando date 1139 Comando debug 1132 Comando exit 1132 comando exit 1140 Comando help 1132, 1140 Comando hostname 1132, 1141 Comando monitor 1132 Comando on-demand authentication 1045 disable 1049 enable 1048 Comando on-demand authentication ad 1047 ad domain 1047 disable 1047 enable 1048 Comando on-demand authentication local-db add 1051 disable 1051
enable 1051 Comando password 1132 comando password 1141 Comando ping 1132, 1142 Comando reboot 1132 comando reboot 1142 Comando show 1132, 1143 capture 1143 configure 1143 console 1143 status 1143 update 1143 version 1143 Comando shutdown 1132 comando shutdown 1142 Comando spm 818 Comando start 1132 comando start 1144 Comando stop 1132 comando stop 1144 Comando traceroute 1132 comando traceroute 1144 Comando update 1132, 1144 Comandos ejecutar de registros 215 ejecutar en clientes desde la consola 215 Comandos on-demand authentication local-db 1050 Compartir archivos e impresoras 446 Componentes producto 76 Comprobacin del nmero de serie de las polticas 1003 Comprobaciones de integridad del host cambio de polticas 769 configuracin 769 e Integrated Enforcer 998 forzar la aprobacin 770 notificaciones 771 registro de detalles 771 Comprobar el nmero de serie de las polticas y Gateway Enforcer 858 Comunicacin problemas con el servidor y la consola o la base de datos 1072 problemas entre el cliente y el servidor 1062 Condiciones del sistema operativo requisitos de integridad del host 782 Conectividad comunicacin entre el cliente y el servidor 1062
ndice
1151
establecer una comunicacin ping para probar 1068 usar un navegador para probar 1068 verificar la comunicacin con la base de datos 1073 conectores Dispositivo Enforcer 803 Conexin del cliente. Ver estado icono de estado 205 Configuracin firewall 402, 411 lista de distribuidores de confianza 983 mscara de subred segura en Integrated Enforcer para servidores DHCP de Microsoft 986 Proteccin contra amenazas de red 408 Configuracin de ocultacin 411 Enmascaramiento de huella digital del sistema operativo 411 Nueva secuencia TCP 411 Configuracin del servidor exportacin e importacin 682 Configuracin del servidor XML 682 Configuracin global de anlisis 361 Configurar clientes bajo demanda 1037 conexin entre el dispositivo Enforcer y Symantec Endpoint Protection Manager 816 configuracin de autenticacin de Integrated Enforcer 996 Cuarentena automtica 979 Dispositivo Enforcer 806 dispositivo Gateway Enforcer en la consola 838 dispositivo LAN Enforcer en la consola del dispositivo 888 grupos de Enforcer 991 Integrated Enforcer para Microsoft Access Protection 1016 Integrated Enforcer para Microsoft Network Access Protection 1024 Integrated Enforcer para servidores DHCP de Microsoft 990 mscara de subred segura en Integrated Enforcer para servidores DHCP de Microsoft 987 polticas de integridad del host 758 puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer 889 registros de Enforcer 954 servidor RADIUS en un dispositivo LAN Enforcer 888
Conmutacin por error definicin 720 Dispositivo Gateway Enforcer 825 dispositivo Gateway Enforcer 830 conmutacin por error Dispositivo LAN Enforcer 883 Conmutacin por error y balanceo de carga Configurar 722 conmutador VLAN dispositivo LAN Enforcer 905 y LAN Enforcer 894 Consola acerca de 107 tiempo de espera 106 visualizar informacin de Enforcer 948 Consola de administracin. Ver consola registros de Enforcer 956 Consola de Enforcer Administracin de Enforcer 944 comandos 1132 comandos console 1132 informacin sobre 947 pgina Servidores 945 consolas remotas concesin del acceso 689 Consultas de DNS de acuerdo con la ubicacin 431 Contenido acerca de almacenar revisiones 551 administrar actualizaciones 534 clculo aleatorio 563 cmo los clientes reciben actualizaciones 542 revisiones que no son la ltima versin 561 Contrasea 758 cifrado 920 predeterminada 806 proteccin cliente 953 DispositivosEnforcer 953 reemplazo 806 restablecer 666 Control de admisin de red de Cisco 800 Control de aplicaciones acerca de 475 agregar reglas 491 configuracin 479 conjuntos de reglas predeterminados 482 crear reglas personalizadas 483 crear un conjunto de reglas personalizadas 491
