Guía de implementación de Symantec Endpoint Protection...

Guía de implementación deSymantec™ EndpointProtection Small BusinessEdition

Guía de implementación de Symantec™ EndpointProtection Small Business Edition

El software que se describe en este manual se suministra con acuerdo de licencia y solamentepuede utilizarse según los términos de dicho acuerdo.

Versión de la documentación 12.01.00.00

Aviso legalCopyright © 2011 Symantec Corporation. Todos los derechos reservados.

Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System,LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comercialesregistradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros países. Otrosnombres pueden ser marcas comerciales de sus respectivos propietarios.

Este producto de Symantec puede contener software de otros fabricantes para el cualSymantec está obligado a reconocer a estos terceros (“Programas de terceros”). Algunos delos programas de otros fabricantes están disponibles mediante licencias de código abiertoo software gratuito. El acuerdo de licencia que acompaña el software no altera ningúnderecho u obligación que pueda tener en virtud de esas licencias de código abierto o softwaregratuito. Para obtener más información sobre los Programas de otros fabricantes, consulteel apéndice de esta documentación Aviso legal sobre otros fabricantes, o bien el archivoLéame TPIP que acompaña este producto de Symantec.

El producto descrito en este documento se distribuye de acuerdo con licencias que restringensu uso, copia, distribución y descompilación o ingeniería inversa. Está prohibido reproducircualquier parte de este documento de cualquier forma y mediante cualquier medio sinautorización previa por escrito de Symantec Corporation y de los responsables de concedersus licencias, de haberlos.

LA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y NO SE OFRECE NINGÚN TIPO DEGARANTÍA EN RELACIÓN CON CONDICIONES EXPRESAS O IMPLÍCITAS,REPRESENTACIONES Y GARANTÍAS, INCLUSO GARANTÍAS IMPLÍCITAS DECOMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIÓN DEDERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIÓN CARECE DE VALIDEZLEGAL. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE DAÑOS INCIDENTALESO INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DEESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁSUJETA A CAMBIOS SIN PREVIO AVISO.

El Software y la Documentación con licencia se consideran programas informáticoscomerciales según lo definido en la sección 12.212 de la normativa de adquisiciones de laAdministración Federal de los EE. UU. (FAR) y conforme a derechos restringidos según lodefinido en la sección 52.227-19 de la FAR sobre derechos restringidos de los programasinformáticos comerciales, y en la sección 227.7202 de la normativa de adquisiciones de laDefensa de la Administración Federal de los EE. UU. (DFARS), sobre los derechos de losprogramas informáticos comerciales y la documentación de programas informáticos

comerciales, según corresponda, y cualquier normativa siguiente. Cualquier uso,modificación, versión de reproducción, rendimiento, visualización o divulgación del Softwarey de la Documentación con licencia por parte del Gobierno de los EE. UU. se realizaráexclusivamente de acuerdo con los términos de este acuerdo.

Symantec Corporation350 Ellis StreetMountain View, CA 94043

http://www.symantec.com.mx

http://www.symantec.com.mx

Soporte técnicoEl soporte técnico de Symantec cuenta con centros de soporte global. El rolprincipal del soporte técnico es responder a las consultas específicas sobrefunciones del producto y funcionalidad. El grupo de soporte técnico, además,elabora el contenido para nuestra Base de conocimientos en línea. El grupo desoporte técnico trabaja con otras áreas funcionales dentro de Symantec paracontestar las preguntas a tiempo. Por ejemplo, el grupo de soporte técnico trabajacon el Departamento de Ingeniería y Symantec Security Response paraproporcionar servicios de alertas y actualizaciones de definiciones de virus.

Las ofertas de soporte de Symantec incluyen lo siguiente:

■ Una gama de opciones de soporte que brindan flexibilidad para seleccionar lacantidad adecuada de servicio para organizaciones de cualquier tamaño

■ Soporte telefónico y basado en Web que proporciona respuesta rápida einformación actualizada

■ Garantía de actualización que entrega actualizaciones de software

■ Soporte global comprado según las horas laborables regionales o 24 horas aldía, 7 días a la semana

■ Ofertas de servicios superiores que incluyen servicios de administración decuentas

Para obtener información sobre las ofertas de soporte de Symantec, puede visitarel sitio web en la siguiente URL:

http://www.symantec.com/es/mx/business/support/

Todos los servicios de asistencia se prestarán de acuerdo con su acuerdo de soportey la política empresarial de soporte técnico vigente en el momento.

Contactar al soporte técnicoLos clientes con un acuerdo de soporte existente pueden acceder a la informacióndel soporte técnico en la siguiente URL:


Antes de contactar al soporte técnico, asegúrese de haber cumplido con losrequisitos de sistema que se enumeran en la documentación del producto. Además,es necesario que esté en el equipo en el cual ocurrió el problema, en caso de quesea necesario replicar el problema.

Cuando contacte al soporte técnico, tenga a mano la siguiente información:

■ Nivel de versión de producto



■ Información de hardware

■ Memoria disponible, espacio libre en el disco e información de la NIC

■ Sistema operativo

■ Número de versión y parche

■ Topología de red

■ Router, gateway e información de la dirección IP

■ Descripción del problema:

■ Mensajes de error y archivos de registro

■ Sesión de resolución de problemas llevada a cabo antes de contactar aSymantec

■ Cambios recientes en la configuración del software y en la red

Concesión de licencia y registroSi su producto de Symantec requiere registro o clave de licencia, acceda a nuestrapágina web de soporte técnico en la siguiente URL:


Servicio al clienteLa información del servicio al cliente está disponible en la siguiente URL:


El servicio al cliente está disponible para ayudar con preguntas no técnicas, comolos siguientes tipos de problemas:

■ Preguntas relacionadas con la concesión de licencias o la serialización deproductos

■ Actualizaciones del registro del producto, como cambio de dirección o denombre

■ Información general de producto (funciones, disponibilidad de idioma,distribuidores locales)

■ La información más reciente sobre actualizaciones del producto

■ Información sobre garantía de actualización y contratos de soporte

■ Información sobre los Programas de compras de Symantec

■ Sugerencia sobre las opciones de soporte técnico de Symantec

■ Preguntas no técnicas previas a las ventas



■ Problemas relacionados con los CD-ROM, los DVD o los manuales

Recursos de acuerdos de soporteSi desea contactar a Symantec con respecto a un acuerdo de soporte existente,contacte al equipo de administración del acuerdo de soporte correspondiente asu región:

[email protected] Pacífico y Japón

[email protected], Oriente Medio y África

[email protected]érica y América Latina

mailto:[email protected]



Soporte técnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Capítulo 1 Presentación de Symantec Endpoint ProtectionSmall Business Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Acerca de Symantec Endpoint Protection Small BusinessEdition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Novedades de la versión 12.1 ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Acerca de los tipos de protección contra amenazas que Symantec

Endpoint Protection Small Business Edition proporciona .... . . . . . . . . . . 23Protección de su red con Symantec Endpoint Protection Small

Business Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Encendido y ejecución de Symantec Endpoint Protection Small

Business Edition por primera vez .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Cómo administrar la protección en los equipos cliente ... . . . . . . . . . . . . . . . 32Mantener la seguridad de su entorno .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Cómo solucionar problemas de Symantec Endpoint Protection

Small Business Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Sección 1 Instalación de Symantec EndpointProtection Small Business Edition . . . . . . . . . . . . . . 37

Capítulo 2 Planificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Planificación de la instalación .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Componentes de Symantec Endpoint Protection Small Business

Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Requisitos de la licencia de producto .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Requisitos del sistema .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Acerca de la compatibilidad de Symantec Endpoint Protection

Manager con otros productos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Contenido

Capítulo 3 Instalación de Symantec Endpoint ProtectionManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Cómo instalar el servidor de administración y la consola ... . . . . . . . . . . . . . . . . . . 49Cómo configurar el servidor de administración durante la

instalación .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Aceptar el certificado autofirmado para Symantec Endpoint Protection

Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Cómo desinstalar Symantec Endpoint Protection Manager ... . . . . . . . . . . . . . . . 52Inicio de sesión en la consola de Symantec Endpoint Protection

Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Qué se puede hacer desde la consola ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Capítulo 4 Administración de licencias de productos . . . . . . . . . . . . . . . . . . . . . 59

Concesión de licencias de Symantec Endpoint Protection .... . . . . . . . . . . . . . . . . 60Acerca de la licencia del software de prueba .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Compra de licencias ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Dónde comprar una licencia de producto de Symantec ... . . . . . . . . . . . . . . . . . . . . . 63Cómo activar su licencia de producto .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Cómo usar el Asistente para la activación de licencias ... . . . . . . . . . . . . . . . . . . . . . . 64Información de contacto necesaria para las licencias ... . . . . . . . . . . . . . . . . . . . . . . . 66Acerca de actualizar desde software de prueba .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Acerca de renovar su licencia de Symantec Endpoint Protection Small

Business Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Acerca del Portal de licencias de Symantec ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Mantener sus licencias del producto .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Comprobar el estado de la licencia ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Reglas de aplicación de concesión de licencias ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Hacer copias de seguridad de los archivos de licencia ... . . . . . . . . . . . . . . . . . . . . . . . 70Cómo recuperar una licencia eliminada .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Importación de una licencia ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Acerca de licencias de varios años .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Capítulo 5 Preparación para la instalación de clientes . . . . . . . . . . . . . . . . . . 75

Preparación para la instalación de clientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Cómo preparar los sistemas operativos Windows para la

implementación remota .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Contenido8

Capítulo 6 Instalación del cliente de Symantec EndpointProtection Small Business Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Acerca de los métodos de implementación del cliente ... . . . . . . . . . . . . . . . . . . . . . . . 79Cómo implementar clientes usando un vínculo web y un correo

electrónico .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Cómo implementar clientes usando transferencia remota .... . . . . . . . . . 82Cómo implementar clientes usando la función Guardar

paquete ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Cómo reiniciar equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Acerca de clientes administrados y clientes no administrados .... . . . . . . . . . . 86Instalar un cliente no administrado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Desinstalación del cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Capítulo 7 Actualización y migración a Symantec EndpointProtection Small Business Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Acerca de la migración a Symantec Endpoint Protection SmallBusiness Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Cómo migrar de Symantec Client Security o de SymantecAntiVirus ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Acerca de migrar los grupos del equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Cómo migrar configuraciones de grupo y de políticas ... . . . . . . . . . . . . . . . . . 93

Cómo actualizar a una nueva versión .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Migrar un servidor de administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Cómo detener e iniciar el servicio del servidor de

administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Cómo deshabilitar LiveUpdate en Symantec AntiVirus antes de la

migración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Cómo deshabilitar análisis programados en Symantec System Center

cuando se migran los equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Desactivación del servicio móvil .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Desinstalar y eliminar servidores de informes .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Cómo desbloquear grupos de servidores en Symantec System

Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Acerca de la actualización del software de cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . 101Cómo actualizar clientes mediante AutoUpgrade .... . . . . . . . . . . . . . . . . . . . . . . . . . . 102

9Contenido

Sección 2 Administración de protección enSymantec Endpoint Protection SmallBusiness Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Capítulo 8 Administración de grupos de equipos cliente . . . . . . . . . . . . . 107

Cómo administrar grupos de equipos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Cómo se pueden estructurar los grupos .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Adición de un grupo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Bloquear clientes para que no se agreguen a grupos .... . . . . . . . . . . . . . . . . . . . . . . 110Visualización de equipos asignados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Mover un equipo cliente a otro grupo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Instrucciones para administrar equipos portables ... . . . . . . . . . . . . . . . . . . . . . . . . . 111

Capítulo 9 Administración de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Cómo administrar los equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Acerca de los iconos de estado de protección de los clientes ... . . . . . . . . . . . . . 115Visualizar el estado de protección de los clientes y equipos

cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Consulta de las propiedades de un cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Acerca de cómo habilitar y deshabilitar la protección .... . . . . . . . . . . . . . . . . . . . . 117Acerca de los comandos que puede ejecutar en los equipos

cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Ejecución de comandos en el equipo cliente desde la consola ... . . . . . . . . . . . 121Convertir un cliente no administrado en un cliente

administrado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Capítulo 10 Uso de políticas para administrar seguridad . . . . . . . . . . . . . . 125

Tipos de políticas de seguridad .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Cómo realizar tareas que son comunes a todas las políticas de

seguridad .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Agregar una política ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Copiar y pegar una política ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Editar una política ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Cómo bloquear y desbloquear la configuración de políticas ... . . . . . . . . . . . . . 131Asignación de una política a un grupo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Visualización de políticas asignadas .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Cómo probar una política de seguridad .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Reemplazar una política ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Cómo exportar e importar políticas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Cómo eliminar una política permanentemente .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Contenido10

Cómo los equipos cliente obtienen actualizaciones de políticas ... . . . . . . . . 136Cómo usar el número de serie de la política para comprobar la

comunicación de servidor a cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Capítulo 11 Administración de protección antivirus yantispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Cómo evitar y controlar ataques del virus y de spyware en los equiposcliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Cómo reparar riesgos en los equipos en su red .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Identificar los equipos infectados y en riesgo .... . . . . . . . . . . . . . . . . . . . . . . . . . 145Cómo comprobar la acción de análisis y volver a analizar los

equipos identificados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Cómo administrar análisis en los equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Acerca de los tipos de análisis y de protección en tiemporeal ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Acerca de los tipos de Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Acerca de los virus y los riesgos para la seguridad .... . . . . . . . . . . . . . . . . . . 155Acerca de los archivos y las carpetas que Symantec Endpoint

Protection excluye de los análisis antivirus yantispyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Acerca de enviar información sobre detecciones a SymantecSecurity Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Acerca de la aceleración de envíos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Acerca de la configuración predeterminada de análisis de la

política de protección antivirus y antispyware .... . . . . . . . . . . . . . . . . . 164Cómo Symantec Endpoint Protection Small Business Edition

controla detecciones de riesgos para la seguridad yvirus ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Cómo configurar análisis programados que se ejecutan en equiposWindows .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Cómo configurar análisis programados que se ejecutan en equiposMac .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Cómo ejecutar análisis manuales en equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . 171Cómo ajustar el análisis para mejorar rendimiento del equipo .... . . . . . . . . . 172Ajuste de análisis para aumentar la protección en sus equipos

cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Cómo administrar las detecciones de Diagnóstico Insight de

descargas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178Cómo Symantec Endpoint Protection Small Business Edition usa

datos de reputación para tomar decisiones sobre losarchivos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

11Contenido

Cómo funcionan en conjunto las funciones de protección de SymantecEndpoint Protection Small Business Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . 184

Cómo habilitar o deshabilitar envíos de los clientes a SymantecSecurity Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Cómo administrar la cuarentena .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189Cómo usar el registro de riesgos para eliminar los archivos en

cuarentena en sus equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Cómo administrar las notificaciones de virus y spyware que aparecen

en los equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Capítulo 12 Personalización de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Cómo personalizar los análisis de virus y spyware que se ejecutan enequipos Windows .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

Cómo personalizar los análisis antivirus y antispyware que se ejecutanen equipos Mac .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Cómo personalizar Auto-Protect para los clientes Windows .... . . . . . . . . . . . 198Cómo personalizar Auto-Protect para los clientes Mac .... . . . . . . . . . . . . . . . . . . 199Cómo personalizar Auto-Protect para los análisis de correo electrónico

en los equipos Windows .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Cómo personalizar análisis definidos por el administrador para los

clientes que se ejecutan en equipos Windows .... . . . . . . . . . . . . . . . . . . . . . . . . . 201Cómo personalizar análisis definidos por el administrador para los

clientes que se ejecutan en equipos Mac .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Cómo distribuir aleatoriamente análisis para mejorar el rendimiento

del equipo en entornos virtualizados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204Modificación de la configuración de análisis global para clientes

Windows .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Cómo personalizar la configuración de Diagnóstico Insight de

descargas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Cómo cambiar la acción que Symantec Endpoint Protection Small

Business Edition toma cuando realiza una detección .... . . . . . . . . . . . . . . . 207Permitir que los usuarios vean el progreso del análisis y que

interaccionen con los análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

Capítulo 13 Administración de SONAR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Acerca de SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Acerca de los archivos y las aplicaciones que SONAR detecta ... . . . . . . . . . . . 214Cómo administrar SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215Supervisión de los resultados de la detección de SONAR para

comprobar la existencia de falsos positivos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Cómo habilitar o deshabilitar SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

Contenido12

Capítulo 14 Administración de protección contraintervenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Acerca de la Protección contra intervenciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Cómo cambiar la configuración de Protección contra

intervenciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

Capítulo 15 Administración de protección mediantefirewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

Cómo administrar la protección mediante firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . 225Cómo funciona un firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Acerca del firewall de Symantec Endpoint Protection .... . . . . . . . . . . . . . . 227

Creación de políticas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Cómo habilitar y deshabilitar una política de firewall .. . . . . . . . . . . . . . . . . 231Ajuste del nivel de seguridad del firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

Acerca de las reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Acerca del orden de procesamiento de la regla de firewall, la

configuración del firewall y la prevención deintrusiones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Cómo cambiar el orden de las reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . 234Cómo el firewall usa la inspección de estado .... . . . . . . . . . . . . . . . . . . . . . . . . . . 234Acerca de las activaciones de la aplicación de reglas de

firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Acerca de las activaciones del host de la regla de firewall .. . . . . . . . . . . . 238Acerca de las activaciones de los servicios de red de la regla de

firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Cómo configurar reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

Adición de una nueva regla de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241Cómo copiar y pegar reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242Cómo personalizar reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Capítulo 16 Administración de prevención de intrusiones . . . . . . . . . . . . . 253

Cómo administrar la prevención de intrusiones en sus equiposcliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

Cómo funciona la prevención de intrusiones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Acerca de firmas IPS de Symantec ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Cómo habilitar o deshabilitar la prevención contra intrusiones del

navegador o de la red .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Cómo crear las excepciones para las firmas IPS .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

13Contenido

Capítulo 17 Administración de excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Acerca de excepciones para Symantec Endpoint Protection SmallBusiness Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Cómo administrar las excepciones para Symantec Endpoint ProtectionSmall Business Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

Cómo crear las excepciones para Symantec Endpoint Protection SmallBusiness Edition .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Exclusión de un archivo o una carpeta de análisis ... . . . . . . . . . . . . . . . . . . . . 269Exclusión de riesgos conocidos de análisis antivirus y

antispyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Exclusión de extensiones de archivo de análisis antivirus y

antispyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271Cómo forzar análisis para detectar una aplicación .... . . . . . . . . . . . . . . . . . . 272Especificar cómo Symantec Endpoint Protection Small Business

Edition controla una aplicación que los análisis detectan oque los usuarios descargan .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

Exclusión de un dominio web de confianza de análisis ... . . . . . . . . . . . . . . 273Cómo crear una excepción de Protección contra

intervenciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Restrinja los tipos de excepciones que los usuarios pueden configurar

en los equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275Crear excepciones de eventos de registro en Symantec Endpoint

Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Capítulo 18 Configuración de actualizaciones y actualizacionesde protección del equipo cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

Cómo administrar actualizaciones de contenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Cómo los equipos cliente reciben actualizaciones de

contenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Configurar la programación de descarga de LiveUpdate para Symantec

Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281Descarga de contenido de LiveUpdate manual a Symantec Endpoint

Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Visualización de descargas de LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283Cómo comprobar la actividad del servidor de LiveUpdate ... . . . . . . . . . . . . . . . . 283Configurar Symantec Endpoint Protection Manager para conectarse

a un servidor proxy para acceder a Internet ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Cómo habilitar y deshabilitar la programación de LiveUpdate para

equipos cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Configurar la programación de descarga de LiveUpdate para equipos

cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

Contenido14

Capítulo 19 Supervisión de protección con los informes y losregistros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

Supervisión de protección de endpoints ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Visualización de un informe de estado diario o semanal ... . . . . . . . . . . . . 290Ver el sistema de protección .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291Cómo encontrar equipos sin conexión .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291Cómo encontrar equipos no analizados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Visualización de riesgos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Visualización del inventario de clientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293Visualización de destinos y fuentes de ataque .... . . . . . . . . . . . . . . . . . . . . . . . . 294

Configurar preferencias de la elaboración de informes .... . . . . . . . . . . . . . . . . . . 295Acerca de los tipos de informes .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Ejecución y personalización de informes rápidos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Guardado y eliminación de informes personalizados .... . . . . . . . . . . . . . . . . . . . . . 299Creación de informes programados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300Cómo editar el filtro usado para un informe programado .... . . . . . . . . . . . . . . . 301Imprimir y guardar una copia de un informe .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Ver registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

Acerca de los registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Guardado y eliminación de registros personalizados con

filtros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Ejecución de comandos en el equipo cliente desde los registros ... . . . . . . . . 308

Capítulo 20 Administración de notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311

Cómo administrar notificaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Cómo funcionan las notificaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313Acerca de las notificaciones con configuración previa ... . . . . . . . . . . . . . . 313Acerca de las notificaciones del partner ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Establecimiento de la comunicación entre el servidor deadministración y los servidores de correo electrónico .... . . . . . . . . . . . . . . 317

Visualización y reconocimiento de notificaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . 318Cómo guardar y eliminar los filtros de notificaciones

administrativas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Cómo configurar notificaciones de administrador ... . . . . . . . . . . . . . . . . . . . . . . . . . . 320Cómo las actualizaciones de otra versión afectan las condiciones de

las notificaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322

Capítulo 21 Administración de cuentas de administrador . . . . . . . . . . . . . 325

Cómo administrar cuentas de administrador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325Acerca de las cuentas de administrador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326Agregar una cuenta de administrador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

15Contenido

Acerca de los derechos de acceso .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328Configurar los derechos de acceso para un administrador

limitado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Cómo cambiar una contraseña de administrador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Permitir que los administradores guarden las credenciales de inicio

de sesión .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Cómo permitir a los administradores restablecer contraseñas

olvidadas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Restablecer una contraseña olvidada .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Restablecimiento de la contraseña y el nombre de usuario del

administrador a admin .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

Sección 3 Mantenimiento del entorno deseguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