1152
ndice
crear una excepcin para 528 prcticas recomendadas 485 prueba 496 reglas para las aplicaciones especficas 493 reglas personalizadas 495 reglas tpicas 487 Control de aplicaciones y dispositivos Registros 619 control de clientes 224 Control de dispositivos acerca de 475 configuracin 479 configurar 513 lista de dispositivos de hardware 510 control de servidores 224 control mixto 225 acerca de 222 configuracin de opciones de proteccin contra amenazas de red 408 controles Dispositivo Enforcer 803 Crear imgenes Dispositivo Enforcer 812 Credenciales clientes On-Demand 749 para la autenticacin de LAN Enforcer 745 Cuarentena administracin 338 borrar archivos 344 carpeta local 341 e Integrated Enforcer 998 Integrated Enforcer para servidores DHCP de Microsoft 959 opciones de limpieza 342 cuarentena e Integrated Enforcer 974, 979 Cuarentena automtica Configurar 979 Cuenta de administrador acerca de 650 habilitar contrasea olvidada 665 cumplimiento Informe 953 Registros 620
D
Datos de reputacin 331 Datos del cliente buscar 210
Declaracin de condicin IF 792 Definiciones actualizacin 534 Definiciones de virus 758 actualizacin 534 Delta acerca de 170 dependencias de funciones 332 Depuracin comandos 1093 registro 1093 Depurar registros. Ver Registros Derechos de acceso 656 descripcin general Replicacin 176 sitios 176 sitios y replicacin 173 Deshabilitar Auto-Protect 212 Proteccin contra amenazas de red 213 Proteccin proactiva contra amenazas 213 Desinstalacin software de cliente con un Objeto de poltica de grupo de Active Directory 1128 Diagnstico Insight de descargas acciones 365 administracin de detecciones 326 datos de reputacin 331 dependencias de funciones 332 interaccin con Auto-Protect 212 Notificaciones 365 personalizar la configuracin 365 Direccin de subred 806 Integrated Enforcer 974 segura 959 Direccin IP de confianza 862 dispositivo Gateway Enforcer 825 direccin IP de confianza 864 Gateway Enforcer 851 Direccin MAC host de confianza 994 Disco del producto 812 Disponibilidad para las bases de datos y los servidores de administracin 720 Dispositivo Enforcer comprobar el estado de comunicacin 819
ndice
1153
comunicacin con Symantec Endpoint Protection Manager 742 conectores 803 configurar 806 controles 803 crear imgenes 812 indicadores 803 inicio de sesin 806 interfaz de lnea de comandos accesos directos de pulsaciones del teclado 1136 sistema de ayuda 1137 mostrar estado 819 panel frontal 803 panel posterior 804 polticas de integridad del host 741 propsito 751 Solucin de problemas 1085 uso 751 dispositivo Enforcer interfaz de lnea de comandos comandos de nivel superior 1139 Dispositivo Gateway Enforcer autenticacin 744 cliente que no utiliza Windows 827 conmutacin por error 830 direccin IP 825 dispositivo activo 830 dispositivo de copia de seguridad 830 dispositivo en espera 830 dispositivo principal 830 funcionamiento 744 planificacin de instalacin 821 punto de acceso inalmbrico (WAP) 823 puntos de acceso inalmbricos (WAP) 826 Servidor de acceso remoto (RAS) 825 servidor que no utiliza Windows 827 servidores 823 VPN 823, 826 dispositivo Gateway Enforcer conmutacin por error 825 Instalacin 801 NIC 829 otros protocolos 873 paquete de solicitud ARP 873 paquete de solicitud DHCP 873 paquete de solicitud DNS 873 proteccin de los servidores 826
Dispositivo LAN Enforcer 802.1x 937 conmutacin dinmica de VLAN 889 Conmutacin por error 883 funcionamiento 745 Instalacin 801 modelo de conmutador admitido 906 opciones de configuracin 891 planificacin de instalacin 879 puntos de acceso inalmbricos de 802.1x 889 dispositivo LAN Enforcer modo transparente 1090 opciones del conmutador 905 DispositivosEnforcer autentica el cliente con GUID 743 Gateway 838 reparar la integridad del host 773 Distribucin de contenido de otro fabricante acerca de 584 activar con una poltica de LiveUpdate 586 en clientes administrados 586 Requisito de la clave de registro de Windows para no administrados 587 usar con los clientes no administrados 587 Distribuidores de confianza 983 Dominio Titular de inicio de sesin 645 dominio actual 646 Dominio web de confianza crear una excepcin para 527 Dominios acerca de 643 actual 646 copiar clientes y polticas 644 deshabilitacin 644 dominios adicin 645
E
Elaboracin de informes idioma 1077 marcas de fecha 1077 Registros 618 Solucin de problemas 1077 SSL 1077 Symantec AntiVirus de versin anterior 1077 Enforcer Configuracin 944 conmutacin por error de LAN 946
1154
ndice
consola administracin 944 editar descripcin 948 editar nombre 948 Informe 953 Integrated Enforcer 753 otro fabricante 800 uso de los grupos de dispositivos Enforcer 945 Enmascaramiento de huella digital del sistema operativo 411 Envos 308, 310 bloquear y desbloquear la configuracin 264 elementos en cuarentena 343 Equipo cliente actualizaciones de polticas 273 administrado 144 asignacin a grupos 201 asistente de implementacin del cliente 137 asistente de migracin 156 configuracin de instalacin 147 deshabilitado 601 desinstalacin 146 detalles del inventario 603 en lnea 601 estado 600 fecha del ltimo registro 603 implementacin remota 131 implementar 137 instalacin personalizada 137 migrar 152, 154, 156 modos 216 no administrado 144 no analizados 602 notificacin de correo electrnico 137 preparacin para la instalacin 127 propiedades 201 proteccin del sistema 601 riesgos 602 sin conexin 601 solucin de problemas 1066 transferencia remota 137 traslado a un grupo 201 equipo cliente no administrado 145 Equipos actualizar proteccin de 534 buscar 210 equipos infectados 291
errores CGI base de datos 1082 errores de proceso terminados base de datos 1082 Estado clientes y equipos 207 visualizacin 205 Estado del cliente visualizacin 207 Estado del equipo Registros 620 visualizacin 207 Estructura del grupo acerca de 195 Excepcin de dominio web de confianza dependencias de funciones 332 Excepciones administracin 516 exclusin de un archivo o una carpeta 523 extensiones de archivo 525 riesgos conocidos 524 excepciones 515 creacin 519 Proteccin contra intervenciones 528 restricciones del cliente 529 Exclusiones creado automticamente 304 Exclusiones automticas acerca de 304 para los productos de Symantec 306 para Microsoft Exchange Server 305 Exportacin paquetes de instalacin de clientes 148 polticas 268 exportacin opciones de grupo de Enforcer 950 reglas de firewall 438
F
Falla en estado abierto dispositivo Gateway Enforcer 834 Filtros guardar en registros 621 usuarios y equipos 208 Firewall acerca de 399, 401, 439 activacin 406 deshabilitacin 406 inspeccin de estado 422
ndice
1155
notificacin 427 reglas 439 requisitos de integridad del host 780 firewall acerca de 402 configuracin del trfico 410411 deshabilitar firewall de Windows 412 Firmas IPS excepciones para 461 firmas IPS biblioteca personalizada 468 personalizadas asignacin de bibliotecas a un grupo 470 bibliotecas 470 copiado y pegado 471 modificar el orden 471 variables 472 Firmas IPS personalizadas prueba 473 Formato DER 683 PEM 683 Formato DER 683 Formato PEM 683 Funciones configurar un valor del registro de Windows 794 descargar un archivo 793 ejecutar un programa 795 ejecutar un script 796 esperar 798 establecer marca de hora 797 mostrar cuadro de dilogo del mensaje 792
grupo principal. Ver herencia Grupos asignacin de lista de servidores de administracin 724 buscar 210 grupos definicin 195 herencia 200 predeterminado 195 Grupos de hosts adicin a una regla 443 grupos de hosts creacin 430 Gusanos 302
H
heartbeat entre Symantec Endpoint Protection Manager y Enforcer 742 Herencia 242 herencia activacin 200 reglas de firewall 419420 Herramienta de evaluacin de seguridad 303 Herramienta Virtual Image Exception 376 Herramientas de piratera 303 Host de confianza configuracin 994 Hosts adicin a una regla 443 equipo local y remoto 428 origen y destino 428 hosts exclusin de la prevencin de intrusiones 463 hosts excluidos 463