Capítulo 22 Preparación para la recuperación después de undesastre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Preparación para la recuperación después de un desastre ... . . . . . . . . . . . . . . . 337Hacer copia de seguridad de la base de datos y los registros ... . . . . . . . . . . . . . 339

Sección 4 Solución de problemas de SymantecEndpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

Capítulo 23 Ejecución de recuperación después de undesastre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

Ejecución de recuperación después de un desastre ... . . . . . . . . . . . . . . . . . . . . . . . . . 343Cómo restaurar la base de datos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Reinstalar o reconfigurar Symantec Endpoint Protection

Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

Capítulo 24 Resolución de problemas de instalación y decomunicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Descargar la herramienta de soporte de Symantec Endpoint Protectionpara solucionar problemas del equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Identificación del punto de falla de una instalación .... . . . . . . . . . . . . . . . . . . . . . . . 348Cómo solucionar problemas de comunicación entre el servidor de

administración y el cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Visualización del estado de conexión del cliente en el

cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

Contenido16

Cómo determinar si el cliente está conectado y protegido .... . . . . . . . . . 350Investigación de problemas de protección usando el archivo de

la solución de problemas en el cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351Detención e inicio del Servidor Web Apache .... . . . . . . . . . . . . . . . . . . . . . . . . . . 352Usar el comando ping para probar la conectividad con el servidor

de administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Comprobar los registros de depuración en el equipo cliente ... . . . . . . . 353Comprobar los registros de la bandeja de entrada en el servidor

de administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353Cómo recuperar la configuración de comunicación de los clientes

usando la herramienta SylinkDrop .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354Solucionar problemas de comunicación entre el servidor de

administración y la consola o la base de datos ... . . . . . . . . . . . . . . . . . . . . . . . . . 355Cómo verificar la conexión con la base de datos ... . . . . . . . . . . . . . . . . . . . . . . . 356

Capítulo 25 Solución de problemas de elaboración deinformes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Solución de problemas de elaboración de informes .... . . . . . . . . . . . . . . . . . . . . . . . 359Ayuda contextual de solución de problemas de la consola de

elaboración de informes .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361Cómo cambiar a letras de la elaboración de informes para mostrar

idiomas asiáticos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362Acceder a las páginas de elaboración de informes cuando el uso de

las direcciones de loopback están deshabilitadas ... . . . . . . . . . . . . . . . . . . . . . 363Acerca de recuperar un registro del sistema de cliente dañado en

equipos de 64 bits ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Apéndice A Implementación del cliente y referencia demigración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Acerca de la implementación y migración del cliente ... . . . . . . . . . . . . . . . . . . . . . . 365Asignación de funciones entre clientes de la versión 11.x y 12.1 ... . . . . . . . 367

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

17Contenido

Contenido18

Presentación de SymantecEndpoint Protection SmallBusiness Edition

En este capítulo se incluyen los temas siguientes:

■ Acerca de Symantec Endpoint Protection Small Business Edition

■ Novedades de la versión 12.1

■ Acerca de los tipos de protección contra amenazas que Symantec EndpointProtection Small Business Edition proporciona

■ Protección de su red con Symantec Endpoint Protection Small Business Edition

Acerca de Symantec Endpoint Protection SmallBusiness Edition

Symantec Endpoint Protection Small Business Edition es una solución del servidordel cliente que protege equipos portátiles, equipos de escritorio, equipos Mac yservidores en la red contra software malicioso. Symantec Endpoint Protectioncombina protección contra virus con protección contra amenazas avanzada paraasegurar proactivamente los equipos contra amenazas conocidas y desconocidas.

Symantec Endpoint Protection brinda protección contra software malicioso, comovirus, gusanos, troyanos, spyware y publicidad no deseada. Proporciona protecciónincluso contra los ataques más sofisticados que evaden medidas de seguridadtradicionales, como rootkits, ataques de día cero y spyware que muta. Alproporcionar menor mantenimiento y más poder, Symantec Endpoint ProtectionSmall Business Edition se comunica por medio de su red para proteger los equipos

1Capítulo

de forma automática contra los ataques para los sistemas físicos y los sistemasvirtuales.

Esta solución integral protege la información confidencial y valiosa mediante lacombinación de varias capas de protección en un único cliente integrado. SymantecEndpoint Protection reduce la carga de administración, el tiempo y los costos, yaque ofrece una única consola de administración y un solo cliente.

Ver "Acerca de los tipos de protección contra amenazas que Symantec EndpointProtection Small Business Edition proporciona" en la página 23.

Novedades de la versión 12.1La versión actual incluye las siguientes mejoras que hacen que el uso del productosea más fácil y eficaz.

Tabla 1-1 muestra las nuevas funciones de la versión 12.1.

Presentación de Symantec Endpoint Protection Small Business EditionNovedades de la versión 12.1

20

Tabla 1-1 Nuevas funciones de la versión 12.1

DescripciónFunción

Las mejoras más importantes incluyen las siguientes funciones de las políticas paraproporcionar una mayor protección en los equipos cliente.

■ La política de protección antivirus y antispyware detecta amenazas con mayor precisión,además de reducir los falsos positivos y mejorar el rendimiento del análisis con lassiguientes tecnologías:

■ SONAR reemplaza la tecnología de TruScan para identificar la conducta maliciosade amenazas desconocidas mediante los datos de reputación y heurística. Mientrasque TruScan se ejecuta en una programación, SONAR se ejecuta siempre.

Ver "Cómo administrar SONAR" en la página 215.

■ Auto-Protect brinda protección adicional con Diagnóstico Insight de descargas, queexamina los archivos que los usuarios intentan descargar por medio de navegadoresweb, clientes de mensajería de texto y otros portales. El Diagnóstico Insight dedescargas usa la información de reputación de Symantec Insight para tomardecisiones sobre los archivos.

Ver "Cómo administrar las detecciones de Diagnóstico Insight de descargas"en la página 178.

Ver "Cómo Symantec Endpoint Protection Small Business Edition usa datos dereputación para tomar decisiones sobre los archivos" en la página 183.

■ Insight permite que los análisis omitan los archivos de confianza para la comunidadde Symantec, lo cual mejora el rendimiento del análisis.

Ver "Modificación de la configuración de análisis global para clientes Windows"en la página 205.

■ La Búsqueda de Insight detecta los archivos de la aplicación que no se pueden detectartípicamente como riesgos y envía información de los archivos a Symantec para suevaluación. Si Symantec determina que los archivos de la aplicación constituyen unriesgo, el equipo cliente controla los archivos como riesgos. La búsqueda de Insightlogra que la detección de software malicioso sea más rápida y exacta.

Ver "Cómo personalizar análisis definidos por el administrador para los clientes quese ejecutan en equipos Windows" en la página 201.

■ Las políticas de firewall incluyen reglas de firewall para bloquear el tráfico basado enIPv6.

Ver "Cómo personalizar reglas de firewall" en la página 243.

■ La política de prevención de intrusiones incluye la prevención de intrusiones delnavegador, que usa firmas IPS para detectar ataques dirigidos a vulnerabilidades delnavegador.

Ver "Cómo habilitar o deshabilitar la prevención contra intrusiones del navegador o dela red" en la página 258.

Mayor seguridadcontra softwaremalicioso

21Presentación de Symantec Endpoint Protection Small Business EditionNovedades de la versión 12.1


Symantec Endpoint Protection Manager ayuda a administrar los equipos cliente con mayorfacilidad mediante las siguientes nuevas funciones:

■ La concesión de licencias centralizada le permite adquirir, activar y administrar licenciasde productos desde la consola de administración.

Ver "Concesión de licencias de Symantec Endpoint Protection" en la página 60.

■ La pantalla de inicio de sesión de Symantec Endpoint Protection Manager permite quese envíe su contraseña olvidada por correo electrónico.

Ver "Inicio de sesión en la consola de Symantec Endpoint Protection Manager"en la página 53.

■ La página Supervisión incluye un conjunto de notificaciones de correo electrónicoconfiguradas previamente que le informan los eventos usados con mayor frecuencia.Los eventos incluyen cuando el software de cliente está disponible, cuándo una políticacambia, los mensajes de la renovación de la licencia y cuándo el servidor deadministración localiza los equipos sin protección. Las notificaciones se habilitan deforma predeterminada y admiten Blackberry, iPhone y Android.

Ver "Acerca de las notificaciones con configuración previa" en la página 313.

■ Los informes de estado mejorados restablecen automáticamente el EstadoAúninfectadoen un equipo cliente una vez que el equipo ya no está infectado.

Una administraciónmás rápida y flexible

Para aumentar la velocidad entre el servidor de administración y la consola deadministración, la base de datos y los equipos cliente:

■ Los análisis en busca de virus y spyware usan Insight para permitir que los análisisomitan los archivos seguros y se concentren en los archivos en riesgo. Los análisis queusan Insight son más rápidos y más exactos, y reducen la carga del análisis hasta el70%.

Ver "Modificación de la configuración de análisis global para clientes Windows"en la página 205.

Ver "Cómo personalizar Auto-Protect para los clientes Windows" en la página 198.

Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la página199 en la página 199.

Ver "Cómo ajustar el análisis para mejorar rendimiento del equipo" en la página 172.

■ LiveUpdate puede ejecutarse cuando el equipo cliente está inactivo, tiene contenidodesactualizado o se ha desconectado, lo que usa menos memoria.

Mayor rendimiento delservidor y del cliente

En Symantec Enterprise Protection Small Business Edition, se puede ahora implementary administrar clientes Mac en Symantec Endpoint Protection Manager para SymantecEndpoint Protection Small Business Edition.

Ver "Cómo implementar clientes usando un vínculo web y un correo electrónico"en la página 80.

Soporte para clientesMac

Presentación de Symantec Endpoint Protection Small Business EditionNovedades de la versión 12.1

22


Es posible instalar el producto con mayor rapidez y facilidad que antes con las nuevasfunciones de instalación que se detallan a continuación:

■ Es posible actualizar a la versión actual del producto mientras los clientes de una versiónanterior permanecen conectados y protegidos.

■ Un nuevo informe rápido para implementación muestra que los equipos han instaladocorrectamente el software de cliente.

Ver "Ejecución y personalización de informes rápidos" en la página 297.

Proceso de instalaciónmejorado

Symantec Endpoint Protection Manager ahora admite los siguientes sistemas operativosadicionales:

■ VMware Workstation 7.0 o posterior

■ VMware ESXi 4.0.x o una versión posterior

■ VMware ESX 4.0.x o una versión posterior

■ VMware Server 2.0.1

■ Citrix XenServer 5.1 o una versión posterior

Symantec Endpoint Protection Manager ahora admite los navegadores web siguientes:

■ Internet Explorer 7.0, 8.0, 9.0

■ Firefox 3.6, 4.0

Ver "Requisitos del sistema" en la página 45.

Compatibilidad con lossistemas operativosadicionales

Acerca de los tipos de protección contra amenazasque Symantec Endpoint Protection Small BusinessEdition proporciona

Symantec Endpoint Protection Small Business Edition usa protección avanzadapara integrar varios tipos de protección en cada equipo de la red. Ofrece defensaavanzada contra todos los tipos de ataques para los sistemas físicos y los sistemasvirtuales. Se necesitan combinaciones de todas las tecnologías de protección paraproteger y personalizar completamente la seguridad del entorno. SymantecEndpoint Protection Small Business Edition combina el análisis tradicional, elanálisis de comportamiento, la prevención de intrusiones y la inteligencia de lacomunidad en un sistema de seguridad superior.

Tabla 1-2 describe los tipos de protección que proporciona el producto y susventajas.

23Presentación de Symantec Endpoint Protection Small Business EditionAcerca de los tipos de protección contra amenazas que Symantec Endpoint Protection Small Business Edition

proporciona

Tabla 1-2 Capas de protección

VentajaDescripciónTipo deprotección

La protección antispyware y antivirus detectanuevas amenazas de forma temprana y conmayor exactitud mediante soluciones basadasen firmas y en conducta, además de otrastecnologías.

■ Symantec Insight proporciona una detecciónmás rápida y más exacta de softwaremalicioso para detectar las nuevas ydesconocidas amenazas que a otros enfoquesles falta. Insight identifica amenazas de díacero nuevas usando la sabiduría colectiva demillones de sistemas en centenares de países.

■ Bloodhound usa la heurística para detectarun alto porcentaje de amenazas conocidas ydesconocidas.

■ Auto-Protect analiza los archivos de una listade firmas a medida que se leen o se escribenen el equipo cliente.

La protección antispyware y antivirus protegea los equipos contra virus y riesgos para laseguridad y, en muchos casos, puede reparar losefectos secundarios. La protección incluyeanálisis en tiempo real de archivos y del correoelectrónico, así como análisis programados yanálisis manuales. El análisis de virus y spywaredetecta los virus y los riesgos para la seguridadque pueden poner un equipo, así como una red,en peligro. Los riesgos para la seguridadincluyen spyware, publicidad no deseada y otrosarchivos maliciosos.

Ver "Cómo administrar análisis en los equiposcliente" en la página 147.

Protecciónantispyware yantivirus

Presentación de Symantec Endpoint Protection Small Business EditionAcerca de los tipos de protección contra amenazas que Symantec Endpoint Protection Small Business Editionproporciona

24

VentajaDescripciónTipo deprotección

■ El motor del firewall basado en reglasprotege los equipos contra amenazasmaliciosas antes de que aparezcan.

■ El IPS analiza el tráfico de red y los archivospara obtener indicaciones de intrusiones ointentos de intrusiones.

■ La prevención contra intrusiones denavegador realizar un análisis en busca delos ataques que se dirigen en lasvulnerabilidades del navegador.

■ La protección de descarga universalsupervisa todas las descargas del navegadory valida las descargas que no son softwaremalicioso.

La protección contra amenazas de redproporciona protección de firewall y prevenciónde intrusiones para evitar que los ataques deintrusión y el contenido malicioso alcancen elequipo que ejecuta el software del cliente.

El firewall permite o bloquea el tráfico de redsegún diversos criterios que el administradorconfigura. Si el administrador lo permite, losusuarios finales pueden además configurarpolíticas de firewall.

El sistema de prevención de intrusiones (IPS)analiza toda la información entrante y salientede patrones de datos típicos de un ataque.Detecta y bloquea el tráfico malintencionado ylos intentos de ataque al equipo cliente por partede usuarios externos. La prevención deintrusiones también supervisa el tráfico salientey evita la propagación de gusanos.

Ver "Cómo administrar la protección mediantefirewall" en la página 225.

Ver "Cómo administrar la prevención deintrusiones en sus equipos cliente"en la página 253.

Proteccióncontra amenazasde red

SONAR examina los programas mientras seejecutan e identifica y detiene la conductamaliciosa de nuevas y previamente desconocidasamenazas. SONAR usa la heurística así como losdatos de reputación para detectar amenazasemergentes y desconocidas.

La protección proactiva contra amenazas usaSONAR para brindar protección contravulnerabilidades de ataques de día cero en lared. Las vulnerabilidades de ataque de día ceroson las nuevas vulnerabilidades que todavía noson públicamente conocidas. Las amenazas queaprovechan estos puntos vulnerables puedenevadir la detección basada en firmas (comodefiniciones de spyware). Los ataques de día cerose pueden usar en ataques dirigidos y en lapropagación de código malicioso. SONARproporciona protección de conductas en tiemporeal mediante la supervisión de procesos yamenazas a medida que se ejecutan.


Protecciónproactiva contraamenazas

25Presentación de Symantec Endpoint Protection Small Business EditionAcerca de los tipos de protección contra amenazas que Symantec Endpoint Protection Small Business Edition

proporciona

El servidor de administración impone cada protección usando una política asociadaque se descarga al cliente.

Figura 1-1 muestra las categorías de amenazas que bloquea cada tipo de protección.

Figura 1-1 Una descripción general de las capas de protección

Protección antispyware y antivirus

Endpoint

Tarjeta de interfaz de red

PuertastraserasAtaques deDoSAnálisis depuertosAtaques de pilaTroyanosGusanos

Internet

Memoria/periféricos

Sistema de archivos

Protección proactiva contraamenazas

Modificacionesde registro/proceso/archivo

Política delfirewall

Política deprevención deintrusiones

Políticas de controlde aplicaciones ydispositivos

Red de laempresa

Política deprotección antivirusy antispyware(SONAR)

Publicidad no deseadaPuertas treserasAmenazas mutantesSpywareTroyanosGusanosVirus

Amenazas depersonas deconfianzaRegistradores depulsacionesRetro virusSpywareAtaques dirigidosTroyanosGusanosAmenazas dedía ceroCambios dearchivo de host yDNS

Proteccióncontraamenazasde red

Vulnerabilidadesde la aplicaciónPuertas traserasVulnerabilidadesdel SOTroyanosGusanos

Política deprotección antivirusy antispyware

Ver "Componentes de Symantec Endpoint Protection Small Business Edition"en la página 41.

Presentación de Symantec Endpoint Protection Small Business EditionAcerca de los tipos de protección contra amenazas que Symantec Endpoint Protection Small Business Editionproporciona

26

Protección de su red con Symantec EndpointProtection Small Business Edition

Proteja los equipos en su red instalando y administrando el cliente de SymantecEndpoint Protection Manager y de Symantec Endpoint Protection Small BusinessEdition.

Tabla 1-3 resume las tareas de alto nivel principales que es necesario realizar parausar Symantec Endpoint Protection Small Business Edition.

Tabla 1-3 Pasos para instalar, configurar y administrar Symantec EndpointProtection Small Business Edition

DescripciónTarea

Es posible instalar el cliente de Symantec EndpointProtection Manager y Symantec Endpoint Protection SmallBusiness Edition y proteger su red siguiendo algunos pasosfáciles.

Ver "Encendido y ejecución de Symantec EndpointProtection Small Business Edition por primera vez"en la página 28.

Configuración de SymantecEndpoint Protection SmallBusiness Edition

Symantec Endpoint Protection Manager viene con laconfiguración y las políticas predeterminadas de modo quesu red esté protegida inmediatamente después de lainstalación. Es posible modificar esta configuración paraadaptarla a su entorno de red.

Ver "Cómo administrar la protección en los equipos cliente"en la página 32.

Cómo administrar SymantecEndpoint Protection SmallBusiness Edition

Es posible que sea necesario realizar cierto mantenimientocontinuo para que el entorno de red siga ejecutándose sinproblemas en momentos de rendimiento máximo. Porejemplo, es necesario hacer copia de seguridad de la basede datos en el caso de que se necesite realizar recuperacióndespués de un desastre.

Ver "Mantener la seguridad de su entorno" en la página 33.

Mantenimiento de unentorno de red seguro

27Presentación de Symantec Endpoint Protection Small Business EditionProtección de su red con Symantec Endpoint Protection Small Business Edition

DescripciónTarea

Si tiene problemas para instalar o usar el producto,Symantec Endpoint Protection Manager incluye variosrecursos para ayudar a reparar problemas comunes, comode comunicación del servidor y el cliente y los ataques devirus.

Ver "Cómo solucionar problemas de Symantec EndpointProtection Small Business Edition" en la página 34.

Cómo solucionar problemasde Symantec EndpointProtection Small BusinessEdition

Ver "Componentes de Symantec Endpoint Protection Small Business Edition"en la página 41.

Encendido y ejecución de Symantec Endpoint Protection Small BusinessEdition por primera vez

Es necesario evaluar sus requisitos de seguridad y decidir si la configuraciónpredeterminada proporciona el equilibrio de rendimiento y seguridad que necesita.Algunas mejoras de rendimiento pueden hacerse inmediatamente después deinstalar Symantec Endpoint Protection Manager.

La Tabla 1-4 enumera las tareas que debe realizar para instalar y proteger losequipos de la red de forma inmediata.

Tabla 1-4 Tareas para instalar y configurar Symantec Endpoint ProtectionSmall Business Edition

DescripciónAcción

Si instala el producto por primera vez, realiza una actualización desde una versión previao migra desde otro producto, instale primero Symantec Endpoint Protection Manager.

Ver "Cómo instalar el servidor de administración y la consola" en la página 49.

Ver "Acerca de la migración a Symantec Endpoint Protection Small Business Edition"en la página 90.

Instalar o migrar alservidor deadministración

Es posible agregar los grupos que contienen equipos según el nivel de seguridad o lafunción que los equipos realizan. Por ejemplo, es necesario colocar equipos con un de altonivel de seguridad en un grupo o un grupo de equipos Mac en otro grupo.

Ver "Cómo se pueden estructurar los grupos" en la página 109.

Ver "Adición de un grupo" en la página 110.

Ver "Instrucciones para administrar equipos portables" en la página 111.

Crear grupos

Presentación de Symantec Endpoint Protection Small Business EditionProtección de su red con Symantec Endpoint Protection Small Business Edition

28

DescripciónAcción

Cambie los siguientes valores de análisis predeterminados:

■ Para el grupo de servidores, cambie la hora de análisis programado a una hora en quela mayoría de los usuarios estén desconectados.

Ver "Cómo configurar análisis programados que se ejecutan en equipos Windows"en la página 169.

Modificar la política deprotección antivirus yantispyware

Adquiera una licencia y actívela dentro del plazo de 30 días de instalación del producto.

Ver "Cómo activar su licencia de producto" en la página 64.

Activar la licencia delproducto

Antes de instalar el software de cliente, realice las siguientes tareas, si es necesario:

■ Desinstale el software de protección contra virus de otro fabricante de los equipos.

Para obtener más información sobre una herramienta para desinstalar cualquierproducto competitivo de forma automática, consulte el artículo de la base deconocimientos Herramienta de desinstalación de producto competitivo SEPprep.

■ Si implementa el software de cliente remotamente, primero, modifique la configuracióndel firewall en sus equipos cliente para permitir la comunicación entre los equipos yel servidor de administración.