G
Gateway Enforcer instalaciones mltiples 869 ubicaciones de red 823 y la configuracin de Symantec Endpoint Protection Manager 838 Grupo agregar 199 asignacin del equipo 201 bloqueo 201 dispositivo Gateway Enforcer 842 dispositivo LAN Enforcer 893 Integrated Enforcer 990 Servidor RADIUS 897, 921 Grupo Mi empresa 193 Grupo predeterminado 193
I
Icono de bandeja del sistema 1064 Icono de escudo 1064 Icono de estado. Ver conexin del cliente Icono del rea de notificacin acerca de 1064 Iconos escudo 1064 ID del dispositivo obtencin 511 Identificador nico global (GUID) 743 autenticacin de Enforcer para el cliente 743
1156
ndice
autenticacin del cliente 998 imgenes del archivo de la lnea de base 376 Imgenes virtuales excepciones 362 Importacin requisitos de poltica de integridad del host plantillas y 768 Importar informacin de usuario desde bsqueda del servidor de directorios LDAP 698 informacin de usuario desde un servidor LDAP 694 polticas 268 unidades organizativas 699 importar opciones de grupo de Enforcer 950 reglas de firewall 438 indicadores Dispositivo Enforcer 803 Informacin de usuario recopilar 229 Informe cumplimiento 953 detalles del inventario de clientes 603 Enforcer 953 equipos infectados y en riesgo 602 equipos no analizados 602 Estado del sitio 953 estado diario 600 estado semanal de 600 favorito 600 nuevos riesgos detectados en la red 602 principales destinos atacados 604 principales fuentes de ataque 604 principales instancias de Enforcer que generan errores 953 principales notificaciones de trfico 604 riesgo completo 602 Sistema 953 informes almacenamiento 615 almacenamiento de las opciones de configuracin 611 descripcin general 607 eliminacin de las opciones de configuracin 611 Impresin 615 tipos 607
Informes programados creacin 613 modificacin 613 Informes rpidos creacin 610 Inicio de sesin normal 806 superusuario 806 Insight 308, 331 modificacin de la configuracin 361 Inspeccin de estado 422 Instalacin clientes mediante Active Directory 1121 configuracin de Microsoft SQL Server 92 dispositivo Gateway Enforcer 801 Dispositivo LAN Enforcer 801 ejemplos de lnea de comandos de MSI 1118 firewalls del cliente 129 internacionalizacin 88 mediante comandos de MSI 1111 mediante un objeto de poltica de grupo de Active Directory 1121 planificacin 73, 81 propiedades del Centro de seguridad de Windows de MSI 1117 puertos de comunicaciones 129 remota 758 software de otro fabricante 1108 Symantec Integrated NAP Enforcer 1005 Instalacin remota y puerto TCP 139 129 Instrucciones ELSE 791 Instrucciones IF THEN 790 Integrated Enforcer para Microsoft Network Access Protection 753 componente obligatorio 1009 requisitos del sistema operativo 1009 Integrated Enforcer para servidores DHCP de Microsoft 753 cliente de Symantec Network Access Control 959 componente obligatorio 963 planificacin 964 requisitos del sistema 962 Integridad del host comprobacin 741 Dispositivo Enforcer 741 estado 743 mensaje 1089 preguntas ms frecuentes 1089 Servidor RADIUS 888
ndice
1157
software compatible 1088 Intelligent Updater 583 Interfaz de usuario acerca de 221 Configurar 223, 226 Interoperabilidad de funciones de polticas 332 IPv4 432 IPv6 432
L
Licencia acerca de 112 activar 116 adicional 116, 123 caducada 120 compra 114 comprobar estado 120 copia de seguridad 122 implementada 120 importar 123 portal de licencias de Symantec 119 renovacin 119 renovada 116, 123 requisitos 82 sobreimplementada 120 Software de prueba 116 software de prueba 118, 123 versin anterior 123 Lista de dispositivos de hardware 510 agregar un dispositivo 512 usar con el control de dispositivos 513 Lista de huellas digitales de archivo importar o combinar 505 Lista de huellas digitales de archivos administracin 500 edicin 504 Lista de servidores de administracin 844 asignacin a grupo y ubicacin 724 Listas de control de acceso (ACL) 890 LiveUpdate acerca de 542 actualizaciones de contenido 534 actualizar definiciones y contenido 538 administrador de LiveUpdate 545 cmo comprobar la actividad del servidor 554 configuracin de proxy de los clientes para el servidor interno de LiveUpdate 555
configurar el contenido de la actualizacin para los clientes 557 configurar frecuencia de descarga de servidor 553 configurar un servidor externo de LiveUpdate 557, 579 configurar un servidor interno de LiveUpdate 580 configurar un sitio para descargar actualizaciones 549 descarga al servidor 554 descripcin general 534 deshabilitar para clientes 557 firmas y definiciones 538 habilitar para clientes 557 Intelligent Updater 583 Macintosh 542 polticas Configurar 579 configurar 557, 580 Proveedor de actualizaciones grupales 568 proveedor de actualizaciones grupales 575 revisiones de contenido 551 tipos de actualizaciones 538 uso de las herramientas de distribucin de otro fabricante en lugar del 584
M
Mquina virtual clculo aleatorio de descargas de contenido simultneas 563 mquina virtual ajustar anlisis para 319 Marcadores 303 Memoria cach compartida de diagnstico Insight 373 modificacin de la configuracin 362 Mensaje de incumplimiento 859 Mensajes Enforcer 951 modificacin 952 visualizacin 952 Mensajes de correo electrnico para reglas de firewall 448 Microsoft Active Directory configuracin de plantillas 1125 creacin de la imagen de instalacin administrativa 1123
1158
ndice
instalacin del software de cliente con un Objeto de poltica de grupo 1121 Microsoft SMS distribucin de archivos de definicin de paquetes 1119 Microsoft SQL Server configuracin de base de datos 92 Migracin. Ver equipo cliente Modelo de conmutador 906 Modo de equipo 216 Modo de usuario 216 Modo transparente 889 Modos equipo cliente 216 Mdulos de aplicacin Integrated Enforcer 753, 974 conexin a un servidor de administracin 992 cuarentena 979 distribuidores de confianza 983 Integrated Enforcer para Microsoft Network Access Protection 749, 960 Integrated Enforcer para servidores DHCP de Microsoft 747 opciones de comunicacin 977 y comprobacin de nmero de serie de polticas 1003 y comunicacin del servidor de administracin 977 Msi ejemplos de lnea de comandos 1118 funciones y propiedades 1110 instalacin mediante parmetros de lnea de comandos 1111 precedencia de procesamiento con setaid.ini 1111 MSP cuando est utilizado para actualizar el software de cliente 170
crear filtros 637 eliminar los filtros 637 guardar los filtros 637 perodo de reduccin 629 predeterminado 629 reconocimiento 635 tipos 629 visualizacin 635 Notificaciones acerca de 627 actualizaciones de otra versin 639 clientes remotos 250 comprobaciones de integridad del host 771 conceder licencia 634 creacin 638 eventos de virus y de spyware en los equipos cliente 345 partner 634 proteccin contra amenazas de red 464 Nueva secuencia TCP 411 Nmero de serie. Ver Nmero de serie de la poltica Nmero de serie de la poltica ver en el cliente 276
O
On-Demand Client autenticacin 749 opciones administradas configurar en el cliente 221 Opciones de espera reparacin de integridad del host 774 Opciones de proteccin contra virus requisitos de integridad del host 779 Opciones del registro de Windows requisitos de integridad del host 783
P
Pantalla de inicio de sesin superar el tiempo de espera 106 Paquetes FDCC 150 Paquetes de desafo 850, 998 especificacin 852 especificar la frecuencia de 853, 1000 especificar nmero mximo 999 Paquetes de instalacin de clientes acerca de 132 adicin de actualizaciones 134
N
NetBIOS 407 Network Access Control Scanner Integrated Enforcer para servidores DHCP de Microsoft 959 NIC. Ver Tarjeta de interfaz de red niveles de control 223 niveles de control del usuario 223 Notificacin acerca de 629 configuracin previa 629
ndice
1159