Ver "Preparación para la instalación de clientes" en la página 75.

Preparar los equipospara la instalación delcliente (opcional)

Implemente el software de cliente.


Instalar el software delcliente con el Asistentede implementación delcliente


http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=sepprep

DescripciónAcción

En la consola de administración, en la página Equipos > Equipos :

1 Cambie la vista a Estado del cliente para asegurarse de que los equipos cliente encada grupo se comuniquen con el servidor de administración.

Consulte la información en las columnas siguientes:

■ La columna Equipo muestra un punto verde para los clientes que están conectadosal servidor de administración.

■ La columna Últimocambiodeestado muestra la hora en que el cliente se comunicópor última vez con el servidor de administración.

■ La columna Debe reiniciar muestra qué equipos cliente es necesario reiniciarpara habilitar la protección.

Ver "Cómo reiniciar equipos cliente" en la página 85.

■ La columna Número de serie de la política muestra el número de serie de lapolítica más actual. Es posible que la política no se actualice por uno a dos latidos.

Ver "Cómo usar el número de serie de la política para comprobar la comunicaciónde servidor a cliente" en la página 136.

2 Cambie a la vista Tecnología de protección y asegúrese de que las proteccionessiguientes estén configuradas en Activado :

■ Estado del antivirus■ Estado del firewall

Ver "Visualizar el estado de protección de los clientes y equipos cliente"en la página 115.

3 En el cliente, compruebe que el cliente esté conectado a un servidor y compruebe queel número de serie de la política sea el más actual.

Ver "Visualización del estado de conexión del cliente en el cliente" en la página 350.

Ver "Cómo solucionar problemas de comunicación entre el servidor de administración yel cliente" en la página 348.

Comprobar que losequipos estén detalladosen los grupos que ustedesperaba y que el clientese comunica con elservidor deadministración

Asegúrese de que las actualizaciones de contenido se descarguen a los equipos cliente enun momento que afecte a los usuarios lo menos posible.

Ver "Configurar la programación de descarga de LiveUpdate para Symantec EndpointProtection Manager" en la página 281.

Comprobar laprogramación deLiveUpdate y ajustarla,si es necesario

Las alertas y las notificaciones son críticas para mantener un entorno seguro y puedenademás ahorrar tiempo.

Ver "Cómo administrar notificaciones" en la página 311.

Configurar SymantecEndpoint ProtectionManager para enviaralertas por correoelectrónico


30

DescripciónAcción

Cree una notificación para un Evento de riesgo simple y modifique la notificación paraAtaque de riesgo.

Para estas notificaciones, haga lo siguiente:

1 Cambie la Gravedaddelriesgo a Categoría1(MuyBajoysuperior) para evitar recibircorreos electrónicos sobre cookies de seguimiento.

2 Conserve la configuración Reducción en Automático.

Ver "Cómo configurar notificaciones de administrador" en la página 320.

Configure notificacionespara un único ataque deriesgo y cuando sedetecta un nuevo riesgo

Tabla 1-5 muestra las tareas para realizar después de instalar y configurar elproducto para evaluar si los equipos cliente tienen el nivel correcto de protección.

Tabla 1-5 Tareas para realizar dos semanas después de la instalación

DescripciónAcción

Es posible aumentar el rendimiento de modo que el cliente no analice ciertas carpetas yciertos archivos. Por ejemplo, el cliente analiza el servidor de correo cada vez que seejecuta un análisis programado.

Es posible también excluir archivos por extensión en análisis de Auto-Protect.

Ver "Cómo crear las excepciones para Symantec Endpoint Protection Small BusinessEdition" en la página 264.

Ver "Cómo personalizar Auto-Protect para los clientes Windows" en la página 198.

Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la página199 en la página 199.

Excluir aplicaciones yarchivos del análisis

Ejecute los siguientes informes rápidos e informes programados para ver si los equiposcliente tienen el nivel de seguridad correcto.

Ver "Acerca de los tipos de informes" en la página 295.


Ver "Creación de informes programados" en la página 300.

Ejecutar un informerápido y un informeprogramado después delanálisis programado

Revise los monitores, los registros y el estado de equipos cliente para asegurarse de tenerel nivel correcto de protección para cada grupo.

Ver "Supervisión de protección de endpoints" en la página 287.

Comprobar paraasegurarse de que losanálisis programados sehayan realizadocorrectamente y losclientes funcionen comose esperaba


Cómo administrar la protección en los equipos clienteSe usa una única consola de administración para administrar la protección en losequipos cliente. Aunque los equipos cliente estén protegidos de forma inmediata,puede ser recomendable modificar la protección para adaptarla a sus necesidades.

Tabla 1-6 resume las tareas que se pueden realizar si es necesario ajustar laconfiguración predeterminada.

Tabla 1-6 Cómo modificar la protección en el equipo cliente

DescripciónTarea

Se aplica la protección a los equipos cliente según el grupo en el que coloca un equipo. Losequipos en cada grupo tienen el mismo nivel de seguridad.

Es posible importar la estructura de grupo existente de su compañía. Es posible también crearnuevos grupos.

Para determinar qué grupos agregar, primero considere la estructura de la red. O, si crea unanueva estructura de grupo, base su estructura de grupo en la función, el rol, la región geográficao una combinación de criterios. Por ejemplo, considere el número de equipos en el sitio o silos equipos son del mismo tipo, tal como equipos Windows o Mac.

Ver "Cómo administrar grupos de equipos" en la página 107.

Ver "Cómo administrar los equipos cliente" en la página 113.

Organizar yadministrar grupos

Symantec Endpoint Protection Manager incluye las políticas predeterminadas para cada tipode protección. Las políticas equilibran la necesidad de protección con rendimiento. Inicialmente,las políticas predeterminadas proporcionan la configuración apropiada para organizacionesgrandes y pequeñas. Es posible ajustar la configuración a lo largo del tiempo según lo que sucompañía necesita.

Ver "Tipos de políticas de seguridad" en la página 126.

Ver "Acerca de los tipos de protección contra amenazas que Symantec Endpoint ProtectionSmall Business Edition proporciona" en la página 23.

Ver "Cómo administrar análisis en los equipos cliente" en la página 147.

Ver "Cómo administrar la protección mediante firewall" en la página 225.

Ver "Cómo administrar la prevención de intrusiones en sus equipos cliente" en la página 253.

Modificar laprotección

Las políticas de seguridad se deben aplicar a un grupo antes de que los clientes apliquen laspolíticas al equipo cliente. Es posible crear políticas que sean compartidas por todos los gruposo que se apliquen a un grupo solamente. Symantec Endpoint Protection Manager facilita latarea de agregar y modificar políticas para todas las necesidades de seguridad de su compañía.

Ver "Cómo realizar tareas que son comunes a todas las políticas de seguridad" en la página 127.

Administrarpolíticas


32

DescripciónTarea

Los equipos cliente necesitan recibir actualizaciones periódicas de contenido de protección,como definiciones de virus, firmas de prevención de intrusiones y software del producto. Esposible configurar el método, el tipo de contenido y la programación que Symantec EndpointProtection Small Business Edition usa para descargar el contenido a los equipos cliente.

Ver "Cómo administrar actualizaciones de contenido" en la página 278.

Programar yadministraractualizaciones

Es posible configurar el cliente para que muestre diferentes funciones del cliente y funcionesde protección. Cómo se configuran estas funciones depende de cuánto control desee que losusuarios del equipo cliente tengan en cada grupo.

Ver "Cómo bloquear y desbloquear la configuración de políticas" en la página 131.

Controlar el accesode usuarios

Symantec recomienda analizar qué tipo de seguridad necesitan los equipos. Si no implementóel paquete de instalación de clientes en el momento en el que instaló Symantec EndpointProtection Manager, se puede implementar el software de cliente más tarde.

Tiene la opción de buscar equipos sin protección.



Administrar laimplementación delcliente

Se usan informes y registros para ver el estado de seguridad de los equipos cliente. Los informesy los registros le ayudan a manejar ataques de virus y a aumentar la seguridad y el rendimientode la red de su compañía.

Es posible también configurar notificaciones para alertar a los administradores y a los usuariossobre problemas de seguridad potenciales.



Supervisar yresponder a loscambios de estado

Es posible agregar cuentas de administrador, de modo que diversos administradores tengandiversos niveles de control sobre cómo administrar los grupos, las políticas, los comandos ylos informes en Symantec Endpoint Protection Manager.

Ver "Cómo administrar cuentas de administrador" en la página 325.

Administraradministradores

Mantener la seguridad de su entornoUna vez que haya protegido su red, puede ser recomendable modificar la proteccióny la infraestructura para aumentar la seguridad o para aumentar el rendimiento.


Tabla 1-7 Tareas que se pueden realizar para mantener la seguridad de sured

DescripciónTarea

Es necesario comprobar periódicamente la página principal para ver el estado de seguridadtotal de su red. Es posible usar las notificaciones, los informes y los registros para proporcionardetalles sobre el estado de seguridad.



Comprobar el estadode seguridad de sured

Es posible comprobar si su licencia está a punto de caducar o si tiene demasiados clientesimplementados para lo que cubre su licencia.

Ver "Mantener sus licencias del producto" en la página 68.

Mantenimiento delicencias

Para ayudar a atenuar un caso de daño de datos o de un error de hardware, es necesario hacercopia de seguridad de la base de datos regularmente y hacer una copia de los archivosespecíficos del servidor de administración.

Ver "Preparación para la recuperación después de un desastre" en la página 337.

Preparación para larecuperacióndespués de undesastre

Es posible actualizar la configuración del servidor de correo, el servidor proxy y los servidoresde LiveUpdate.

Ver "Establecimiento de la comunicación entre el servidor de administración y los servidoresde correo electrónico" en la página 317.

Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxypara acceder a Internet" en la página 284.

Reconfiguración deservidores

Cómo solucionar problemas de Symantec Endpoint Protection SmallBusiness Edition

Tabla 1-8 muestra la mayoría de los problemas comunes que es posible queencuentre cuando instale y use Symantec Endpoint Protection Small BusinessEdition.

Tabla 1-8 Problemas comunes que puede solucionar

DescripciónTarea

Es posible descargar y ejecutar la herramienta de soporte de Symantec Endpoint ProtectionSmall Business Edition para verificar que sus equipos estén listos para la instalación. Laherramienta de apoyo se proporciona con el servidor de administración y el cliente. Tambiénestá disponible en el sitio web del soporte técnico de Symantec.

Ver "Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionarproblemas del equipo" en la página 347.

Cómo repararproblemas deinstalación


34

DescripciónTarea

Es posible evitar que amenazas ataquen los equipos en su red.

Ver "Cómo evitar y controlar ataques del virus y de spyware en los equipos cliente"en la página 140.

Ver "Cómo reparar riesgos en los equipos en su red" en la página 143.

Si una amenaza ataca un equipo cliente, puede identificar y responder a la amenaza. Consulteel siguiente artículo de la base de conocimientos:

Prácticas recomendadas para la solución de problemas de virus en una red.

Administración deataques de virus

Si las últimas definiciones de virus no se actualizan correctamente en Symantec EndpointProtection Manager o los clientes, consulte el artículo de la base de conocimientos siguiente:

Symantec Endpoint Protection: solución de problemas de LiveUpdate.

Solución deproblemas deactualización decontenido

Los canales de comunicaciones entre todos los componentes de Symantec Endpoint ProtectionSmall Business Edition deben estar abiertos. Estos canales incluyen de servidor a cliente, deservidor a base de datos, y de servidor y cliente a componente de entrega de contenido, talcomo LiveUpdate.

Ver "Cómo solucionar problemas de comunicación entre el servidor de administración y elcliente" en la página 348.

Ver "Solucionar problemas de comunicación entre el servidor de administración y la consolao la base de datos" en la página 355.

Consulte el siguiente artículo de la base de conocimientos:

Solución de problemas de comunicación de Symantec Endpoint Protection Manager.

Reparación deerrores decomunicación

En caso de daños en la base de datos o de error de hardware, puede restaurar la últimainstantánea de la base de datos si tiene un archivo de copia de seguridad de base de datos.

Ver "Ejecución de recuperación después de un desastre" en la página 343.

Ejecución derecuperacióndespués de undesastre

Es posible solucionar diversos problemas de informes y registros.

Ver "Solución de problemas de elaboración de informes" en la página 359.

Solución deproblemas deelaboración deinformes

Consulte el artículo de la base de conocimientosPrincipales artículos de “Prácticasrecomendadas” para Symantec Endpoint Protection.


http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=troubleshoot_virus

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=troubleshoot_lu

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=Troubleshooting_SPC

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=bp_article_nav

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=bp_article_nav


36

Instalación de SymantecEndpoint Protection SmallBusiness Edition

■ Capítulo 2. Planificación de la instalación

■ Capítulo 3. Instalación de Symantec Endpoint Protection Manager

■ Capítulo 4. Administración de licencias de productos

■ Capítulo 5. Preparación para la instalación de clientes

■ Capítulo 6. Instalación del cliente de Symantec Endpoint Protection SmallBusiness Edition

■ Capítulo 7. Actualización y migración a Symantec Endpoint Protection SmallBusiness Edition

1Sección

38

Planificación de lainstalación


■ Planificación de la instalación

■ Componentes de Symantec Endpoint Protection Small Business Edition

■ Requisitos de la licencia de producto

■ Requisitos del sistema

■ Acerca de la compatibilidad de Symantec Endpoint Protection Manager conotros productos

Planificación de la instalaciónTabla 2-1 resume los pasos de alto nivel para instalar Symantec EndpointProtection Small Business Edition.

2Capítulo

Tabla 2-1 Planificación de la instalación

DescripciónAcciónPaso

Comprenda los requisitos de tamaño para su red. Además de identificar losendpoints que necesitan protección, la programación de actualizaciones y otrasvariables se deben evaluar para asegurar un buen rendimiento de la red y dela base de datos.

Para que la información le ayude a planificar instalaciones de mediana escalaa gran escala, consulte el white paper de Symantec, Recomendaciones de tamañoy elevación para Symantec Endpoint Protection Small Business Edition.

Compre una licencia en el plazo de 30 días de instalación del producto.


Ver "Requisitos de la licencia de producto" en la página 43.

Planee la arquitectura dered y revise y compreuna licencia en el plazode 30 días a partir de lainstalación del producto

Paso 1

Asegúrese de que sus equipos cumplan con los requisitos mínimos del sistemay que se comprendan los requisitos de concesión de licencias del producto.



Revisar los requisitos delsistema

Paso 2

Desinstale el otro software de protección antivirus de sus equipos, asegúresede que el acceso a nivel del sistema esté disponible y abra los firewalls parapermitir la implementación remota.


Ver "Cómo preparar los sistemas operativos Windows para la implementaciónremota" en la página 76.

Preparar los equipospara la instalación

Paso 3

La implementación remota del cliente necesita que ciertos puertos y protocolosestén abiertos y se permitan entre Symantec Endpoint Protection Manager ylos equipos de endpoint.

Abra los puertos ypermita los protocolos

Paso 4

Identifique los nombres de usuario, las contraseñas, las direcciones de correoelectrónico y la configuración de la otra instalación. Tenga la información amano durante la instalación.

Identificar laconfiguración de lainstalación

Paso 5

Instale Symantec Endpoint Protection Manager.

Si la red que admite su empresa es pequeña y está ubicada en una ubicacióngeográfica, deberá instalar solamente un Symantec Endpoint ProtectionManager. Si la red está geográficamente dispersa, es posible que sea necesarioinstalar servidores de administración adicionales para el balanceo de carga yla distribución del ancho de banda.


Instale el servidor deadministración

Paso 6

Planificación de la instalaciónPlanificación de la instalación

40

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=sep_ee_sizing&build=symantec_ent

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=sep_ee_sizing&build=symantec_ent


Si está ejecutando la protección de versión anterior de Symantec, se migrageneralmente la configuración de la política y del grupo de su versión anterior.

Ver "Acerca de la migración a Symantec Endpoint Protection Small BusinessEdition" en la página 90.

Migrar el softwareheredado de proteccióncontra virus de Symantec

Paso 7

Prepárese para la instalación del cliente de la siguiente manera:

■ Identifique los equipos en los cuales se instalará el software de cliente.

■ Identifique los métodos que se deben usar para implementar el software decliente en los equipos.

■ Desinstale el software de protección contra virus de otro fabricante de losequipos.

■ Modifique o deshabilite la configuración del firewall en sus equipos deendpoint para permitir la comunicación entre los endpoints y SymantecEndpoint Protection Manager.

■ Instale los grupos de la consola del equipo para que coincidan con suestructura organizativa.


Ver "Instrucciones para administrar equipos portables" en la página 111.

Preparar los equipospara la instalación delcliente

Paso 8

Instale el cliente de Symantec Endpoint Protection Small Business Edition enlos equipos de endpoint.

Symantec recomienda que, además, instale el cliente en el equipo que albergaSymantec Endpoint Protection Manager.


Instalar los clientesPaso 9

Ver "Encendido y ejecución de Symantec Endpoint Protection Small BusinessEdition por primera vez" en la página 28.

Tareas posteriores a lainstalación

Paso 10

Ver "Acerca de la licencia del software de prueba" en la página 62.

ComponentesdeSymantecEndpointProtectionSmallBusiness Edition

La Tabla 2-2 enumera los componentes del producto y describe sus funciones.

41Planificación de la instalaciónComponentes de Symantec Endpoint Protection Small Business Edition

Tabla 2-2 Componentes del producto

DescripciónComponente

Symantec Endpoint Protection Manager es un servidor deadministración que gestiona los equipos cliente que seconectan a la red de la compañía.

Symantec Endpoint Protection Manager incluye el softwaresiguiente:

■ El software de la consola coordina y administra laspolíticas de seguridad, los equipos cliente, los informesy los registros. La consola es la interfaz para el servidorde administración. Además, se puede instalar y usarremotamente en cualquier equipo con una conexión dered al servidor de administración.

■ El software del servidor de administración ofrececomunicación segura con la consola y los equipos cliente.

Symantec EndpointProtection Manager

La base de datos que almacena las políticas de seguridad ylos eventos. La base de datos está instalada en el equipo quealberga Symantec Endpoint Protection Manager.

Base de datos

El cliente de Symantec Endpoint Protection Small BusinessEdition protege los equipos con análisis antivirus yantispyware, SONAR, Diagnóstico Insight de descargas, unfirewall, un sistema de prevención de intrusiones y otrastecnologías de protección. Se ejecuta en los servidores, losescritorios y los equipos portátiles que desea proteger.

El cliente Mac de Symantec Endpoint Protection protege losequipos con análisis en busca de virus y spyware.

Para obtener más información, consulte la Guía del clientede Symantec Endpoint Protection Small Business Edition.

Ver "Acerca de Symantec Endpoint Protection SmallBusiness Edition" en la página 19.

Cliente de SymantecEndpoint Protection SmallBusiness Edition

Planificación de la instalaciónComponentes de Symantec Endpoint Protection Small Business Edition

42

Figura 2-1 Los componentes del producto en una red

Firewall

Equipos que ejecutan el clienteSymantec EndpointProtection,conectándose por untúnel a través de la VPN

Internet

Red Ethernet local

Symantec Endpoint ProtectionManager, con el cliente SymantecEndpoint Protectioninstalado

Equipos que ejecutan el clienteSymantec Endpoint Protection


Requisitos de la licencia de productoSi desea usar Symantec Endpoint Protection Small Business Edition después deque el período de prueba caduca, es necesario comprar una licencia de producto.Se compra una licencia según los siguientes requisitos:

43Planificación de la instalaciónRequisitos de la licencia de producto

Tabla 2-3 Requisitos de la licencia de producto

RequisitoProducto

Es necesario comprar una licencia que cubra cadacliente implementado. Una licencia cubre todos losclientes sin importar la plataforma y la versión.

Ver "Reglas de aplicación de concesión de licencias"en la página 69.

Instalación de la licencia paga

Symantec Endpoint Protection Small Business Editionacepta el archivo de licencia de su software heredadode protección contra virus de Symantec. Es necesariocomprar una nueva licencia cuando la licencia deversión anterior caduca.

Software heredado de proteccióncontra virus de Symantec

Una licencia de prueba de 30 días se incluye conSymantec Endpoint Protection Small Business Edition.Es necesario comprar una licencia cuando la licenciade prueba caduca.

Software de prueba

La terminología siguiente se aplica a las licencias de producto de Symantec:

Una licencia contiene un número de serie que identificaúnicamente a su licencia y asocia la licencia a su compañía. Elnúmero de serie se puede usar para activar su licencia de SymantecEndpoint Protection Small Business Edition.


Número de serie

Implementado hace referencia a los equipos de endpoint quecuentan con la protección del software de cliente de SymantecEndpoint Protection Small Business Edition. Por ejemplo, “tenemos50 puestos implementados” significa que 50 equipos endpointtienen software de cliente instalado.

Implementado

Se activa su licencia de producto de Symantec Endpoint ProtectionSmall Business Edition para habilitar el acceso sin restricción ala funcionalidad del programa. Se usa el Asistente para laactivación de licencias para completar el proceso de activación.


Activar

Planificación de la instalaciónRequisitos de la licencia de producto

44

Un puesto es un único equipo de endpoint que está protegido porel software de cliente de Symantec Endpoint Protection SmallBusiness Edition. Una licencia se compra y es válida para unnúmero de puestos específico. Los “puestos válidos” hacenreferencia al número de puestos totales que se especifican en todassus licencias activas.

Puesto

Ver "Compra de licencias" en la página 62.Software de prueba

Una licencia está sobreimplementada cuando el número de clientesimplementados excede el número de puestos con licencia.

Sobreimplementada

Una vez que haya determinado sus requisitos de licencia, haga las siguientestareas:

■ Compre la licencia.Ver "Compra de licencias" en la página 62.

■ Active la licencia.Ver "Cómo activar su licencia de producto" en la página 64.