Configurar 148 exportacin 148 recopilacin de informacin de usuarios 229 Paquetes de solicitud ARP 873 DHCP 873 DNS 873 Parmetros de tiempo de espera consola 106 parmetros de tiempo de espera base de datos 1081 Planificacin Integrated Enforcer para servidores DHCP de Microsoft 964 Planificacin de instalacin dispositivo Gateway Enforcer 821 dispositivo LAN Enforcer 879 Plantillas para anlisis programados 316317 Poltica acerca de 254 asignar a un grupo 265 bloqueos de usuario 264 compartida 260 Control de aplicaciones y dispositivos 254 creacin 261 edicin 263 eliminar compartida 272 eliminar no compartida 272 excepciones 254 exportar compartida pgina Polticas 268 firewall 254 herencia 200 importacin 268 integridad del host 254 LiveUpdate 254, 557 no compartida 260 prevencin de intrusiones 254 proteccin antivirus y antispyware 254 prueba 266 retirar 270 Poltica de conmutador 919 condiciones y acciones 929 Poltica de proteccin antivirus y antispyware Anlisis programados 316 bloquear y desbloquear la configuracin 264 Poltica de seguridad actualizaciones del nmero de serie 1003 API de aplicacin universal 1091
Aplicacin automtica 1091 Cisco NAC 1091 cumplimiento 959, 974 LAN 1091 no propias de Symantec 1091 Polticas actualizar para clientes remotos 248, 250 Polticas de control de aplicaciones y dispositivos 54 estructura 478 Polticas de firewall acerca de 402 Polticas de integridad del host 758 acerca de 765 aplicacin automtica 739 configurar un valor del registro de Windows 794 creacin 765 nivel de grupo 1088 nivel global 1088 reparar la integridad del host 773 configuracin de Enforcer 773 posposicin 775 requisitos aprobacin incluso cuando una condicin no se cumple 770 definicin 762 ejemplo 740 eliminacin 767 habilitar e inhabilitar 767 plantillas 768 secuencia 768 tipos 765 requisitos personalizados acerca de 778 condiciones de la proteccin antispyware 779 condiciones de la proteccin contra virus 779 condiciones del firewall 780 condiciones del sistema operativo 782 cuadro de mensaje 792 descargar un archivo 793 ejecutar un programa 795 ejecutar un script 796 escritura 789 establezca la marca de fecha 797 opcin de espera 798 opciones de archivo 781 opciones de registro 783 restauracin de integridad del host 772, 774
1160
ndice
trabajar con 758 polticas de integridad del host creacin 759 compartida 765 prueba 759 Portal de licencias de Symantec. Ver Licencia Prevencin contra intrusiones de navegador dependencias de funciones 332 Prevencin contra intrusiones de red acerca de 458 Prevencin contra intrusiones del navegador acerca de 458 Prevencin de intrusiones 453 administrar firmas personalizadas 465 bloquear equipos atacantes 409 firmas 459 funcionamiento 458 prueba de firmas personalizadas 473 prevencin de intrusiones desactivar en los equipos especificados 463 habilitar o deshabilitar en Poltica de prevencin de intrusiones 461 notificaciones 464 Problemas conocidos 1093 Problemas de la licencia notificaciones para 629 Producto componentes 76 Productos de Symantec Exclusiones automticas 306 Programa de lectura de pantalla aplicacin bloqueada por Proteccin contra intervenciones 523 Programa de seguimiento 303 programacin copia de seguridad automtica de base de datos 707 Programaciones adicin a una regla 450 Programas broma 303 Programas de acceso remoto 303 Programas de control para padres 303 Propiedades del usuario y del equipo visualizacin 211 Proteccin actualizacin 534 habilitar o deshabilitar 211 Proteccin antispyware opciones 779
Proteccin antivirus y antispyware 758 evitar ataques 286 Proteccin contra amenazas de red configuracin para el control mixto 408 creacin de notificaciones 464 habilitar o deshabilitar 213 Registros 620 Proteccin contra intervenciones acerca de 395 bloquear y desbloquear la configuracin 264 cambiar la configuracin 396 deshabilitacin 213 mensajes de notificacin de clientes 397 Proteccin de acceso a redes de Microsoft 749 Proteccin de descargas dependencias de funciones 332 Proteccin de endpoints Estado 602 estado 601 supervisar 600, 602603 proteccin de los servidores dispositivo Gateway Enforcer 826 Proteccin del navegador de Internet 362 proteccin mediante contrasea Cliente 230 Proteccin proactiva contra amenazas acerca de 54 habilitar o deshabilitar 213 Protocolo LDAP 694 Protocolos adicin 432 adicin a una regla 445 HTTPS 682 LDAP 694 Protocolos inalmbricos 889, 923 Proveedor de actualizaciones grupales administracin 568 bsqueda 578 Clientes de una versin anterior 570 controlar descargas de contenido 575 tipos 570 nico 570, 575 varios 570, 574575 Proxy comunicacin externa del cliente 337 conexin de Symantec Endpoint Protection Manager a Symantec LiveUpdate 555 envos de los clientes 337
ndice
1161
excepciones necesarias al usar la autenticacin 328 Publicidad no deseada 302 Puerto de escucha LAN Enforcer 894 Puertos requisitos para la comunicacin 129 requisitos para la instalacin 129 Puertos de comunicacin y obligatorios 129 Puntos de acceso inalmbricos (WAP) dispositivo Gateway Enforcer 823, 826
R
Reautenticacin 940 Recopilar informacin del usuario 229 Recuperacin despus de un desastre acerca del proceso 1057 preparacin 727 reinstalar el servidor 1059 Red de confianza 959, 974 Redireccin de solicitudes HTTP 860 registro externo 711 Registros 618 acceso remoto 622 actualizacin 617 Anlisis de amenazas proactivos TruScan 388 Analizar 621 Apache 1066 auditora 619 comprobar los registros de depuracin en el cliente 1069 comprobar los registros de la bandeja de entrada 1070 Control de aplicaciones y dispositivos 619 cumplimiento 620 ejecutar comandos de 215 eliminacin de las opciones de configuracin 622 envo desde Enforcer a Symantec Endpoint Protection Manager 954 errores de la base de datos 617 Estado del equipo 620 exportacin de datos 600 filtrado 621 filtrar datos del registro de trfico de Enforcer 958 filtro ltimas 24 horas 621 guardar configuraciones de filtro 621
Proteccin contra amenazas de red 620 reduccin del espacio en base de datos 681, 706 replicar 622 Riesgo 620 riesgo eliminar archivos de Cuarentena 344 Sistema 621 SONAR 388 tipos 618 ubicacin de 954 ver remotamente 622 visualizacin 616 registros borrar de base de datos 717 servidor configuracin de tamao 715 Registros de Enforcer configurar 954 deshabilitacin 956 envo a la consola de administracin 956 filtro de los registros del trfico 958 retencin 957 retencin de 957 tamao 957 registros de eventos 616 filtro ltimas 24 horas 621 Reglas de control de aplicaciones copiar entre las polticas 492 Reglas de firewall 421 acerca de 415, 417 activadores de adaptador de red 433 activadores de servicio de red 431 adaptadores de red adicin 434, 449 adicin usar regla vaca 436 aplicaciones 422 adicin 423 Cliente 417 configuracin 435 copiado 439 exportacin 438 grupos de hosts adicin 443 creacin 430 herencia 419420 hosts 428 importar 438 Mensajes de correo electrnico 448
1162
ndice
orden de procesamiento acerca de 418 modificacin 421 pegado 439 permitir trfico a la subred local 445 programaciones adicin 450 servicios de red adicin 432, 445 servidor 417 Reglas integradas 407 Reglas vacas 436 Reinicio comando 215 Reparacin 744 integridad del host 772 aplicaciones 773 archivos 773 posposicin 775 tiempo de espera 774 Reparacin de integridad del host cancelar 774 Replicacin agregar partner de replicacin 180 definicin 176 descripcin general 173 frecuencia 182 paquete cliente 183 programacin manual 182 requisitos del sistema Integrated Enforcer para servidores DHCP de Microsoft 962 Requisitos personalizados condiciones 778 copiar instrucciones 792 eliminar instrucciones 792 escritura 789 Funciones 785 instruccin ELSE 791 requisitos personalizados acerca de 778 comentarios 791 instruccin ELSE 788 instruccin IF, THEN, ENDIF 787 instruccin RETURN 787 palabra clave NOT 788 palabras clave AND, OR 788 Respuesta activa configuracin 409
Retirar una poltica 270 Riesgo Registros 620 registros eliminar archivos de Cuarentena 344 riesgos reparar 289 Riesgos para la seguridad detecciones de 314 Rootkits 302
S