Comprender los requisitos de la licencia es parte de planificar su instalación deSymantec Endpoint Protection Small Business Edition y, después de la instalación,administrar sus licencias de producto.

Ver "Planificación de la instalación" en la página 39.


Requisitos del sistemaGeneralmente, los requisitos del sistema para Symantec Endpoint ProtectionManager y los clientes son iguales a los de los sistemas operativos admitidos. Losdetalles adicionales se proporcionan en las tablas siguientes.

Tabla 2-4 muestra los requisitos mínimos para Symantec Endpoint ProtectionManager.

Tabla 2-5 muestra los requisitos mínimos para el cliente Symantec EndpointProtection Small Business Edition.

45Planificación de la instalaciónRequisitos del sistema

Tabla 2-4 Requisitos del sistema de Symantec Endpoint Protection Manager

RequisitosComponente

■ Procesador de 32 bits: Intel Pentium III de 1 GHz o mínimoequivalente (Intel Pentium 4 o equivalente recomendado)

■ Procesador de 64 bits: Pentium 4 de 2 GHz con soporte x86-64 oel mínimo equivalente

Nota:No se admiten los procesadores Intel Itanium IA-64 y PowerPC.

Procesador

1 GB de RAM para los sistemas operativos de 32 bits, 2 GB de RAMpara los sistemas operativos de 64 bits o más si lo requiere el sistemaoperativo

RAM física

4 GB o más de espacio libreDisco duro

800 x 600Pantalla

■ Windows 7

■ Windows XP (de 32 bits, SP 3 o posterior; de 64 bits, todas lasversiones SP)

■ Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior)

■ Windows Server 2008 (de 32 bits, de 64 bits)

■ Windows Small Business Server 2008 (de 64 bits)


■ Windows Essential Business Server 2008 (de 64 bits)

Sistema operativo

■ Microsoft Internet Explorer 7, 8 o 9

■ Mozilla Firefox 3.6 o 4.0

Navegador web

Nota: Los clientes anteriores a la versión 12.1 se pueden administrar con estaversión de Symantec Endpoint Protection Manager, independientemente delsistema operativo del cliente.

Planificación de la instalaciónRequisitos del sistema

46

Tabla 2-5 Requisitos del sistema del cliente Windows y Mac de SymantecEndpoint Protection Small Business Edition

RequisitosComponente

■ Procesador de 32 bits para Windows: Intel Pentium III de 1 GHzo mínimo equivalente (Intel Pentium 4 o equivalenterecomendado)

■ Procesador de 32 bits para Mac: Intel Core Solo, Intel Core Duo

■ Procesador de 64 bits para Windows: Pentium 4 de 2 GHz consoporte para x86-64 o el mínimo equivalente. No se admitenprocesadores Itanium.

■ Procesador de 64 bits para Mac: Intel Core 2 Duo, Intel Quad-CoreXeon

Procesador

512 MB de RAM o más si lo requiere el sistema operativoRAM física

Disco duro: 700 MB o más de espacio libreDisco duro

800 x 600Pantalla

■ Windows XP (de 32 bits, SP 2 o posterior; de 64 bits, todas lasversiones SP)

■ Windows XP Embedded

■ Windows Vista (de 32 bits, de 64 bits)

■ Windows 7 (de 32 bits, de 64 bits)

■ Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior)

■ Windows Server 2008 (de 32 bits, de 64 bits)



■ Windows Essential Business Server 2008 (de 64 bits)

■ Mac OS X 10.5 ó 10.6 (de 32 bits, de 64 bits)

■ Mac OS X Server 10.5 ó 10.6 (de 32 bits, de 64 bits)

Sistema operativo

Acerca de la compatibilidad de Symantec EndpointProtection Manager con otros productos

Algunos productos pueden causar conflictos con Symantec Endpoint ProtectionSmall Business Edition cuando están instalados en el mismo servidor. Es necesarioconfigurar la instalación de Symantec Endpoint Protection Manager si uno o másde los productos siguientes está instalado en el mismo servidor:

■ Symantec Backup Exec 10, 10D u 11D

■ Symantec Brightmail

47Planificación de la instalaciónAcerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos

■ Symantec Enterprise Vault

■ Symantec Ghost Solution Suite 2.0

■ Symantec Mail Security for Exchange

■ Symantec NetBackup

■ Microsoft Outlook Web Access

■ Microsoft SharePoint

■ Microsoft Windows Update Services

En la mayoría de los casos, son necesarios cambios en el puerto para permitir queestos programas se ejecuten simultáneamente con Symantec Endpoint ProtectionSmall Business Edition.

Para obtener información sobre los cambios de configuración, consulte el artículode la base de conocimientos del soporte técnico de Symantec, Cómo resolver losproblemas de compatibilidad con Symantec Endpoint Protection.


Planificación de la instalaciónAcerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos

48

http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=12.0&language=english&module=DOC&error=Addressing_SEP_Compat&build=symantec_ent

http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=12.0&language=english&module=DOC&error=Addressing_SEP_Compat&build=symantec_ent

Instalación de SymantecEndpoint ProtectionManager


■ Cómo instalar el servidor de administración y la consola

■ Cómo configurar el servidor de administración durante la instalación

■ Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager

■ Cómo desinstalar Symantec Endpoint Protection Manager

■ Inicio de sesión en la consola de Symantec Endpoint Protection Manager

■ Qué se puede hacer desde la consola

Cómo instalar el servidor de administración y laconsola

Se realizan varias tareas para instalar el servidor y la consola. En el asistente parala instalación, una marca de verificación verde aparece al lado de cada tareacompletada.



Ver "Encendido y ejecución de Symantec Endpoint Protection Small BusinessEdition por primera vez" en la página 28.

3Capítulo

Para instalar la consola y el servidor de administración

1 Si tiene soportes físicos, inserte y muestre el disco del producto.

La instalación debe iniciarse automáticamente. Si no se inicia, haga doble clicen Setup.exe.

Si descargó el producto, descomprima la carpeta y extraiga la imagen enteradel disco del producto en un disco físico, como un disco duro. EjecuteSetup.exe del disco físico.

2 Haga clic en Instalar. En el submenú que se muestra, haga clic en InstalarSymantec Endpoint Protection Manager.

3 Revise la secuencia de eventos de instalación y haga clic en Siguiente.

4 En el panel Contrato de licencia, haga clic en Acepto los términos delcontrato de licencia y, a continuación, en Siguiente.

5 En el panel Carpetadedestino, acepte la carpeta de destino predeterminadao especifique otra carpeta de destino y después haga clic en Siguiente.

6 Haga clic en Instalar.

El proceso de instalación comienza con la instalación de Symantec EndpointProtection Manager y de la consola. Esta parte de la instalación se completade forma automática.

7 En el panel resumen de instalación, haga clic en Siguiente.

El Asistente para la configuración del servidor de administración se iniciade forma automática.

8 Configure el servidor de administración según sus requisitos y después hagaclic en Siguiente.

Ver "Cómo configurar el servidor de administración durante la instalación"en la página 51.

9 En el panel (opcional) Migración de Symantec AntiVirus, haga clic en No sino es necesario migrar de Symantec AntiVirus o de Symantec Client Security.

10 El Asistente de implementación del cliente se inicia de forma automática. Esposible implementar el software de cliente en cualquier momento. Es posiblecancelar con seguridad la implementación del cliente si no desea implementarel software de cliente en este momento.

Ver "Acerca de los métodos de implementación del cliente" en la página 79.

Ver "Cómo implementar clientes usando un vínculo web y un correoelectrónico" en la página 80.

Instalación de Symantec Endpoint Protection ManagerCómo instalar el servidor de administración y la consola

50

Cómo configurar el servidor de administracióndurante la instalación

El Asistente para la configuración del servidor de administración se iniciaautomáticamente después de la instalación de Symantec Endpoint ProtectionManager.


Es posible también iniciar el Asistente de configuración de administración encualquier momento después de la instalación desde Inicio>Todos losprogramas> Symantec Endpoint Protection Manager > Symantec Endpoint ProtectionManager Tools.

Para configurar el servidor, se especifica la siguiente información:

■ Si desea usar un archivo de recuperación.

Nota: Si esta es su primera instalación de Symantec Endpoint ProtectionManager, no hay archivo de recuperación.


■ La contraseña para la cuenta de administrador predeterminada.

■ La dirección de correo electrónico que recibe notificaciones e informesimportantes.

■ El nombre y el número de puerto del servidor de correo electrónico.

■ Es posible agregar opcionalmente la información del partner si tiene un partnerde Ventas de Symantec que administre sus licencias de Symantec.


Aceptar el certificado autofirmado para SymantecEndpoint Protection Manager

Cuando se instala Symantec Endpoint Protection Manager, un certificadoautofirmado para las páginas que aparecen en un navegador se incluye como partede la instalación. Cuando usted primero accede a estas páginas desde una consolaremota, es necesario aceptar el certificado autofirmado para que las páginas semuestren.

51Instalación de Symantec Endpoint Protection ManagerCómo configurar el servidor de administración durante la instalación

Los certificados se almacenan por separado para cada usuario. Cada cuenta deadministrador debe aceptar el certificado para cada ubicación remota desde lacual se conecte al servidor de administración.

Ver "Inicio de sesión en la consola de Symantec Endpoint Protection Manager"en la página 53.

Cómo desinstalar Symantec Endpoint ProtectionManager

Desinstalar Symantec Endpoint Protection Manager desinstala el servidor, laconsola y la base de datos. Es posible desinstalar opcionalmente los archivos decopia de seguridad de base de datos.

Si planea reinstalar Symantec Endpoint Protection Manager, es necesario haceruna copia de seguridad de la base de datos antes de que la desinstale.

Ver "Hacer copia de seguridad de la base de datos y los registros" en la página 339.

Para desinstalar Symantec Endpoint Protection Manager

1 En el equipo servidor, en el menú Inicio, haga clic en Panel de control >Agregar o quitar programas.

2 En el cuadro de diálogo Agregar o quitar programas, seleccione SymantecEndpoint Protection Manager y después haga clic en Quitar.

En algunos casos, es posible que deba desinstalar Symantec Endpoint ProtectionManager o los clientes manualmente.

Para obtener más información, consulte los artículos de la base de conocimientosdel Soporte técnico de Symantec que tienen instrucciones para desinstalarmanualmente Symantec Endpoint Protection Manager y los clientes.

Tabla 3-1 Lista de artículos de la base de conocimientos sobre ladesinstalación manual

ArtículoVersión

Cómo desinstalar manualmente SymantecEndpoint Protection Manager 11.0

Symantec Endpoint Protection Manager 11.0

Cómo desinstalar manualmente SymantecEndpoint Protection Manager 12.0

Symantec Endpoint Protection Manager 12.0

Instalación de Symantec Endpoint Protection ManagerCómo desinstalar Symantec Endpoint Protection Manager

52

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=manun_mgr

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=manun_mgr

http://entced.symantec.com/entt?product=SEP&version=12.1.SBE&language=english&module=doc&error=manun_32_mgr

http://entced.symantec.com/entt?product=SEP&version=12.1.SBE&language=english&module=doc&error=manun_32_mgr

ArtículoVersión

Cómo desinstalar manualmente el clientede Symantec Endpoint Protection de lasediciones de 32 bits de Windows 2000, XPy 2003

Cliente de Symantec Endpoint ProtectionSmall Business Edition en Windows 2000, XPy 2003, ediciones de 32 bits

Cómo desinstalar manualmente el clientede Symantec Endpoint Protection de lasediciones de 32 bits de Windows Vista,Windows 7 y Windows 2008

Windows Vista, Windows 7 y Windows 2008,ediciones de 32 bits

Nota: Busque la base de conocimientos del Soporte técnico de Symantec paraobtener las versiones que no se muestran aquí.

Inicio de sesión en la consola de Symantec EndpointProtection Manager

Es posible iniciar sesión en la consola de Symantec Endpoint Protection Manageruna vez que usted instaló Symantec Endpoint Protection Manager. Es posibleiniciar sesión en la consola de cualquiera de dos maneras:

■ Localmente, desde el equipo en el cual el servidor de administración estáinstalado.

■ Remotamente, desde cualquier equipo que cumpla los requisitos del sistemapara una consola remota y tenga conectividad de red al servidor deadministración.Es posible iniciar sesión en la consola web remota o la consola JAVA remota.

Para iniciar sesión remotamente, es necesario saber la dirección IP o el nombrede host del equipo en el cual el servidor de administración está instalado. Debeademás asegurarse de que las opciones de Internet del navegador web permitanver el contenido del servidor en el que inicia sesión.

Cuando se inicia sesión remotamente, se puede realizar las mismas tareas que losadministradores que inician sesión localmente. Qué es posible ver y hacer desdela consola depende del tipo de administrador que usted sea. La mayoría de losadministradores en organizaciones más pequeñas inician sesión comoadministrador del sistema.

Ver "Acerca de las cuentas de administrador" en la página 326.

53Instalación de Symantec Endpoint Protection ManagerInicio de sesión en la consola de Symantec Endpoint Protection Manager

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=manun_clt_2k




http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=manun_clt_vista




http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=1001

Nota: Si instaló la consola JAVA remota con una versión anterior del producto,debe reinstalarlo cuando realiza una actualización a una versión posterior.

Para iniciar sesión en la consola localmente

1 Vaya a Inicio > Programas > Symantec Endpoint Protection Manager >Symantec Endpoint Protection Manager.

2 En el cuadro de diálogo de inicio de sesión de Symantec Endpoint ProtectionManager, escriba el nombre de usuario (administrador de formapredeterminada) y la contraseña que se configuró durante la instalación.

3 Haga clic en Iniciar sesión.

Para iniciar sesión en la consola remotamente

1 Abra Internet Explorer y escriba la dirección siguiente en el cuadro dirección:

http://nombre del host:9090

donde nombre de host el nombre de host o la dirección IP del servidor deadministración.

2 En la página del acceso web de la consola de Symantec Endpoint ProtectionManager, haga clic en el tipo consola deseado.

Nota: Si selecciona la Consola de Symantec Endpoint Protection Manager,el equipo desde el que inicia sesión debe tener Java 2 Runtime Environment(JRE) instalado. Si no, se le pedirá que lo descargue e instale. Siga lasindicaciones para instalar JRE.

3 Si aparece el mensaje de nombre del host, haga clic en Sí.

Este mensaje significa que la URL de la consola remota que especificó nocoincide con el nombre de certificado de Symantec Endpoint ProtectionManager. Este problema ocurre si se inicia sesión y se especifica una direcciónIP en lugar del nombre del equipo del servidor de administración.

Si aparece la advertencia del certificado de seguridad de la página web, hagaclic en Vaya a este sitio web (no recomendado) y agregue el certificadoautofirmado a Internet Explorer.

Para obtener instrucciones sobre cómo agregar el certificado de seguridad aInternet Explorer, consulte el artículo de la base de conocimientos de soportetécnico de Symantec Cómo agregar a Internet Explorer un certificadoautofirmado para Symantec Protection Center o Symantec Endpoint ProtectionManager.

Instalación de Symantec Endpoint Protection ManagerInicio de sesión en la consola de Symantec Endpoint Protection Manager

54

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=howto_IE_trust_SS_cert



4 Siga las indicaciones para completar el proceso de inicio de sesión.Dependiendo del método de inicio de sesión, es posible que sea necesarioproporcionar información adicional.

Nota: Cuándo inicie sesión por primera vez después de la instalación, use eladministrador de nombre de cuenta

5 Haga clic en Iniciar sesión.

Es posible recibir uno o más mensajes de advertencia de seguridad al iniciarla consola remota. De ser así, haga clic en Sí, Ejecutar, Iniciar, o su equivalentey continúe hasta que aparezca la consola.

Es posible que deba aceptar el certificado autofirmado que requiere SymantecEndpoint Protection Manager.

Ver "Aceptar el certificado autofirmado para Symantec Endpoint ProtectionManager" en la página 51.

Qué se puede hacer desde la consolaLa consola de Symantec Endpoint Protection Manager proporciona una interfazgráfica de usuario para los administradores. Se usa la consola para administrarpolíticas y equipos, para supervisar el estado de la protección de endpoints, y paracrear y administrar cuentas de administrador.

La consola divide las funciones y las tareas que se realizan por páginas.

55Instalación de Symantec Endpoint Protection ManagerQué se puede hacer desde la consola

Tabla 3-2 Páginas de la consola de Symantec Endpoint Protection Manager

DescripciónPágina

Muestra el estado de seguridad de la red.

Es posible hacer las siguientes tareas en la página principal:

■ Obtener la cantidad de virus y otros riesgos para la seguridaddetectados.

■ Obtener el número de equipos desprotegidos en la red.

■ Obtener la cantidad de equipos que recibieron definiciones de virusy otras actualizaciones de contenido.

■ Consultar el estado de la licencia.

■ Ajustar las preferencias de la consola.

■ Obtener información sobre las últimas amenazas de Internet ypara la seguridad.

Ver "Configurar preferencias de la elaboración de informes"en la página 295.

Ver "Comprobar el estado de la licencia" en la página 68.

Página principal

Supervise los registros de eventos relacionados con Symantec EndpointProtection Manager y sus equipos administrados.

Es posible hacer las siguientes tareas en la página Supervisión:

■ Ver gráficos de distribución de los riesgos.

■ Ver registros de eventos.

■ Consultar el estado de los comandos emitidos recientemente.

■ Ver y crear notificaciones.

Ver "Visualización y reconocimiento de notificaciones" en la página 318.

Supervisión

Permite ejecutar informes para obtener información actualizada sobrela actividad de la red y el equipo.

Es posible hacer las siguientes tareas en la página Informes:

■ Ejecutar informes rápidos.

■ Ejecutar el informe de resumen diario.

■ Ejecutar el informe de resumen semanal.


Informes

Instalación de Symantec Endpoint Protection ManagerQué se puede hacer desde la consola

56

DescripciónPágina

Muestra las políticas de seguridad que definen la configuración de latecnología de protección.

Es posible hacer las siguientes tareas en la página Políticas:

■ Ver y ajustar la configuración de la protección.

■ Crear, editar, copiar y eliminar políticas de seguridad.

■ Asignar políticas de seguridad a grupos de equipos.

■ Configurar equipos cliente para LiveUpdate.


Ver "Cómo realizar tareas que son comunes a todas las políticas deseguridad" en la página 127.


Políticas

Permite administrar los equipos y los grupos.

Es posible realizar las siguientes tareas desde esta página:

■ Crear y eliminar grupos.

■ Editar propiedades de grupos.

■ Consultar las políticas de seguridad asignadas a grupos.

■ Ejecutar comandos en los grupos.

■ Implementar el software de cliente en los equipos de la red.


Equipos

Administre la configuración, las licencias y las cuentas deadministrador de Symantec Endpoint Protection Manager

Es posible hacer las siguientes tareas en la página Administrador:

■ Crear, editar y eliminar cuentas de administrador.

■ Ver y editar la configuración del correo electrónico y del servidorproxy.

■ Importar y comprar licencias.

■ Ajustar la programación de LiveUpdate.

■ Descargar las actualizaciones de contenido de LiveUpdate.

■ Consultar el estado de LiveUpdate y las descargas recientes.



Administrador

57Instalación de Symantec Endpoint Protection ManagerQué se puede hacer desde la consola

DescripciónPágina

Muestre el sitio web de soporte de Symantec en donde se puededescargar una herramienta para ayudarle con problemas de instalaciónen el servidor de administración y el cliente.

Ver "Descargar la herramienta de soporte de Symantec EndpointProtection para solucionar problemas del equipo" en la página 347.

Soporte

Instalación de Symantec Endpoint Protection ManagerQué se puede hacer desde la consola

58

Administración de licenciasde productos


■ Concesión de licencias de Symantec Endpoint Protection

■ Acerca de la licencia del software de prueba

■ Compra de licencias

■ Dónde comprar una licencia de producto de Symantec

■ Cómo activar su licencia de producto

■ Cómo usar el Asistente para la activación de licencias

■ Información de contacto necesaria para las licencias

■ Acerca de actualizar desde software de prueba

■ Acerca de renovar su licencia de Symantec Endpoint Protection Small BusinessEdition

■ Acerca del Portal de licencias de Symantec

■ Mantener sus licencias del producto

■ Comprobar el estado de la licencia

■ Reglas de aplicación de concesión de licencias

■ Hacer copias de seguridad de los archivos de licencia

■ Cómo recuperar una licencia eliminada

■ Importación de una licencia

4Capítulo

■ Acerca de licencias de varios años

Concesión de licencias de Symantec EndpointProtection

A Symantec Endpoint Protection Small Business Edition se le concede licenciasegún el número de clientes de Symantec Endpoint Protection Small BusinessEdition que sean necesarios para proteger los endpoints en su sitio.

Una vez que Symantec Endpoint Protection Manager está instalado, tiene 30 díaspara comprar suficientes puestos de licencia para cubrir a todos sus clientesimplementados.

Tabla 4-1 enumera las tareas que son necesarias para comprar y activar su licenciade producto de Symantec.

Tabla 4-1 Tareas de concesión de licencias

DescripciónTarea

Es importante comprender los requisitos de licenciaimpuestos por el sistema que desee proteger. Una licenciale permite instalar el cliente de Symantec EndpointProtection Small Business Edition en un número específicode equipos y descargar definiciones de virus yactualizaciones de productos de LiveUpdate.


Comprobar los requisitos delicencias de producto

Es necesario comprar una licencia en las situacionessiguientes:

■ Desea comprar Symantec Endpoint Protection SmallBusiness Edition.

■ Su licencia del software de prueba caducó.

■ Su licencia paga caducó.

■ Su licencia está sobreimplementada.


Ver "Compra de licencias" en la página 62.

Ver "Acerca de actualizar desde software de prueba"en la página 66.

Comprar una licencia

Administración de licencias de productosConcesión de licencias de Symantec Endpoint Protection

60

DescripciónTarea

Se usa el Asistente para la activación de licencias enSymantec Endpoint Protection Manager para importar ypara activar su licencia de producto de Symantec.

La activación de licencias requiere:

■ Un número de serie de la licencia de Symantec

■ Un archivo de licencia de Symantec (.SLF)

Nota: Se recibe uno u otro cuando se compra una licencia.


Importar y activar su licencia

Las notificaciones de licencia alertan a los administradoressobre licencias caducadas y otros problemas de la licencia.

Ver "Acerca de las notificaciones con configuraciónprevia" en la página 313.

Revisar las notificacionespredeterminadas de la licencia

Es posible obtener el estado de cada licencia que ustedimportó en la consola.


Ver "Acerca de renovar su licencia de Symantec EndpointProtection Small Business Edition" en la página 67.

Comprobar el estado de lalicencia

Al hacer copias de seguridad de los archivos de licencia,se conservan los archivos en caso de que se dañen la basede datos o el disco duro del equipo.

Ver "Hacer copias de seguridad de los archivos de licencia"en la página 70.

Hacer copia de seguridad de losarchivos de licencia

Dependiendo del distribuidor de la licencia, se recibe un número de serie de lalicencia de producto de o un archivo de licencia de Symantec. Los archivos delicencia se envían en un mensaje de correo electrónico o se descargan de un sitioweb seguro. El archivo de licencia usa la extensión de archivo .SLF (archivo delicencia de Symantec). Cuando el archivo de licencia es enviado por correoelectrónico, se adjunta al mensaje de correo electrónico como archivo .ZIP. Esnecesario extraer el archivo .SLF del archivo .zip.

Guarde el archivo de licencia en un equipo al que se pueda acceder desde la consolade Symantec Endpoint Protection Manager. Muchos usuarios guardan la licenciaen el equipo que alberga Symantec Endpoint Protection Manager y además guardanuna copia de la licencia en otro equipo o en soportes de almacenamiento extraíblespara guardarlos con más seguridad.

61Administración de licencias de productosConcesión de licencias de Symantec Endpoint Protection

Advertencia: Para evitar que el archivo de licencia se dañe, no abra ni altere loscontenidos del archivo de ninguna manera. Es posible, sin embargo, copiar yalmacenar la licencia según lo desee.

Nota: En algunos casos, puede solamente tener un número de serie de la licencia.Este número de serie se puede usar para activar su licencia de producto deSymantec y para descargar el software del producto.

Acerca de la licencia del software de pruebaLa licencia del software de prueba le permite evaluar y probar Symantec EndpointProtection Small Business Edition en su entorno.

La licencia del software de prueba se aplica a los componentes de SymantecEndpoint Protection Small Business Edition siguientes:

■ Symantec Endpoint Protection Manager

■ Cliente de Symantec Endpoint Protection Small Business Edition

■ Base de datos integrada para almacenar políticas de seguridad y eventos

■ Acceso al contenido de LiveUpdate

Es posible descargar Symantec Endpoint Protection Small Business Edition delsitio web siguiente:

http://www.symantec.com/es/mx/business/ products/downloads/index.jsp

Una vez que la licencia del software de prueba caduca, es necesario activar unalicencia paga para conservar toda la funcionalidad del producto. No es necesariodesinstalar la versión de prueba con licencia para convertir su instalación deSymantec Endpoint Protection Small Business Edition en una instalacióncompletamente con licencia.

Este software de prueba caduca 30 días después de que se instala el producto.


Ver "Compra de licencias" en la página 62.

Compra de licenciasSymantec Endpoint Protection Small Business Edition viene con una licencia desoftware de prueba que le permite instalar y evaluar el producto en su entorno.Si desea usar el producto más allá del período de prueba, deberá comprar unalicencia.

Administración de licencias de productosAcerca de la licencia del software de prueba

62

http://www.symantec.com/es/mx/business/products/downloads/index.jsp

Es necesario también comprar una licencia en las situaciones siguientes:

■ Su licencia actual caducó.

■ Su licencia actual está sobreimplementada. Sobreimplementada significa quese han implementado más sesiones del cliente o Symantec Endpoint ProtectionManager de las que su licencia actual permite.

■ Para actualizar a una versión más reciente una vez que la prueba deactualización de versión caduca. Cuando se lanza una versión más reciente deSymantec Endpoint Protection Small Business Edition, se le envía un mensajede correo electrónico con una oferta de actualización que incluye una pruebade actualización gratuita. Si decide conservar la versión más reciente más alládel período de prueba de la actualización, es necesario comprar una licenciade la actualización.

Use los siguientes vínculos para obtener más información sobre la compra delicencias:

Ver "Requisitos de la licencia de producto"en la página 43.

Para determinar sus requisitos de concesiónde licencias

Ver "Compra de licencias" en la página 62.Para averiguar dónde comprar licencias delproducto

Ver "Acerca de actualizar desde software deprueba" en la página 66.

Para obtener más información acerca de laactualización desde la licencia del softwarede prueba que viene con Symantec EndpointProtection Small Business Edition

http://customercare.symantec.com/Para obtener ayuda con la compra delicencias o más información sobre licencias


Dónde comprar una licencia deproducto deSymantecEs posible comprar una licencia de producto de Symantec de los orígenessiguientes:

■ La tienda en línea de Symantec:http://store.symantec.com/

■ Su distribuidor preferido de Symantec:Para encontrar un revendedor, use localizador de partners.Para obtener más información sobre los partners de Symantec, vaya ahttp://www.symantec.com/es/mx/partners/index.jsp

63Administración de licencias de productosDónde comprar una licencia de producto de Symantec

www.customercare.symantec.com/

http://store.symantec.com/

http://partnerlocator.symantec.com/public/search;country=United%20States;v=advanced/

http://www.symantec.com/es/mx/partners/index.jsp

■ El equipo de ventas de Symantec:Visite el sitio web de pedidos de Symantec para obtener información de contactode ventas.

Cómo activar su licencia de productoLa activación de una licencia guarda el archivo de licencia en la base de datos deSymantec Endpoint Protection Manager.


Es posible activar los siguientes tipos de licencias:

■ Licencias pagas

■ Renovación de licencia

■ Licencia para los clientes sobreimplementados

Es posible activar un archivo de licencia que usted recibió de los orígenessiguientes:

■ Portal de licencias de Symantec

■ Partner o distribuidor preferido de Symantec

■ Equipo de ventas de Symantec

■ Almacén de Symantec Business

Ver "Cómo migrar de Symantec Client Security o de Symantec AntiVirus"en la página 91.

Para activar una licencia

1 En la consola, haga clic en Administrador y, luego, en Licencias.

2 En Tareas, haga clic en Activar licencia.

3 Siga las instrucciones en el Asistente para la activación de licencias paracompletar el proceso de activación.

Ver "Cómo usar el Asistente para la activación de licencias" en la página 64.

Cómousar el Asistente para la activación de licenciasEl Asistenteparalaactivacióndelicencias se usa para activar y para administrarsus Symantec Endpoint Protection Small Business Edition licencias del producto.

El Asistente para la activación de licencias es un componente de SymantecEndpoint Protection Manager.

Administración de licencias de productosCómo activar su licencia de producto

64

http://partnerlocator.symantec.com/public/search;locale=es-mx;country=Mexico;v=advanced/?om_ext_cid=partners_hme_advlocate_mx_ploc

Se inicia el asistente desde la pantalla de bienvenida de Symantec EndpointProtection Small Business Edition o desde la página Administrador de la consolade Symantec Endpoint Protection Manager. En la consola, seleccione Licenciasy, a continuación, en Tareas, seleccione Activar licencia.

El asistente contiene instrucciones e información adicional para ayudarle acompletar el proceso de activación.

Nota: La primera vez que obtiene la licencia de Symantec Endpoint ProtectionSmall Business Edition, el Asistente para la activación de licencias comienzapidiéndole que seleccione qué forma de información de para la licencia tiene.Después de eso, cuando inicia el asistente, primero se le pregunta si desea activarlicencias adicionales o renovar una licencia existente.

El Asistente para la activación de licencias le pide que elija de las siguientesopciones:

Tabla 4-2 Opciones de la activación de licencias

Cuándo usarOpción

Eligió esta opción para activar una nueva licencia.

Nota: Si no se ha activado ninguna licencia previamente enSymantec Endpoint Protection Manager, se asume que setrata de una nueva licencia y esta opción no se muestra.

Activar una licencia nueva

Use esta opción para renovar una licencia existente.

Nota: Cuando se renueva una licencia, la licencia anteriorse elimina y se reemplaza con la nueva licencia.

Renovar una licenciaexistente

En muchos casos, una vez que compra una licencia, puederecibir solamente el número de serie de la licencia por partedel distribuidor. Use esta opción para activar su licenciausando el número de serie de la licencia de producto.

Tengo un número de serie

Al completar su compra de la licencia, se le puede enviar unarchivo de Licencia de Symantec. Los archivos de licenciade Symantec usan la extensión .SLF. Si recibió un archivo.SLF de Symantec o de un distribuidor de Symantec, use estaopción para activar su licencia de producto.

Nota: El archivo .SLF se adjunta generalmente a un correoelectrónico como archivo .zip comprimido.

Tengo un archivo de licenciade Symantec (.slf)

En algunos casos, se le puede pedir que proporcione la información de contactodurante el proceso de activación.

65Administración de licencias de productosCómo usar el Asistente para la activación de licencias

Ver "Información de contacto necesaria para las licencias" en la página 66.


Información de contacto necesaria para las licenciasDurante el proceso de activación, se le pide proporcionar cualquier informaciónde contacto inexistente para la licencia. Las declaraciones de privacidad seproporcionan en el asistente que describe cómo se usa esta información. Esnecesario indicar que las condiciones de privacidad son aceptables antes de quepueda completar el proceso de activación.

Tabla 4-3 incluye la información que se necesita.

Tabla 4-3 Información de contacto para la licencia

DescripciónTipo de información

Información de contacto para la persona que es responsablede las actividades técnicas relacionada con instalar omantener su infraestructura de seguridad del endpoint. Elnombre, la dirección de correo electrónico y el número deteléfono del contacto son necesarios.

Contacto técnico

Información de contacto para la persona que representa sucompañía. El nombre, la dirección de correo electrónico yel número de teléfono del contacto son necesarios.

Nota: Se proporciona una casilla de verificación que lepermite indicar cuándo el contacto técnico y el contactoprincipal son la misma persona.

Contacto principal

Incluye el nombre, la ubicación, el número de teléfono y ladirección de correo electrónico de la empresa.

Información de la empresa


Acerca de actualizar desde software de pruebaCuando se instala inicialmente Symantec Endpoint Protection Small BusinessEdition, una licencia del software de prueba se proporciona y se activaautomáticamente. Para continuar usando Symantec Endpoint Protection SmallBusiness Edition más allá del período de prueba, es necesario comprar una licencia.No es necesario reinstalar el software.

El período de la licencia de prueba es de 30 días.

Administración de licencias de productosInformación de contacto necesaria para las licencias

66

Se realiza la actualización de la licencia real usando el Asistente para la activaciónde licencias.


Las licencias se pueden comprar en la tienda de Symantec, a través de su partnerde Symantec o de su revendedor preferido de Symantec.

Para obtener información sobre la tienda de Symantec, visite el sitio web de latienda de Symantec

Ver "Acerca de la licencia del software de prueba" en la página 62.


Acerca de renovar su licencia de Symantec EndpointProtection Small Business Edition

Cuando su licencia actual está a punto de caducar, Symantec Endpoint ProtectionManager comienza a enviar notificaciones de la expiración de la licencia aladministrador de Symantec Endpoint Protection Small Business Edition. Symantecrecomienda encarecidamente que renueve su licencia antes de que caduque.

Cuando se renueva una licencia, la licencia que caducó se elimina y se reemplazacon una nueva licencia. Para comprar renovaciones de licencias, visite la tiendade Symantec o contacte con su partner de Symantec o revendedor preferido deSymantec.

Visite la tienda de Symantec en la ubicación en línea siguiente:



En caso de que se elimine accidentalmente una licencia, se puede recuperar de laconsola de Symantec Endpoint Protection Manager.

Ver "Cómo recuperar una licencia eliminada" en la página 71.

Acerca del Portal de licencias de SymantecEs posible usar el portal de licencias de Symantec para comprar y para activarlicencias de producto. Sin embargo, se pueden activar licencias desde la consolade Symantec Endpoint Protection Manager, que es más simple y más rápido.


El portal de licencias de Symantec está en la ubicación siguiente:

67Administración de licencias de productosAcerca de renovar su licencia de Symantec Endpoint Protection Small Business Edition

http://store.symantec.com

http://store.symantec.com


https://licensing.symantec.com

Hay información adicional acerca de cómo usar el portal de licencias de Symantecpara administrar licencias disponible en el sitio web del servicio al cliente deSymantec http://customercare.symantec.com/app/answers/list.

Nota:Es necesario crear una cuenta antes de usar el portal de licencias. Si no tieneuna cuenta del portal de licencias de Symantec, un vínculo se proporciona en lapágina principal para crear uno.


Mantener sus licencias del productoEl mantenimiento de licencias es una parte crítica de mantener su infraestructurade seguridad actualizada. Las siguientes tareas forman parte de mantener suslicencias del producto de Symantec:

■ Hacer copia de seguridad de sus licencias del producto.Ver "Hacer copias de seguridad de los archivos de licencia" en la página 70.

■ Realizar un seguimiento del estado de las licencias.Ver "Comprobar el estado de la licencia" en la página 68.

■ Renovar su licencia.Ver "Acerca de renovar su licencia de Symantec Endpoint Protection SmallBusiness Edition" en la página 67.

■ Recuperar una licencia eliminada.Ver "Cómo recuperar una licencia eliminada" en la página 71.

También debe familiarizarse con las reglas que rigen cómo se implementan laslicencias del producto.

Ver "Reglas de aplicación de concesión de licencias" en la página 69.

Comprobar el estado de la licenciaEs posible obtener el estado de cada licencia paga que usted importó en la consola.

Es posible obtener la información de licencia siguiente:

■ el número de serie de la licencia, cantidad total de puestos, fecha devencimiento

■ Número de puestos válidos

Administración de licencias de productosMantener sus licencias del producto

68

https://licensing.symantec.com

http://customercare.symantec.com/app/answers/list

■ Número de puestos implementados

■ Número de puestos que caducan en 60 días y 30 días

■ Número de puestos caducados

■ Número de clientes sobreimplementados

■ Números de serie asociados de menor duración(licencias de varios años)

El estado de la licencia no está disponible para una licencia de software de prueba.

Para determinar si la instalación usa una licencia paga o una licencia de softwarede prueba

1 En la consola, haga clic en Administrador.

2 En la página Administrador, haga clic en Licencias.

Para comprobar el estado de la licencia para licencias pagas

1 En la consola, haga clic en Página principal.

2 En la página principal, haga clic en Detalles de la licencia.


Ver "Importación de una licencia" en la página 71.

Reglas de aplicación de concesión de licenciasLas licencias de Symantec Endpoint Protection Small Business Edition se aplicansegún las reglas siguientes:

Tabla 4-4 Reglas de aplicación de concesión de licencias

ReglaDónde se aplica

El plazo de la licencia rige a partir de la hora y dela fecha de activación hasta la medianoche delúltimo día del plazo de concesión de la licencia.La hora y la fecha de caducidad de la licencia sebasan en la hora y la fecha para SymantecEndpoint Protection Manager donde ocurre laactivación. En el caso de varios sitios, la fecha decaducidad de la licencia se basa en la base de datosSymantec Endpoint Protection Manager que seencuentra más al Oeste.

Término de la licencia

69Administración de licencias de productosReglas de aplicación de concesión de licencias

ReglaDónde se aplica

Una licencia de Symantec Endpoint ProtectionSmall Business Edition se aplica a los clientes deSymantec Endpoint Protection Small BusinessEdition. Por ejemplo, en una red con 50 endpoints,la licencia debe proporcionar un mínimo de 50puestos. Las sesiones Symantec EndpointProtection Manager no necesitan una licencia.

Cobertura de la licencia de loscomponentes Symantec EndpointProtection Small Business Edition

Los puestos de concesión de licencias se aplicansin importar la plataforma. Por ejemplo, lalicencia no hace ninguna distinción entre unequipo que usa Windows y uno que usa Mac OSX.

Cobertura de la licencia de plataformas

Los puestos de licencia se aplican igualmente através de versiones del producto. Por ejemplo,una licencia cubre las instalaciones donde seimplementan las versiones de clientes 11.x y 12.xdentro del mismo sitio.

Cobertura de la licencia de productos yversiones

Los clientes con licencias de Symantec EndpointProtection Small Business Edition Small BusinessEdition siguen contando con licencia comoclientes de Small Business Edition cuandoSymantec Endpoint Protection Manager seactualiza a la edición empresarial.

Actualizaciones de Small BusinessEdition


Hacer copias de seguridad de los archivos de licenciaSymantec recomienda que se haga una copia de seguridad de los archivos delicencia. Al hacer copias de seguridad de los archivos de licencia, se conservan losarchivos en caso de que se dañen la base de datos o el disco duro de la consola delequipo.

Los archivos de licencia se encuentran en el directorio donde guardó los archivos.Si colocó incorrectamente los archivos de licencia, se pueden descargar los archivosdel sitio web del Portal de licencias de Symantec.


Administración de licencias de productosHacer copias de seguridad de los archivos de licencia

70

Para hacer copias de seguridad de los archivos de licencia

◆ Con Windows, copie los archivos de licencia .slf del directorio donde guardólos archivos en otro equipo de su opción.

Consulte el procedimiento de su compañía para hacer copias de seguridad delos archivos.

Cómo recuperar una licencia eliminadaEn caso de que se elimine accidentalmente un archivo de licencia, se puederecuperar de la consola de Symantec Endpoint Protection Manager.

Para recuperar una licencia eliminada

1 En la página Administrador de la consola de Symantec Endpoint ProtectionManager, haga clic en Licencias y, a continuación, en Tareas, haga clic enRecuperar una licencia eliminada.

2 En el panel Recuperación de licencias, ponga una marca de verificación allado de la licencia eliminada que desee recuperar y después haga clic enEnviar.


Importación de una licenciaLa importación de una licencia guarda el archivo de licencia en la base de datosde Symantec Endpoint Protection Manager.


Es posible importar los siguientes tipos de licencias:

■ Licencia para una primera instalación

■ Licencia para actualizar software de prueba

■ Renovación de licencia

■ Licencia para los clientes sobreimplementados

■ Licencia de su software de protección contra virus de versión anterior deSymantec

Es posible importar un archivo de licencia que usted recibió de los orígenessiguientes:

■ Portal de licencias de Symantec

■ Partner de Symantec

71Administración de licencias de productosCómo recuperar una licencia eliminada

■ Equipo de ventas de Symantec

■ Almacén de Symantec Business

■ Software heredado de protección contra virus de Symantec


Para importar una licencia

1 Guarde el archivo de licencia en un equipo o en una red que sea accesibledesde el equipo de la consola.

2 En la consola, haga clic en Administrador>Licencias y en Tareas, haga clicen Activar licencia.

3 Siga las indicaciones en el Asistente para la activación de licencias paraimportar y para activar su licencia. La información adicional sobre susopciones se proporciona en el asistente.

Acerca de licencias de varios añosCuando se compra una licencia de varios años, se recibe a un conjunto de archivosde licencia iguales al número de años que su licencia es válida. Por ejemplo, unalicencia de tres años incluye tres archivos de licencia aparte. Cuando se activauna licencia de varios años, se importan todos los archivos de licencia durante lamisma sesión de activación. Symantec Endpoint Protection Manager fusiona losdiferentes archivos de licencia en una única licencia activada que es válida mientrasdure el producto comprado.

Si bien no es recomendable, es posible activar menos que el complemento completode archivos de licencia. En ese caso, Symantec Endpoint Protection Managerfusiona los archivos y aplica la duración del archivo de licencia que caduca porúltimo. Por ejemplo, una licencia de tres años que se activa con solamente losprimeros dos archivos indica una duración de solamente dos años. Cuando eltercer archivo se activa en una fecha posterior, la duración completa de la licenciase informa exactamente como tres años. En todos los casos, el número de puestossigue siendo coherente con el número de puestos que usted compró.

Cuando Symantec Endpoint Protection Manager fusiona los archivos, los archivosde la duración más corta y el archivo de la duración más larga se guardan paralas funciones de mantenimiento de licencias internas. Si piensa que una licenciafue eliminada por error, use el procedimiento de Recuperarunalicenciaeliminadapara recuperar y para reactivar la licencia eliminada.

Ver "Cómo recuperar una licencia eliminada" en la página 71.

Administración de licencias de productosAcerca de licencias de varios años

72

Es posible ver los números de serie de la licencia de una duración más corta quese asocian a la licencia activa. En la ficha Administrador, haga clic en Licenciasy a continuación haga clic con el botón derecho en la licencia activada y seleccioneDetalles.


73Administración de licencias de productosAcerca de licencias de varios años

Administración de licencias de productosAcerca de licencias de varios años

74

Preparación para lainstalación de clientes


■ Preparación para la instalación de clientes

■ Cómo preparar los sistemas operativos Windows para la implementaciónremota

Preparación para la instalación de clientesTabla 5-1 enumera las acciones que se necesitan para preparar los equipos parala instalación del cliente.

Tabla 5-1 Preparación del equipo cliente

DescripciónAcción

■ Desinstale el software de protección contra virus de otro fabricante. Es posibleusar generalmente la herramienta de Windows Agregar o quitar programas paradesinstalar programas. Sin embargo, algunos programas tienen rutinas especialesde desinstalación. Consulte la documentación para el software de otro fabricante.

■ Desinstale cualquier software heredado de protección antivirus de Symantec sino planea migrar la configuración.


Consulte la documentación de Symantec de su software de protección contra virusde versión anterior de Symantec para obtener información sobre la desinstalación.