Secreto compartido 902 edicin 920 Service Pack 758 Servicios adicin a una regla 445 servicios adicin 432 Servicios de red activadores 431 adicin a una regla 445 servicios de red adicin a la lista predeterminada 432 Servidor administracin 673 conexin con 1064 configurar 101 desinstalacin 102 heartbeat 273 instalacin 99 servidor adicin de servidor de directorios 700 registros 715 reglas 417 Servidor de acceso remoto (RAS) dispositivo Gateway Enforcer 825 Servidor de Active Directory filtrar 700 importacin de la informacin de usuarios de 197 Servidor de administracin 742, 959, 974. Ver Symantec Endpoint Protection Manager versin anterior 974 Servidor de correo electrnico vnculo al servidor de administracin 635 Servidor de Microsoft Exchange Exclusiones automticas 305 Servidor de polticas de red de Microsoft 749
ndice
1163
Servidor DHCP como servidor de cuarentena 998 Integrated Enforcer para servidores DHCP de Microsoft 959 y clientes no autenticados 1001 Servidor que no utiliza Windows dispositivo Gateway Enforcer 827 Servidor RADIUS Dispositivo LAN Enforcer 888 nombre descriptivo 900 poltica de integridad del host 888 secreto compartido 902 y LAN Enforcer 897 servidor RADIUS 1090 Servidor RSA usar con Symantec Endpoint Protection Manager 662 servidor RSA configurar la autenticacin de SecurID 661 Servidor Web Apache detencin e inicio 1067 servidores de administracin sitios 176 servidores de directorios adicin 700 sincronizacin 695 Servidores de directorios LDAP bsqueda de usuarios 696 filtrar 700 importar informacin de usuario de 694, 698 unidades organizativas 699 setaid.ini configurar 1111 precedencia de procesamiento con funciones y propiedades de msi 1111 Sincronizacin unidades organizativas 694 sincronizacin servidores de directorios 695 Sistema Registros 621 Sistema operativo Linux 812 sitios definicin 176 descripcin general 173 Software de copia de seguridad 758 Software de otro fabricante instalar el software de cliente 1108
Software de prueba licencia 82, 120 Solucin de problemas 1093 control de cuentas de usuario en Vista y GPO 1124 Dispositivo Enforcer 1085 dispositivo Enforcer 1087 herramienta de soporte 1061 problemas de clientes 1066 SONAR acerca de 379 administracin 381 ajuste de configuracin 387 dependencias de funciones 332 falsos positivos 384 sobre detecciones 380 supervisar eventos de anlisis 388 Spyware 303 Superusuario iniciar sesin 806 Supervisin de aplicaciones de red 425 Sylink.xml convertir un cliente a un cliente administrado 1127 Symantec Endpoint Protection acerca de 41 Symantec Endpoint Protection Manager comando configure SPM 818 comunicacin con Enforcer 742, 1089 direccin IP de confianza 869 e Integrated Enforcer 974 Integrated Enforcer para servidores DHCP de Microsoft 959 Integridad del host 741 y Gateway Enforcer 844 Symantec Integrated NAC Enforcer configurar en la consola de NAP Enforcer 1016 requisitos del sistema 1007 Symantec Integrated NAP Enforcer conectar al servidor de administracin 1017 contrasea cifrada 1019 eliminar de la lista de servidores de administracin 1019 instalacin 1005 nombre del grupo 1020 protocolo de comunicacin HTTP 1021 protocolo HTTP 1019 protocolo HTTPS 1019
1164
ndice
Symantec Network Access Control configuracin y prueba 759 implementaciones 754 Symantec Security Response 291 Envos 310
VLAN puntos de acceso inalmbricos 889 VPN conexin del cliente On-Demand al Enforcer 1093 dispositivo Gateway Enforcer 826
T
Tamao del registro Enforcer 957 Tarjeta de interfaz de red dispositivo Gateway Enforcer 829 tecnologa de asistencia cmo crear las excepciones para 523 Titular de inicio de sesin adicin 645 Trfico Configuracin 410411 Trfico de la subred local 445 Trfico de token ring 407 Trfico DHCP 407 Trfico DNS 407 Trfico WINS 407 Troyano 302, 425
W
Windows Installer comandos 1111 creacin de un script de inicio 1125 funciones y propiedades 1110 parmetros 1115
U
Ubicaciones asociadas a consultas de DNS 431 Unidades organizativas importar 197, 699 sincronizacin 694 Update definiciones 534 Uso compartido de impresoras 446 Usuarios buscar 210 Usuarios y equipos filtrado 208
V
variables en firmas 472 Virtualizacin admitida 89 virtualizacin 373, 376 ajustar anlisis para 319 ordenar aleatoriamente anlisis 360 Virus 302 detecciones de 314 Visualizar propiedades del usuario y del equipo 211