Desinstale el software deprotección antivirusactualmente instalado

5Capítulo

DescripciónAcción

Prepare los equipos para la implementación del cliente remoto.

■ Modifique la configuración del firewall para permitir la comunicación entre loscomponentes de Symantec Endpoint Protection Small Business Edition.

Ver "Cómo preparar los sistemas operativos Windows para la implementaciónremota" en la página 76.

Prepare los equipos para laimplementación remota(opcional)

Se implementa el software de cliente usando uno de los tres métodos disponibles.


Implementar el software decliente

Cómopreparar los sistemasoperativosWindowsparala implementación remota

La Tabla 5-2 enumera las tareas asociadas que es necesario realizar en los sistemasoperativos del equipo cliente para instalar correctamente el cliente de formaremota.

Tabla 5-2 Acciones de implementación remota

TareasSistema operativo

Los equipos con Windows XP que están instalados en gruposde trabajo no aceptan la implementación remota. Parapermitir la implementación remota, deshabilite el usocompartido de archivos simple.

Nota: Esta limitación no se aplica a los equipos que sonparte de un dominio de Windows.

Prepare los equipos conWindows XP que estáninstalados en grupos detrabajo

El control de acceso de usuarios de Windows bloquea lascuentas administrativas locales remotamente de modo queno puedan acceder a los recursos compartidosadministrativos remotos, tales como C$ y Admin$.

Realice las siguientes tareas:

■ Deshabilitar el asistente para el uso compartido dearchivos.

■ Habilitar la detección de redes mediante el Centro deredes y recursos compartidos.

■ Habilite la cuenta de administrador incorporada y asigneuna contraseña a la cuenta.

■ Verifique que la cuenta tenga privilegios deadministrador.

Preparar los equipos conWindows Vista, WindowsServer 2008 o Windows 7

Preparación para la instalación de clientesCómo preparar los sistemas operativos Windows para la implementación remota

76

TareasSistema operativo

Symantec Endpoint Protection Manager necesita acceso alregistro del sistema para la instalación y la operaciónnormal.

Para preparar un equipo para instalar Symantec EndpointProtection Manager usando una conexión de escritorioremoto, realice las siguientes tareas:

■ Configure un servidor que ejecute Windows Server 2003para permitir el control remoto.

■ Conéctese al servidor de un equipo remoto usando unasesión de consola remota o una sombra de la sesión deconsola.

Preparar los equipos conWindows Server 2003 parala instalación usando unaconexión de escritorioremoto

Consulte la documentación de Windows para obtener más información.


77Preparación para la instalación de clientesCómo preparar los sistemas operativos Windows para la implementación remota

Preparación para la instalación de clientesCómo preparar los sistemas operativos Windows para la implementación remota

78

Instalación del cliente deSymantec EndpointProtection Small BusinessEdition


■ Acerca de los métodos de implementación del cliente

■ Cómo reiniciar equipos cliente

■ Acerca de clientes administrados y clientes no administrados

■ Instalar un cliente no administrado

■ Desinstalación del cliente

Acerca de losmétodos de implementación del clienteSe implementa el cliente de Symantec Endpoint Protection Small Business Editionusando el Asistente de implementación del cliente. Se implementa el software decliente una vez que Symantec Endpoint Protection Manager está instalado.


Tabla 6-1 muestra los métodos de implementación del cliente que se pueden usar.

6Capítulo

Tabla 6-1 Opciones de implementación del cliente

DescripciónOpciones

Los usuarios reciben un mensaje de correo electrónico quecontiene un vínculo para descargar e instalar el softwarede cliente. Los usuarios deben tener derechos deadministrador locales para sus equipos. El vínculo web y lainstalación de notificación por correo electrónico es elmétodo de implementación recomendado.

Ver "Cómo implementar clientes usando un vínculo web yun correo electrónico" en la página 80.

Correo electrónico y vínculosweb

La instalación remota le permite controlar la instalación declientes. La instalación remota transfiere el software decliente a los equipos que se especifican. La instalacióncomienza automáticamente.

Ver "Cómo preparar los sistemas operativos Windows parala implementación remota" en la página 76.

Ver "Cómo implementar clientes usando transferenciaremota " en la página 82.

Transferencia remota

La instalación personalizada crea un paquete de instalaciónejecutable que se guarda en el servidor de administracióny después se distribuye a los equipos cliente. Los usuariosejecutan un archivo setup.exe para instalar el software decliente.

Ver "Cómo implementar clientes usando la función Guardarpaquete" en la página 83.

Guardar paquete

Cómo implementar clientes usando un vínculo web y un correoelectrónico

El método del vínculo web y del correo electrónico crea una URL para cada paquetede instalación de clientes. Se envía el vínculo a los usuarios en un mensaje decorreo electrónico o lo pone a disposición en la ubicación de red.

Se realiza este procedimiento en dos fases:

■ Seleccione y configure los paquetes de instalación de clientes. Los paquetesde instalación de clientes se crean para equipos Windows de 32 bits y de 64bits. Los paquetes de instalación se almacenan en el equipo que ejecutaSymantec Endpoint Protection Manager.

■ Notifique a los usuarios del equipo sobre los paquetes de instalación de clientes.Un mensaje de correo electrónico se envía a los usuarios del equipo

Instalación del cliente de Symantec Endpoint Protection Small Business EditionAcerca de los métodos de implementación del cliente

80

seleccionados. El mensaje de correo electrónico contiene instrucciones paradescargar y para instalar los paquetes de instalación de clientes. Los usuariossiguen las instrucciones para instalar el software de cliente.

El paquete de instalación de clientes de Mac se exporta automáticamente comoun archivo .zip. Para expandir el paquete al formato de instalación .mpkg deApple, es necesario usar la utilidad Archive de Mac o el comando ditto. No esposible usar el comando unzip de Mac ni ninguna aplicación para descomprimirde Windows.

Para implementar clientes usando un vínculo web y un correo electrónico

1 En la página Inicio, en el menú Tareascomunes, seleccione Instalarelclientede protección en los equipos.

2 Seleccione el tipo de implementación que desee usar y después haga clic enSiguiente.

La opción Nueva implementación del paquete usa los paquetes que estánalmacenados en Symantec Endpoint Protection Manager. De formapredeterminada, dos paquetes están disponibles. Es posible crearopcionalmente nuevos paquetes con configuración y funciones personalizadas.La opción Implementacióndelpaqueteexistente le permite usar los paquetesque se han exportado previamente.

3 Para un nuevo paquete, seleccione el paquete, el grupo, el conjunto defunciones de instalación y las opciones de contenido y después haga clic enSiguiente.

El servidor de administración incluye los paquetes configurados previamente.

4 Haga clic en Correo electrónico y vínculos web y después haga clic enSiguiente.

5 En el panel Destinatarios y mensaje de correo electrónico, especifique losdestinatarios de correo electrónico y el asunto y después haga clic enSiguiente.

Es posible especificar quién recibe la URL por correo electrónico o copiar laURL y publicarla en una ubicación en línea conveniente. Para especificarvarios destinatarios de correo electrónico, escriba una coma después de cadadirección de correo electrónico.

6 Si desea enviar el vínculo por correo electrónico, acepte el asunto y el cuerpopredeterminados del correo electrónico o edite el texto y después haga clicen Siguiente.

7 Haga clic en Finalizar.

81Instalación del cliente de Symantec Endpoint Protection Small Business EditionAcerca de los métodos de implementación del cliente

8 Los usuarios del equipo o usted deben reiniciar los equipos cliente.


9 Confirme que los usuarios del equipo recibieron el mensaje de correoelectrónico e instalaron el software de cliente.

Ver "Visualización del inventario de clientes" en la página 293.

Cómo implementar clientes usando transferencia remotaLa transferencia remota le permite controlar la instalación de clientes. Latransferencia remota transfiere el software de cliente a los equipos que seespecifican. Para usar la transferencia remota se necesita conocimiento de cómobuscar las redes para localizar los equipos por la dirección IP o los nombres deequipos.


La transferencia remota realiza las acciones siguientes:

■ Seleccione un paquete de instalación de clientes existente o cree un nuevopaquete de instalación.

■ Para los nuevos paquetes de instalación, establezca la configuración de laimplementación de paquetes

■ Localice los equipos en su red.La transferencia remota localiza los equipos que se especifican o los equiposque se detectan para ser desprotegidos.

■ Transfiera el software de cliente a los equipos que se especifican.Para transferir el software de cliente, es necesario usar una cuentaadministrativa del dominio si el equipo cliente es parte de un dominio de ActiveDirectory. La instalación remota requiere privilegios elevados.Ver "Cómo preparar los sistemas operativos Windows para la implementaciónremota" en la página 76.

■ Instale el software de cliente en los equipos.La instalación comienza automáticamente en los equipos.

Es posible iniciar la implementación del cliente desde la consola.

Para implementar clientes usando la transferencia remota


2 En la página Inicio, en el menú Tareascomunes, seleccione Instalarelclientede protección en los equipos. Se inicia el Asistente de implementación delcliente.


82

3 En el panel Bienvenidoalasistentedeimplementacióndelcliente, seleccionesi se usa un paquete nuevo o existente y haga clic en Siguiente.

4 Para un nuevo paquete de instalación, seleccione la versión del cliente, elconjunto de funciones, las opciones de contenido y el grupo de clientes ydespués haga clic en Siguiente.

5 Haga clic en Transferencia remota y después haga clic en Siguiente.

6 Localice los equipos para recibir el software de cliente y después haga clic en>> para agregar los equipos a la lista.

Para navegar la red de los equipos, haga clic en Examinar red.

Para encontrar los equipos por dirección IP o nombre del equipo, haga clicen Buscar en la red y después haga clic en Buscar equipos.

Autentique con el dominio o el grupo de trabajo si se lo solicita.

Nota: Es posible configurar un valor de tiempo de espera para definir lacantidad de tiempo que el servidor se aplica a una búsqueda.

7 Haga clic en Siguiente.

8 Haga clic en Enviar para transferir el software de cliente a los equiposseleccionados.

9 Espere mientras el software de cliente se transfiere a los equiposseleccionados.


La instalación comienza automáticamente en los equipos cliente. Lainstalación tarda varios minutos en completarse.

11 Dependiendo de la configuración de reinicio del cliente implementado, losusuarios o el equipo pueden necesitar reiniciar los equipos cliente.


12 Confirme el estado de los clientes implementados.


Cómo implementar clientes usando la función Guardar paqueteLa función Guardar paquete crea paquetes de instalación que se pueden instalarusando software de implementación de otro fabricante o un script de inicio desesión.

La función Guardar paquete realiza las acciones siguientes:

83Instalación del cliente de Symantec Endpoint Protection Small Business EditionAcerca de los métodos de implementación del cliente

■ Cree el paquete de instalación ejecutable de 32 bits o de 64 bits.El paquete de instalación puede abarcar un archivo setup.exe o una recopilaciónde archivos que incluye un archivo setup.exe. A los usuarios de los equipos amenudo les resulta más fácil usar un archivo setup.exe.

■ Guarde el paquete de instalación en el directorio predeterminado o un directoriode su elección.El directorio predeterminado es el siguiente:C:\temp\Symantec\ClientPackagesEs necesario proporcionar el paquete de instalación a los usuarios del equipo.Los usuarios ejecutan el archivo setup.exe para instalar el software de cliente.Los usuarios del equipo o usted deben reiniciar los equipos después de lainstalación.


Es posible iniciar la implementación del cliente desde la consola.

Para implementar clientes usando la función Guardar paquete


2 En la página Inicio, en el menú Tareascomunes, seleccione Instalarelclientede protección en los equipos.

3 En el Asistente de implementación del cliente, seleccione Nuevaimplementacióndelpaquete para seleccionar un paquete de instalación queya esté en el servidor. Seleccione Implementacióndelpaqueteexistente paraelegir un paquete que fue exportado previamente. Haga clic en Siguiente.

4 Seleccione el paquete, el grupo, el conjunto de funciones de instalación y lasopciones de contenido, y después haga clic en Siguiente.

5 Haga clic en Guardar y después haga clic en Siguiente.

6 Seleccione Único archivo .exe o Archivos independientes.

Nota: Use Único archivo .exe a menos que se necesiten archivosindependientes para un programa de implementación de otro fabricante.

7 En el cuadro Carpeta de exportación, acepte el directorio predeterminado oespecifique otro directorio y después haga clic en Siguiente.

8 Revise el resumen de la configuración y después haga clic en Siguiente.

9 Espere mientras se crea el paquete de instalación personalizada.



84

11 Proporcione el paquete de instalación personalizada a los usuarios del equipo.

Guarde el paquete de instalación en una red compartida o envíe por correoelectrónico el paquete de instalación a los usuarios del equipo.

12 Confirme que los usuarios del equipo instalaron el paquete de instalaciónpersonalizada.

Nota: Los usuarios del equipo o usted deben reiniciar los equipos cliente.



Cómo reiniciar equipos clienteEs necesario reiniciar los equipos cliente una vez que se instala el software decliente o el otro software de otro fabricante. Es posible reiniciar los equipos clienteen cualquier momento ejecutando un comando de reinicio del servidor deadministración. Es posible también programar los equipos cliente para reiniciarlosdurante un período que sea conveniente para los usuarios.

Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la página 119.

Ver "Ejecución de comandos en el equipo cliente desde la consola" en la página 121.

Para reiniciar un equipo cliente seleccionado

1 En la consola, haga clic en Equipos.

2 En la página Equipos, en la ficha Equipos, seleccione un grupo.

3 En la ficha Equipos, seleccione un equipo, haga clic con el botón derecho enEjecutar comando en el grupo y después haga clic en Reiniciar equiposcliente.

Para reiniciar los equipos cliente en un grupo seleccionado


2 En la página Equipos, en la ficha Equipos, seleccione un grupo, haga clic conel botón derecho en Ejecutar comando en el grupo y después haga clic enReiniciar equipos cliente.

85Instalación del cliente de Symantec Endpoint Protection Small Business EditionCómo reiniciar equipos cliente

Acerca de clientes administrados y clientes noadministrados

Se puede instalar el software de cliente como cliente administrado o como clienteno administrado.

Tabla 6-2 Tipos de equipos cliente

DescripciónTipo

Se administran los clientes de la consola. Los equipos clienteadministrados se conectan a la red. Se usa la consola paraactualizar el software de cliente, las políticas de seguridady las definiciones de virus en los equipos clienteadministrados.

En la mayoría de los casos, se instala el software de clientecomo cliente administrado.

Es posible instalar un cliente administrado de cualquierade las siguientes maneras:

■ Durante la instalación inicial del producto.

■ Desde la consola después de la instalación.

Cliente administrado

El usuario del equipo principal debe administrar el equipocliente. Un cliente no administrado no se puede administrardesde la consola. El usuario del equipo principal debeactualizar el software de cliente, las políticas de seguridady las definiciones de virus en los equipos cliente noadministrados.

Se instala un cliente no administrado directamente desdeel disco del producto.

Ver "Instalar un cliente no administrado" en la página 86.

Cliente no administrado

Ver "Convertir un cliente no administrado en un cliente administrado"en la página 122.

Instalar un cliente no administradoLos clientes no administrados no se conectan a Symantec Endpoint ProtectionManager. Los principales usuarios del equipo o usted deben administrar losequipos. En la mayoría de los casos, los clientes no administrados se conectan ala red intermitentemente o no se conectan en absoluto.

Instalación del cliente de Symantec Endpoint Protection Small Business EditionAcerca de clientes administrados y clientes no administrados

86

Los principales usuarios del equipo o usted deben mantener los equipos. Estemantenimiento incluye la supervisión y el ajuste de la protección en los equipos,y la actualización de políticas de seguridad, definiciones de virus y software.

Ver "Acerca de clientes administrados y clientes no administrados" en la página 86.

Para instalar un equipo no administrado

1 En el equipo, inserte el disco del producto.

La instalación se inicia automáticamente. Si no se inicia automáticamente,haga doble clic en Setup.exe.

2 Haga clic en Instalar un cliente no administrado y después haga clic enSiguiente.

3 En el panel Contrato de licencia, haga clic en Acepto los términos delcontrato de licencia y, a continuación, en Siguiente.

4 Confirme que el equipo no administrado está seleccionado y después hagaclic en Siguiente.

Este panel aparece cuando se instala el software de cliente por primera vezen un equipo.

5 En el panel Opciones de protección, seleccione los tipos de protección ydespués haga clic en Siguiente.

6 En el panel Preparado para instalar el programa, haga clic en Instalar.

7 En el panel de Asistente finalizado, haga clic en Finalizar.

Desinstalación del clienteSe desinstala Symantec Endpoint Protection Small Business Edition cliente usandola utilidad Agregar o quitar programas de Windows.

Si el software de cliente usa una política que bloquea los dispositivos de hardware,los dispositivos son bloqueados una vez que se haya desinstalado el software. Useel Administrador de dispositivos de Windows para desbloquear los dispositivos.

Consulte la documentación de Windows para obtener más información.


87Instalación del cliente de Symantec Endpoint Protection Small Business EditionDesinstalación del cliente

Para desinstalar el cliente

1 En el equipo cliente, en el menú Inicio, haga clic en Paneldecontrol>Agregaro quitar programas.

2 En el cuadro de diálogo Agregar o quitar programas, seleccione SymantecEndpoint Protection Small Business Edition y después haga clic en Quitar.

3 Siga las indicaciones en pantalla para quitar el software de cliente.

Instalación del cliente de Symantec Endpoint Protection Small Business EditionDesinstalación del cliente

88

Actualización y migración aSymantec EndpointProtection Small BusinessEdition


■ Acerca de la migración a Symantec Endpoint Protection Small Business Edition

■ Cómo migrar de Symantec Client Security o de Symantec AntiVirus

■ Cómo actualizar a una nueva versión

■ Migrar un servidor de administración

■ Cómo detener e iniciar el servicio del servidor de administración

■ Cómo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migración

■ Cómo deshabilitar análisis programados en Symantec System Center cuandose migran los equipos cliente

■ Desactivación del servicio móvil

■ Desinstalar y eliminar servidores de informes

■ Cómo desbloquear grupos de servidores en Symantec System Center

■ Acerca de la actualización del software de cliente

■ Cómo actualizar clientes mediante AutoUpgrade

7Capítulo

Acerca de la migración a Symantec EndpointProtection Small Business Edition

Symantec Endpoint Protection Small Business Edition detecta y migra softwareheredado de protección contra virus de Symantec.

Tabla 7-1 Migraciones admitidas

DescripciónProducto

Es posible migrar opcionalmente software heredado deprotección contra virus de Symantec.

La migración detecta y migra las instalaciones del softwareheredado de protección contra virus de Symantec:

■ Symantec AntiVirus Corporate Edition 9.x y 10.x.

■ Symantec Client Security 2.x y 3.x

■ Symantec Endpoint Protection Small Business EditionSmall Business Edition 12.0

Ver "Cómo migrar de Symantec Client Security o deSymantec AntiVirus" en la página 91.

Además consulte la siguiente información:

Sitio web sobre migración

Ver "Acerca de la implementación y migración del cliente"en la página 365.

Es posible omitir la migración de la siguiente manera:

■ Desinstale el software heredado de protección contravirus de Symantec de sus servidores y equipos cliente.

■ Durante la instalación de Symantec Endpoint ProtectionManager, cancele la opción de la migración.

■ Después de la instalación inicial del producto, useSymantec Endpoint Protection Manager para ajustar laconfiguración del grupo y la configuración de políticas.

■ Instale el cliente de Symantec Endpoint Protection SmallBusiness Edition en los equipos de versión anteriordesprotegidos.

Software heredado deprotección contra virus deSymantec

La instalación detecta y actualiza Symantec EndpointProtection Small Business Edition a una nueva versión demantenimiento.

Ver "Cómo actualizar a una nueva versión" en la página 95.

Symantec EndpointProtection Small BusinessEdition

Actualización y migración a Symantec Endpoint Protection Small Business EditionAcerca de la migración a Symantec Endpoint Protection Small Business Edition

90

http://www.symantec.com/endpointsecurity/migrate

Cómo migrar de Symantec Client Security o deSymantec AntiVirus

Es posible migrar los clientes que ejecutan software heredado de protección contravirus de Symantec. Durante la migración, la base de datos de Symantec EndpointProtection Small Business Edition se rellena con los datos de grupos y los datosde políticas de la instalación heredada. Los paquetes de instalación se crean paralos clientes de una versión anterior.

Nota: Los servidores de administración migran a los clientes de una versiónanterior.


91Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo migrar de Symantec Client Security o de Symantec AntiVirus

Tabla 7-2 Resumen de la migración


Prepare su instalación de versión anterior para la migración de la siguientemanera:

■ Deshabilite los análisis programados.

La migración puede fallar si un análisis se está ejecutando durante lamigración.

Ver "Cómo deshabilitar análisis programados en Symantec System Centercuando se migran los equipos cliente" en la página 98.

■ Deshabilite LiveUpdate.

Pueden ocurrir conflictos si LiveUpdate se ejecuta en los equipos clientedurante la migración.

Ver "Cómo deshabilitar LiveUpdate en Symantec AntiVirus antes de lamigración" en la página 97.

■ Desactive el servicio móvil.

La migración puede colgar y no completarse si el servicio móvil se estáejecutando en equipos cliente.

Ver "Desactivación del servicio móvil" en la página 99.

■ Desbloquee los grupos de servidores.

Si está migrando de Symantec AntiVirus, resultados imprevisibles puedenocurrir si los grupos de servidores están bloqueados.

Ver "Cómo desbloquear grupos de servidores en Symantec System Center"en la página 100.

■ Desactive la protección contra intervenciones.

Protección contra intervenciones puede ocasionar resultados imprevisiblesdurante la migración.

■ Desinstale y elimine servidores de informes.

Desinstale los servidores de elaboración de informes y elimine opcionalmentelos archivos de base de datos.

Ver "Desinstalar y eliminar servidores de informes" en la página 100.

Consulte la documentación de software heredado de protección contra virus deSymantec para obtener más información.

Prepare SymantecClient Security o elantivirus de Symantecpara la migración

1

Migre la configuración de políticas y grupos de versiones anteriores.

Ver "Acerca de migrar los grupos del equipo" en la página 93.

Ver "Cómo migrar configuraciones de grupo y de políticas" en la página 93.

Migrar laconfiguración depolíticas y grupos deversiones anteriores

2

Verifique y ajuste opcionalmente la configuración de políticas y grupos migrados.

Ver "Visualización de equipos asignados" en la página 111.

Ver "Mover un equipo cliente a otro grupo" en la página 111.

Ver "Visualización de políticas asignadas" en la página 133.

Verificar los datosmigrados

3

Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo migrar de Symantec Client Security o de Symantec AntiVirus

92


Importe el archivo de licencia de versión anterior en Symantec EndpointProtection Small Business Edition.

Ver "Importación de una licencia" en la página 71.

Importar la licencia deversión anterior

4

Implemente el cliente en equipos de versión anterior.


Implementar elsoftware de cliente

5

Nota: Cuando se actualiza Symantec Endpoint Protection Small Business EditionSmall Business Edition, su licencia de actualización activa nuevas funciones enlos clientes previamente instalados.

Acerca de migrar los grupos del equipoLa migración crea un grupo secundario Mi empresa para cada grupo heredado.El nombre de grupo secundario de Mi empresa es una concatenación de cadagrupo heredado y de sus grupos secundarios heredados.

Por ejemplo, suponga que el grupo heredado Clientes contiene los grupossecundarios heredados ClientGroup1 y ClientGroup2. Los nombres de gruposecundario de Mi empresa son Clientes, Clientes.ClientGroup1 yClientes.ClientGroup2.


Cómo migrar configuraciones de grupo y de políticasEl procedimiento siguiente usa el Asistente de migración para migrar laconfiguración del grupo y la configuración de políticas de Symantec AntiVirusCorporate Edition y de Symantec Client Security.

El Asistente de migración se ejecuta automáticamente durante la instalacióninicial del producto. Es posible también ejecutar el Asistente de migración desdeel menú Inicio en el equipo que alberga Symantec Endpoint Protection Manager.


93Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo migrar de Symantec Client Security o de Symantec AntiVirus

Para migrar configuraciones de grupo y de políticas

1 Inicie el Asistente para migración si es necesario.

Para iniciar el Asistente de migración desde el equipo de consola, en el menúInicio, haga clic en Todos los programas > Symantec Endpoint ProtectionManager > Symantec Endpoint Protection Manager Herramientas >Asistente de migración.

2 En el panel Asistente de migración, haga clic en Siguiente.

3 En el panel Asistente de migración, especifique la siguiente configuración:

Especifica dónde se establece la configuración de la políticadel servidor.

Seleccione una de las siguientes opciones:

■ Grupo de servidores

■ Cada servidor principal

Configuración de lapolítica del servidor

Especifica dónde se establece la configuración de la políticade clientes.

Seleccione una de las siguientes opciones:

■ Grupo de servidores o grupo de clientes

■ Cada servidor principal

Configuración depolíticas de clientes


5 En el panel Asistentedemigración, seleccione una de las siguientes opciones:

Esta opción importa la configuración de todos los servidores.Escriba la dirección IP de un equipo que ejecute SymantecSystem Center.

Detectar servidoresautomáticamente

Esta opción importa la configuración de un servidor único yde los clientes que administra. Escriba la dirección IP de unequipo que ejecute un servidor.

Agregar servidor


7 Siga las indicaciones que se muestran en la pantalla para completar lamigración.

Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo migrar de Symantec Client Security o de Symantec AntiVirus

94

Cómo actualizar a una nueva versiónEs posible actualizar a la última versión del producto. Para instalar una versiónmás reciente del software, es necesario realizar ciertas tareas para asegurar unaactualización correcta.

La información en esta sección es específica para actualizar software en entornosdonde ya está instalada una versión de Symantec Endpoint Protection 11.x o 12.0.

Tabla 7-3 Proceso para actualizar a la última versión de Small Business Edition


Haga una copia de seguridad de la base de datos usada por Symantec EndpointProtection Manager para garantizar la integridad de la información del cliente.

Ver "Hacer copia de seguridad de la base de datos y los registros"en la página 339.

Hacer copia de seguridadde la base de datos

Paso 1

El servicio de Symantec Endpoint Protection Manager se debe detener durantela instalación.

Ver "Cómo detener e iniciar el servicio del servidor de administración"en la página 96.

Detener el servicio deSymantec EndpointProtection Manager

Paso 2

Instale la versión más reciente de Symantec Endpoint Protection Manageren su red. La versión existente se detecta automáticamente y toda laconfiguración se guarda durante la actualización.


Actualizar el software deSymantec EndpointProtection Manager

Paso 3

Actualice su software de cliente a la última versión.

Ver "Acerca de la actualización del software de cliente" en la página 101.

La manera más fácil de actualizar clientes en grupos con el último softwarees usar AutoUpgrade. Se debe primero actualizar un grupo con una pequeñacantidad de equipos de prueba antes de actualizar la red de producción entera.

Ver "Cómo actualizar clientes mediante AutoUpgrade" en la página 102.

Es posible además actualizar clientes con LiveUpdate si se permite que losclientes ejecuten LiveUpdate y si la política de configuración de LiveUpdatelo permite.


Actualizar el software decliente de Symantec

Paso 4

Migrar un servidor de administraciónEs necesario migrar todos los servidores de administración antes de migrarcualquier cliente.

95Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo actualizar a una nueva versión

Advertencia: Es necesario seguir la situación que aplica a su tipo de instalación osu migración puede fallar.

El proceso de la migración es similar a una instalación completamente nueva.

Tabla 7-4 enumera las tareas para migrar Symantec Endpoint Protection Manager.

Tabla 7-4 Tareas de migración

DescripciónTarea

Instale el servidor de administración con el Asistente para laconfiguración del servidor de administración.

Ver "Cómo instalar el servidor de administración y la consola"en la página 49.

Instalar el nuevoservidor deadministración

Se inicia automáticamente el Asistente de actualizaciones delservidor de administración. Siga las instrucciones en el asistentepara configurar el nuevo servidor.

Configurar el servidor deadministración

Cuando aparece el panel de inicio de sesión de SymantecEndpoint Protection Manager, inicie sesión en la consola usandolas credenciales de inicio de sesión de una versión anterior.

Registrar en el servidorde administración

Nota: No es necesario reiniciar el equipo después de la migración, pero puedenotar mejoras en el rendimiento si lo reinicia y luego inicia sesión.

Cómo detener e iniciar el servicio del servidor deadministración

Antes de la actualización, debe detener manualmente el servicio de SymantecEndpoint Protection Manager en el servidor de administración. Después de querealice la actualización, el servicio se inicia automáticamente.

Advertencia: Si no detiene el servicio de Symantec Endpoint Protection Managerantes de actualizar el servidor, se arriesga a corromper su base de datos deSymantec Endpoint Protection Small Business Edition existente.


Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo detener e iniciar el servicio del servidor de administración

96

Para detener el servicio de Symantec Endpoint Protection Manager

1 Haga clic en Inicio > Configuración > Panel de control > Herramientasadministrativas > Servicios.

2 En la ventana Servicios, en Nombre, desplácese hasta Symantec EndpointProtection Manager y haga clic con el botón secundario en él.

3 Haga clic en Detener.

4 Cierre la ventana Servicios.

Advertencia: Cierre la ventana Servicios o la actualización puede fallar.

5 Repita este procedimiento para todas las instalaciones de Symantec EndpointProtection Manager.

Para iniciar el servicio de Symantec Endpoint Protection Manager usando la líneade comandos

◆ Desde una línea de comandos, escriba:

net start semsrv

Para detener el servicio de Symantec Endpoint ProtectionManager usando la líneade comandos


net stop semsrv

Cómodeshabilitar LiveUpdate enSymantecAntiVirusantes de la migración

Si LiveUpdate se ejecuta en los equipos cliente durante la migración, puedenocurrir conflictos. Por lo tanto, es necesario desactivar LiveUpdate en los equiposcliente durante la migración.


97Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migración

Para deshabilitar LiveUpdate en Symantec AntiVirus

1 En Symantec System Center, haga clic con el botón secundario en un grupode servidores.

2 Haga clic en Todas las tareas > Symantec AntiVirus > Administrador dedefiniciones de virus.

3 En el cuadro de diálogo Administrador de definiciones de virus, marqueActualizar solamente el servidor principal de este grupo de servidores ydespués haga clic en Configurar.

4 En el cuadro de diálogo Configurar actualizaciones del servidor principal,desactive Programación para actualizaciones automáticas y haga clic enAceptar.

5 En el cuadro de diálogo Administrador de definiciones de virus, anule lassiguientes selecciones:

■ Actualizar definiciones de virus del servidor principal

■ Programaractualizaciones automáticas en los clientes conLiveUpdate

■ Habilitar LiveUpdate continuo

6 Marque No permitir al cliente iniciar LiveUpdate manualmente y despuéshaga clic en Aceptar.

7 Repita este procedimiento para todos los grupos de servidores, si tiene másde uno.

Cómodeshabilitar análisis programados enSymantecSystem Center cuando se migran los equipos cliente

Si un análisis está programado para ejecutarse y se está ejecutando al tiempo queocurre la migración del cliente, la migración puede fallar. Se recomiendadeshabilitar los análisis programados durante la migración y habilitarlos despuésde la migración.


Para deshabilitar análisis programados

1 En Symantec System Center, realice una de las siguientes acciones:

■ Haga clic con el botón secundario en un servidor de administración.

■ Haga clic con el botón secundario en un grupo de clientes.

2 Haga clic en Todaslastareas>SymantecAntiVirus>Análisisprogramados.

Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo deshabilitar análisis programados en Symantec System Center cuando se migran los equipos cliente

98

3 En el cuadro de diálogo Análisis programados, en la ficha Análisis de servidor,deje sin marcar todos los análisis programados.

4 En la ficha Análisis de clientes, deje sin marcar todos los análisis programadosy haga clic en Aceptar.

5 Repita este procedimiento para todos los servidores de administraciónprimarios, los servidores de administración secundarios y todos los gruposde clientes.

Desactivación del servicio móvilSi el servicio móvil está en ejecución en los equipos cliente, la migración puedebloquearse y no terminar. Si el servicio móvil está activado, debe desactivarloantes de iniciar la migración.

Nota:Si sus clientes móviles ejecutan la versión 10.x de Symantec AntiVirus, debedesbloquear los grupos de servidores antes de deshabilitar el servicio móvil. Estapráctica ayuda a garantizar que los clientes de uso móvil estén autenticadoscorrectamente con certificados en su servidor principal.

Para desactivar el servicio móvil


2 Haga clic en Todaslastareas>SymantecAntiVirus>Opcionesdeusomóvilpara clientes.

3 En el cuadro de diálogo Opciones de uso móvil para clientes, en el cuadroValidar el servidor principal cada X minutos, escriba 1.

4 En el cuadro Buscar el servidor principal más cercano cada X minutos, escriba1 y presione Aceptar.

5 Espere algunos minutos.


7 Haga clic en Todaslastareas>SymantecAntiVirus>Opcionesdeusomóvilpara clientes.

8 En el cuadro de diálogo Opciones de uso móvil para clientes, anule la selecciónde Habilitar uso móvil en clientes con el servicio Symantec AntiVirusRoaming.

9 Haga clic en Aceptar.

99Actualización y migración a Symantec Endpoint Protection Small Business EditionDesactivación del servicio móvil


Desinstalar y eliminar servidores de informesSi instaló uno o más servidores de informes, es necesario desinstalar estosservidores de informes y, opcionalmente, eliminar los archivos de la base de datos.Es necesario también eliminar los servidores de informes de Symantec SystemCenter. Es posible obtener información completa sobre la desinstalación deservidores de informes en la ayuda en pantalla de Symantec System Center. Lasopciones de versiones anteriores se almacenaban en el registro de Windows. Todala configuración ahora se almacena en una base de datos, junto con los datos deinformes.


Para desinstalar servidores de informes

1 Inicie sesión en un equipo que ejecute el servidor de informes.

2 Haga clic en Inicio > Configuración > Panel de control > Agregar o quitarprogramas.

3 En el cuadro de diálogo Agregar o quitar programas, haga clic en Servidorde informes de Symantec y después haga clic en Quitar.

4 Siga las indicaciones que se muestran en la pantalla hasta que se elimine elservidor de informes.

5 Repita este paso para todos los servidores de informes.

Para eliminar servidores de informes de Symantec System Center

1 En Symantec System Center, haga clic con el botón secundario y amplíeInformes.

2 Haga clic con el botón secundario en cada servidor de informes y haga clicen Eliminar.

Cómodesbloquear gruposde servidores enSymantecSystem Center

Si no se desbloquean los grupos de servidores antes de la migración, puedenpresentarse resultados imprevisibles. Además, si el servicio de uso móvil estáhabilitado para los clientes, el desbloqueo del grupo de servidores garantiza quelos clientes se autentiquen correctamente en un servidor principal. Los clientes

Actualización y migración a Symantec Endpoint Protection Small Business EditionDesinstalar y eliminar servidores de informes

100

que se autentican correctamente en un servidor principal se colocan en la basede datos. Los clientes que se colocan en la base de datos aparecen automáticamenteen el grupo de versiones anteriores correcto de la consola después de la instalación.

Para desbloquear un grupo de servidores

1 En Symantec System Center, haga clic con el botón secundario en un grupode servidores bloqueado y después haga clic en Desbloqueo de grupo deservidores.

2 En el cuadro de diálogo Desbloqueo de grupo de servidores, escriba lascredenciales de autenticación, si es necesario, y haga clic en Aceptar.


Acerca de la actualización del software de clienteEs posible usar varios métodos para actualizar el software de cliente de Symantec.Algunos métodos pueden durar hasta 30 minutos. Por lo tanto, es posible actualizarel software de cliente cuando la mayoría de los usuarios no han iniciado sesiónen sus equipos.

Tabla 7-5 Métodos para actualizar el software de cliente de Symantec EndpointProtection Small Business Edition y Symantec Network AccessControl

DescripciónMétodo de laactualización

Use AutoUpgrade para actualizar clientes en uno o más grupos de laconsola de Symantec Endpoint Protection Manager.

Ver "Cómo actualizar clientes mediante AutoUpgrade" en la página 102.

AutoUpgrade

Implemente una política que permita que los clientes ejecutenLiveUpdate.

Ver "Cómo habilitar y deshabilitar la programación de LiveUpdatepara equipos cliente" en la página 284.

Política deLiveUpdate

Use el programa de instalación del disco del producto para instalaruna nueva versión del cliente.

Disco del producto

Use uno de los otros métodos admitidos para instalar el software decliente.

Ver "Acerca de los métodos de implementación del cliente"en la página 79.

Otros métodos

101Actualización y migración a Symantec Endpoint Protection Small Business EditionAcerca de la actualización del software de cliente

Si el cliente de Symantec Network Access Control también está instalado, esnecesario actualizar el cliente de Symantec Endpoint Protection Small BusinessEdition y el cliente de Symantec Network Access Control. Es posible asignar elpaquete de Symantec Endpoint Protection Small Business Edition y el paquete deSymantec Network Access Control al mismo grupo. En este caso, asegúrese de quela opción Conservar funciones esté seleccionada.


Cómo actualizar clientes mediante AutoUpgradeEl proceso de AutoUpgrade le permite actualizar el software de cliente de SymantecEndpoint Protection Small Business Edition automáticamente para todos losclientes que se encuentren en un grupo. Por ejemplo, se puede usar AutoUpgradepara actualizar clientes a una nueva versión de mantenimiento o versión delproducto.

Es necesario probar el proceso de AutoUpgrade antes de tratar de actualizar unagran cantidad de clientes en su red de producción. Si no tiene una red de prueba,se puede crear un grupo de prueba dentro de su red de producción. Para esta clasede prueba, se agregan algunos clientes no críticos al grupo de prueba y acontinuación se actualizan usando AutoUpgrade. Se confirma que la actualizaciónse completó correctamente verificando el número de versión del software decliente. El número de versión se muestra en el panel del cliente Ayuda >Acercade.

Ver "Acerca de la actualización del software de cliente" en la página 101.

Para actualizar clientes mediante AutoUpgrade

1 En la consola de Symantec Endpoint Protection Manager, haga clic en Inicio> Tareas comunes > Instalar cliente de protección en los equipos.

2 En el Asistente de implementación del cliente, seleccione la opción para laimplementación. Use Implementación del paquete del servidor para usarun paquete que se instale previamente en el servidor. Use Implementacióndelpaqueteexistente para elegir un paquete que usted exportó de SymantecEndpoint Protection Manager previamente. Consulte el tutorial que se vinculacon el asistente para obtener más información. Haga clic en Siguiente despuésde realizar una selección.

3 En el panel Seleccionar grupo y conjuntos de funciones de instalación,seleccione el paquete, el grupo de clientes que desee actualizar, el conjuntode funciones de instalación y las opciones de contenido para laimplementación. Haga clic en Siguiente.

Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo actualizar clientes mediante AutoUpgrade

102

4 Seleccione un método de implementación y después haga clic en Siguiente.

Ver "Cómo implementar clientes usando transferencia remota "en la página 82.

Ver "Cómo implementar clientes usando un vínculo web y un correoelectrónico" en la página 80.

5 Si selecciona publicar el paquete usando el correo electrónico o un vínculoweb, siga las indicaciones para completar el asistente. Se publican los archivosuna vez que el asistente finaliza.

6 Si selecciona la opción de transferencia remota, agregue los equipos a la listaInstalar cliente de protección en y después haga clic en Siguiente. Paraseleccionar los equipos, busque los equipos o busque la dirección IP o elnombre del equipo. Para buscar, haga clic en Buscar red > Buscar equipos yescriba las direcciones IP o el nombre del equipo. Cuando localice los equipos,que haga clic en Siguiente.

Nota: Es necesario proporcionar las credenciales para un miembro del grupodel administrador que está autorizado para administrar los equipos de destino.

7 Para completar el proceso de implementación mediante transferencia remota,haga clic en Enviar.

Nota: El asistente crea el paquete, lo cual puede tardar dos o tres minutos.Durante este tiempo, no se indica ningún progreso. Una vez que el paquetese crea, el progreso avanza a medida que el paquete se copia a los equiposseleccionados. Puede tardar varios minutos enviar el paquete por la red.Cuando el progreso se muestra al 100%, el paquete cliente está copiadocompletamente en los equipos seleccionados y el instalador se inicia en elequipo cliente. El asistente no muestra el progreso del proceso de instalaciónreal. Vaya a Informes > Tipo de informe > Estado del equipo > Informe deimplementación para calibrar el progreso de la instalación del cliente.


103Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo actualizar clientes mediante AutoUpgrade

Actualización y migración a Symantec Endpoint Protection Small Business EditionCómo actualizar clientes mediante AutoUpgrade

104

Administración de protecciónen Symantec EndpointProtection Small BusinessEdition

■ Capítulo 8. Administración de grupos de equipos cliente

■ Capítulo 9. Administración de clientes

■ Capítulo 10. Uso de políticas para administrar seguridad

■ Capítulo 11. Administración de protección antivirus y antispyware

■ Capítulo 12. Personalización de análisis

■ Capítulo 13. Administración de SONAR

■ Capítulo 14. Administración de protección contra intervenciones

■ Capítulo 15. Administración de protección mediante firewall

■ Capítulo 16. Administración de prevención de intrusiones

■ Capítulo 17. Administración de excepciones

2Sección

■ Capítulo 18. Configuración de actualizaciones y actualizaciones de proteccióndel equipo cliente

■ Capítulo 19. Supervisión de protección con los informes y los registros

■ Capítulo 20. Administración de notificaciones

■ Capítulo 21. Administración de cuentas de administrador

106

Administración de gruposde equipos cliente


■ Cómo administrar grupos de equipos

■ Cómo se pueden estructurar los grupos

■ Adición de un grupo

■ Bloquear clientes para que no se agreguen a grupos

■ Visualización de equipos asignados

■ Mover un equipo cliente a otro grupo

■ Instrucciones para administrar equipos portables

Cómo administrar grupos de equiposLos equipos con necesidades de seguridad similares se organizan en grupos. Porejemplo, es posible organizar los equipos del departamento de contabilidad en elgrupo Contabilidad. La estructura del grupo que se define a menudo coincide conla estructura de su organización.

La consola de Symantec Endpoint Protection Manager contiene los grupospredeterminados siguientes:

■ El grupo Miempresa es el grupo de nivel superior o grupo principal. Contieneun árbol plano de grupos secundarios. La estructura de grupos secundarioscoincide con la estructura organizativa de su compañía.

8Capítulo

■ El grupo Equipos portátiles y de escritorio contiene equipos portátiles yequipos de escritorio. El grupo Equiposportátiles ydeescritorio es un gruposecundario debajo del grupo principal Mi empresa.

■ El grupo Servidores contiene los equipos que ejecutan un sistema operativode servidor Windows admitido. El grupo Servidores es un grupo secundariodebajo del grupo principal Mi empresa.

Es posible colocar los equipos cliente en el grupo Equiposportátilesydeescritorio,el grupo Servidores o un grupo que definió.

No es posible cambiar el nombre de los grupos predeterminados ni eliminarlos.

La Tabla 8-1 describe las acciones que se pueden realizar cuando se administransus grupos de equipos.

Tabla 8-1 Acciones de la administración de grupos

DescripciónTarea

Es posible ver los equipos asignados en la consolapara comprobar si están asignados correctamente.

Ver "Visualización de equipos asignados"en la página 111.

Ver equipos asignados

Es posible crear grupos en la consola. Los gruposcreados recientemente se enumeran como grupossecundarios bajo el grupo principal Mi empresa.

Ver "Adición de un grupo" en la página 110.

Es posible que desee considerar crear grupos paralos equipos portátiles.

Ver "Instrucciones para administrar equiposportables" en la página 111.

Crear un grupo

Es posible bloquear un grupo en la consola. Elbloqueo de un grupo evita que los equipos clientesean agregados el grupo.

Ver "Bloquear clientes para que no se agreguen agrupos" en la página 110.

Bloquear un grupo

Si los equipos no están en el grupo correcto, puedemoverlos a otro grupo.

Ver "Mover un equipo cliente a otro grupo"en la página 111.

Mover un equipo

Administración de grupos de equipos clienteCómo administrar grupos de equipos

108

Una vez que haya ordenado sus equipos en grupos lógicos, puede administrar másfácilmente sus políticas de seguridad.

Ver "Cómo realizar tareas que son comunes a todas las políticas de seguridad"en la página 127.

Cómo se pueden estructurar los gruposEs posible crear varios grupos y subgrupos para que coincidan con la estructurade organización de su empresa. Es posible basar su estructura de grupo en lafunción, el rol, la región geográfica o una combinación de criterios.

Tabla 8-2 Criterios para crear los grupos

DescripciónCriterio

Es posible crear los grupos según los tipos de equipos que se administrarán,por ejemplo, los equipos portátiles, los equipos de escritorio y los servidores.Alternativamente, se pueden crear varios grupos según el tipo de uso. Porejemplo, se puede crear un grupo Móvil para los clientes que viajan y ungrupo Local para los clientes que permanecen en la oficina.

Función

Es posible crear los grupos para los roles de departamentos, tales comoventas, ingeniería, finanzas y comercialización.

Rol

Es posible crear los grupos según las oficinas, las ciudades, los estados, lasregiones o los países donde se encuentran los equipos.

Regióngeográfica

Es posible crear los grupos según una combinación de criterios. Por ejemplo,se puede usar la función y el rol.

Es posible agregar un grupo principal por rol y agregar subgrupossecundarios por la función, como en la siguiente situación:

■ Ventas, con los subgrupos de equipos portátiles, de escritorio y servidores.

■ Ingeniería, con subgrupos de equipos portátiles, de escritorio y servidores.

Combinación

Por ejemplo, supongamos que una empresa tiene departamentos de televenta yde contabilidad. Estos departamentos tienen empleados en las oficinas de NuevaYork, Londres y Frankfurt de la compañía. Todos los equipos de ambosdepartamentos están asignados al mismo grupo de modo que reciban lasactualizaciones de las definiciones de virus y de riesgo para la seguridad de lamisma fuente. Sin embargo, los informes de TI indican que el departamento deteleventa es más vulnerable a los riesgos que el departamento de contabilidad.Como resultado, el administrador del sistema crea los grupos de televenta y decontabilidad por separado. Los clientes de televenta comparten las opciones de

109Administración de grupos de equipos clienteCómo se pueden estructurar los grupos

configuración que limitan terminantemente cómo los usuarios puedeninteraccionar con la protección antivirus y contra riesgos para la seguridad.

Consulte el artículo de la base de conocimientos Prácticas recomendadas para lacreación de estructuras de grupos


Adición de un grupoEs posible agregar grupos después de definir la estructura de grupo para suorganización.

Las descripciones de grupo pueden tener hasta 1024 caracteres. Los nombres degrupo pueden contener cualquier carácter excepto los caracteres siguientes: [¿”/\*?< > | :] Las descripciones del grupo no están restringidas.

Nota: Es posible agregar grupos solamente al grupo Mi empresa. No es posibleagregar grupos a los subgrupos predeterminados.

Ver "Cómo se pueden estructurar los grupos" en la página 109.

Para agregar un grupo


2 En Equipos, haga clic en Mi empresa.

3 En Tareas, haga clic en Agregar un grupo.

4 En el cuadro de diálogo Agregar grupo para Mi empresa, escriba el nombrede grupo y una descripción.


Bloquear clientes para que no se agreguen a gruposEs posible configurar paquetes de instalación de clientes con su calidad de miembrode grupo definida ya. Si define un grupo en el paquete, el cliente se agregaautomáticamente al grupo apropiado. El cliente se agrega la primera vez queefectúa una conexión con el servidor de administración.

Es posible activar el bloqueo si no desea que los clientes se agreguenautomáticamente a un grupo específico cuando se conectan a la red.

La opción de bloqueo evita que se agreguen usuarios a un grupo automáticamente.Es posible bloquear un nuevo cliente para que no se agregue al grupo al que fueasignado en el paquete de instalación de clientes. En este caso, el cliente se agrega

Administración de grupos de equipos clienteAdición de un grupo

110

http://www.symantec.com/docs/TECH134409

http://www.symantec.com/docs/TECH134409

al grupo predeterminado. Es posible mover manualmente un equipo a un grupobloqueado.

Para bloquear clientes para que no se agreguen a grupos


2 En Equipos, haga clic con el botón derecho en un grupo y en Propiedades.

3 En el cuadro de diálogo Propiedades de grupo para nombre de grupo, hagaclic en Bloquear nuevos clientes.


Visualización de equipos asignadosEs posible verificar que sus equipos estén asignados a los grupos correctos.

Para ver los equipos asignados


2 En la página Equipos, en la ficha Equipos, haga clic en un grupo.


Mover un equipo cliente a otro grupoSi sus equipos cliente no están en el grupo correcto, puede moverlos a otro grupo.

Para mover un equipo cliente a otro grupo


2 En la página Equipos, en la ficha Equipos, seleccione un grupo.

3 En la ficha Equipos, en el grupo seleccionado, seleccione el equipo y despuéshaga clic con el botón derecho en Mover.

Use la tecla Mayús o la tecla Ctrl para seleccionar varios equipos.

4 En el cuadro de diálogo Mover clientes, seleccione el nuevo grupo.



Instrucciones para administrar equipos portablesUn equipo portable es un equipo portátil que se puede mover a partir de unaubicación a otra. Un equipo portable puede conectarse a la red intermitentemente

111Administración de grupos de equipos clienteVisualización de equipos asignados

o puede no conectarse en absoluto. Puede conectarse un equipo portátil a la reda través de una red privada virtual (VPN) o de una red inalámbrica, o de ambas.


Considere las siguientes prácticas recomendadas para administrar los equiposportables:

■ Instale los equipos portables como equipos administrados.La administración de los equipos administrados es fácil porque se accede aellos directamente desde Symantec Endpoint Protection Manager.Si su compañía tiene equipos portátiles que nunca se conectan a la red, instalelos clientes no administrados en ellos. Los clientes no administrados no secomunican con Symantec Endpoint Protection Manager ni recibenactualizaciones directamente de los servidores de Symantec LiveUpdate.

■ Cree un grupo para los equipos portables administrados.Colocar los equipos portables administrados en un grupo permite administrarlos equipos como una única unidad.

■ Consolide las tecnologías de protección para los usuarios remotos.Consulte el artículo de la base de conocimientos del Soporte técnico deSymantec, Prácticas de seguridad generales para los administradores de redes.

Administración de grupos de equipos clienteInstrucciones para administrar equipos portables

112

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=bp_net_security

Administración de clientes


■ Cómo administrar los equipos cliente

■ Acerca de los iconos de estado de protección de los clientes

■ Visualizar el estado de protección de los clientes y equipos cliente

■ Consulta de las propiedades de un cliente

■ Acerca de cómo habilitar y deshabilitar la protección

■ Acerca de los comandos que puede ejecutar en los equipos cliente

■ Ejecución de comandos en el equipo cliente desde la consola

■ Convertir un cliente no administrado en un cliente administrado

Cómo administrar los equipos clienteTabla 9-1 enumera las tareas que se deben realizar con los equipos una vez quese instala el software de cliente. Es posible realizar tareas adicionales en otromomento.

Tabla 9-1 Tareas para administrar los equipos cliente

DescripciónTarea

■ Es posible mostrar los equipos en cada grupo que no tienen el software de clienteinstalado aún.

■ Es posible agregar un cliente a un grupo e instalar el software de cliente más tarde.


Comprobar que el softwarede cliente esté instalado ensus endpoints

9Capítulo

DescripciónTarea

Es posible comprobar si el software de cliente está instalado y si los clientesproporcionan el nivel correcto de protección.

■ Es posible ver el estado de cada tecnología de protección en sus equipos cliente.


Ver "Acerca de los iconos de estado de protección de los clientes" en la página 115.

■ Es posible ejecutar informes o ver registros para consultar si es necesario aumentarla protección o mejorar el rendimiento. Por ejemplo, los análisis pueden causarfalsos positivos. Es posible también identificar los equipos cliente que necesitanprotección.


■ Es posible modificar la protección basada en los atributos específicos del softwarede cliente o de los equipos cliente.

Comprobar que los equiposcliente tengan el nivelcorrecto de protección

■ Es posible aumentar o disminuir cada tipo de protección según los resultados enlos informes y los registros.



■ Es posible deshabilitar temporalmente la protección en los equipos cliente si esnecesario diagnosticar un problema o mejorar el rendimiento.

Ver "Acerca de cómo habilitar y deshabilitar la protección" en la página 117.


Ajustar la protección en losequipos cliente

Para cambiar el nivel de protección de un equipo cliente, se puede mover a un grupoque proporcione más protección o menos protección.

Ver "Mover un equipo cliente a otro grupo" en la página 111.

Mover los endpoint de ungrupo a otro para modificarla protección (opcional)

Es posible especificar la clase de control que los usuarios ejercen sobre la protecciónen los equipos cliente.

■ Para la protección antivirus y antispyware, y la protección proactiva contraamenazas, se puede bloquear o desbloquear una casilla de selección para especificarsi los usuarios pueden cambiar opciones de configuración individuales.

Ver "Cómo bloquear y desbloquear la configuración de políticas" en la página 131.

■ Si los usuario necesitan pleno control del cliente, se puede instalar un cliente noadministrado.


Permitir que los usuarioscontrolen la protección delequipo (opcional)

Ver "Desinstalación del cliente" en la página 87.Eliminar el software decliente de los equipos(opcional)

Administración de clientesCómo administrar los equipos cliente

114

Acerca de los iconos de estado de protección de losclientes

Es posible comprobar si el cliente y el servidor se comunican.

Tabla 9-2 Iconos de estado del cliente en la consola de administración

DescripciónIcono

Este icono indica el estado siguiente:

■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager.

Este icono indica el estado siguiente:

■ El cliente no puede comunicarse con Symantec Endpoint ProtectionManager.

■ El cliente se pudo haber agregado desde la consola y puede no tenerningún software de cliente de Symantec instalado.


Visualizar el estado de protección de los clientes yequipos cliente

Es posible ver la información sobre el estado operativo y de protección de losclientes y los equipos de la red en tiempo real.

Es posible ver:

■ Una lista de equipos cliente administrados que no tienen el cliente instalado.Es posible ver el nombre del equipo, el nombre de dominio y el nombre delusuario que ha iniciado sesión.

■ Qué protecciones se habilitan y se deshabilitan.

■ Qué equipos cliente tienen las últimas políticas y definiciones.

■ El número de serie de las políticas del grupo y el número de versión del cliente.

■ La información sobre los componentes de red del equipo cliente, como ladirección MAC de la tarjeta de red que usa el equipo.

■ La información del sistema sobre el equipo cliente, como la cantidad de espaciolibre en el disco disponible y el número de versión del sistema operativo.

115Administración de clientesAcerca de los iconos de estado de protección de los clientes

Una vez que se conoce el estado de un cliente determinado, es posible resolvercualquier problema de seguridad de los equipos cliente. Es posible resolver muchosproblemas mediante la ejecución de comandos en los grupos. Por ejemplo, se puedeactualizar el contenido o habilitar Auto-Protect.

Nota: Si administra clientes de una versión anterior, algunas tecnologías deprotección más nuevas se pueden detallar como no informadas. Este es elcomportamiento previsto. No significa que es necesario tomar medidas en estosclientes.

Ver "Acerca de los iconos de estado de protección de los clientes" en la página 115.


Ver "Consulta de las propiedades de un cliente" en la página 116.

Para ver el estado de protección de los equipos cliente


2 En la página Equipos, seleccione el grupo al que el cliente pertenece.

3 En la ficha Equipos, en la lista de clientes, busque el nombre del cliente.

4 En la fila con el nombre del cliente, la columna Estado muestra el estado deconexión del cliente.

Consulta de las propiedades de un clienteCada usuario y cada equipo tienen una página de propiedades. El único campoque puede editar es el campo Descripción en la ficha General.

La página incluye las fichas siguientes:

■ GeneralVisualiza la información sobre el grupo, el dominio, el nombre de inicio desesión y la configuración de hardware del equipo.

■ RedMuestra la información sobre el servidor DNS, el servidor DHCP, el servidorWINS y la dirección IP del equipo.

■ ClientesVisualiza la información que se recopila del equipo cliente. Esta informaciónincluye el tipo de cliente que se ejecuta en el equipo. Además, enumerainformación específica del software y de las políticas. Esta información incluyela versión del software del cliente, el número de serie del perfil actual, el númerode serie de la firma actual y la última vez que estuvo en línea.

Administración de clientesConsulta de las propiedades de un cliente

116

Para consultar las propiedades de un equipo cliente


2 Elija el grupo con los clientes cuyas propiedades desea consultar.

3 En la ficha Equipos, haga clic con el botón derecho en el equipo y seleccioneEditar propiedades.

4 En el cuadro de diálogo nombre de cliente, es posible ver la información sobreel cliente.


Acerca de cómo habilitar y deshabilitar la protecciónGeneralmente, se recomienda mantener siempre las tecnologías de protecciónhabilitadas en el equipo cliente.

Puede ser recomendable deshabilitar temporalmente todas las tecnologías deprotección o las tecnologías de protección individuales si tiene un problema conel equipo cliente. Por ejemplo, si una aplicación no se ejecuta o no se ejecutacorrectamente, puede ser recomendable deshabilitar Protección contra amenazasde red. Si el problemas persiste una vez que se deshabilitan todas las tecnologíasde protección, ya sabe que el problema no es el cliente.

Advertencia: Asegúrese de habilitar las protecciones cuando haya finalizado lasolución del problema para que su equipo permanezca protegido.

La Tabla 9-3 describe los motivos por los que puede ser recomendable deshabilitarcada tecnología de protección.

117Administración de clientesAcerca de cómo habilitar y deshabilitar la protección

Tabla 9-3 Propósito de deshabilitar una tecnología de protección

Propósito de deshabilitar la tecnología de protecciónTecnología deprotección

Si deshabilita esta protección, se deshabilita Auto-Protect solamente.

Los análisis programados o de inicio se ejecutan de todos modos si usted o el usuario así lohan establecido.

Es posible que tenga que habilitar o deshabilitar Auto-Protect por los siguientes motivos:

■ Auto-Protect puede impedir que abra un documento. Por ejemplo, si abre un documentode Microsoft Word que tiene una macro, es posible que Auto-Protect no permita que laabra. Si sabe que el documento es seguro, puede deshabilitar Auto-Protect.

■ Auto-Protect puede alertar acerca de una actividad propia de virus que el usuario sepacon seguridad que no está ocasionada por un virus. Por ejemplo, es posible que se muestreun aviso cuando se instalan nuevas aplicaciones informáticas. Si planea instalar másaplicaciones y desea evitar el aviso, es posible deshabilitar temporalmente Auto-Protect.

■ Auto-Protect puede interferir con el reemplazo de controladores de Windows.

■ Auto-Protect puede ralentizar el equipo cliente.

Nota: Si deshabilita Auto-Protect, usted además deshabilita Diagnóstico Insight dedescargas, incluso si está habilitado. SONAR además no puede detectar amenazas heurísticas.La detección de SONAR de cambios de archivos de host y de sistema continúa funcionando.


Si Auto-Protect causa un problema con una aplicación, es mejor crear una excepción quedeshabilitar permanentemente la protección.

Ver "Cómo crear las excepciones para Symantec Endpoint Protection Small Business Edition"en la página 264.

Protección antivirus yantispyware

Puede ser recomendable deshabilitar la Protección proactiva contra amenazas por lossiguientes motivos:

■ Observa demasiadas advertencias sobre amenazas que sabe que no son amenazas.

■ La Protección proactiva contra amenazas puede ralentizar el equipo cliente.

Ver "Cómo habilitar o deshabilitar SONAR" en la página 218.

Protección proactivacontra amenazas

Administración de clientesAcerca de cómo habilitar y deshabilitar la protección

118

Propósito de deshabilitar la tecnología de protecciónTecnología deprotección

Puede ser recomendable deshabilitar la Protección contra amenazas de red por los siguientesmotivos:

■ Instala una aplicación que el firewall puede bloquear.

■ El firewall o el sistema de prevención de intrusiones causa problemas relacionados conla conectividad de red.

■ El firewall puede ralentizar el equipo cliente.

■ No es posible abrir una aplicación.

Ver "Cómo habilitar o deshabilitar la prevención contra intrusiones del navegador o de lared" en la página 258.

Si no está seguro de que Protección contra amenazas de red causa el problema, se recomiendadeshabilitar todas las tecnologías de protección.

Protección contraamenazas de red

Típicamente es necesario mantener Protección contra intervenciones habilitada.

Es posible que desee deshabilitar temporalmente la Protección contra intervenciones siobtiene muchas detecciones de falsos positivos. Es posible crear excepciones para deteccionesde falsos positivos.

Ver "Cómo cambiar la configuración de Protección contra intervenciones" en la página 222.

Protección contraintervenciones

Acerca de los comandos que puede ejecutar en losequipos cliente

Es posible ejecutar comandos remotamente en clientes individuales o un grupoentero desde la consola.

Es posible habilitar y deshabilitar la protección para solucionar problemas en elequipo cliente.


119Administración de clientesAcerca de los comandos que puede ejecutar en los equipos cliente

Tabla 9-4 Comandos que es posible ejecutar en equipos cliente

DescripciónComandos

Ejecuta análisis cuando lo necesita en los equipos cliente.

Si ejecuta un comando de análisis y selecciona un Análisispersonalizado, el análisis utiliza la configuración del análisis decomando que usted configuró en la página Análisis definido porel administrador. El comando usa la configuración que está en lapolítica de protección antivirus y antispyware que se aplica a losequipos cliente seleccionados.

Ver "Cómo ejecutar análisis manuales en equipos cliente"en la página 171.

Analizar

Cancela todos los análisis que estén en ejecución en los equiposcliente.

Cancelar todos losanálisis

Actualiza el contenido en clientes iniciando una sesión deLiveUpdate en los equipos cliente. Los clientes reciben el contenidomás reciente de Symantec LiveUpdate.

Ver "Configurar la programación de descarga de LiveUpdate paraSymantec Endpoint Protection Manager" en la página 281.

Actualizar contenido

Actualiza el contenido iniciando una sesión de LiveUpdate yejecuta un análisis manual en los equipos cliente.

Actualizar contenidoy análisis

Reinicia los equipos cliente.Reiniciar equiposcliente

Habilita Auto-Protect para el sistema de archivos en los equiposcliente.

De forma predeterminada, Auto-Protect para el sistema de archivosestá habilitado. Es posible que necesite habilitar Auto-Protectdesde la consola, si permite que los usuarios modifiquen estaopción o si deshabilita Auto-Protect. Es posible bloquear laconfiguración, de forma que los usuarios de los equipos clienteno puedan deshabilitar Auto-Protect.

Ver "Cómo personalizar Auto-Protect para los clientes Windows"en la página 198.

Ver "Acerca de los comandos que puede ejecutar en los equiposcliente"en la página 199 en la página 199.

Si desea habilitar o deshabilitar Auto-Protect para el correoelectrónico, debe incluir la configuración en la política deprotección antivirus y antispyware.

HabilitarAuto-Protect

Administración de clientesAcerca de los comandos que puede ejecutar en los equipos cliente

120

DescripciónComandos

Habilita y deshabilita el firewall y la prevención de intrusiones enlos equipos cliente.

Nota: El equipo cliente Mac no procesa este comando.

Habilitar proteccióncontra amenazas dered y Deshab. protec.contra amen. red


Ver "Ejecución de comandos en el equipo cliente desde los registros"en la página 308.

Es posible configurar un administrador limitado para tener derechos a alguno oa ninguno de estos comandos.

Ver "Configurar los derechos de acceso para un administrador limitado"en la página 329.

Ejecución de comandos en el equipo cliente desde laconsola

En clientes administrados, los comandos que usted ejecuta anulan los comandosque el usuario ejecuta. El orden en el cual se procesan los comandos y las accionesen el equipo cliente varía de un comando a otro. Sin importar dónde se inicia elcomando, los comandos y las acciones se procesan de la misma manera.

Es posible también ejecutar estos comandos en clientes desde el registro Estadodel equipo.



Para ejecutar comandos en el equipo cliente desde la consola

1 En la consola, haga clic en Equipos y a continuación en Equipos, seleccioneel grupo que incluye los equipos para los cuales desea ejecutar un comando.

2 En el panel derecho, haga clic en Equipos.

3 Realice una de las acciones siguientes:

■ En el panel izquierdo, en Equipos, haga clic con el botón derecho en elgrupo para el cual desea ejecutar el comando.

121Administración de clientesEjecución de comandos en el equipo cliente desde la consola

■ En el panel derecho, en la ficha Equipos, seleccione y haga clic con elbotón derecho en los equipos o los usuarios para los cuales desea ejecutarel comando.

4 Haga clic en uno de los siguientes comandos:

■ Ejecutar un comando en el grupo > comando

■ Ejecutar comando en los clientes > comando

5 En el mensaje que aparece, haga clic en Aceptar.

Convertir un cliente no administrado en un clienteadministrado

Usted o el usuario pueden convertir un cliente no administrado en un equipoadministrado.


Es posible convertir un cliente no administrado en cliente administrado usandolos siguientes métodos:

■ Instalar el cliente como equipo administrado.Este método convierte un cliente no administrado en un cliente administradoreinstalando el software de cliente.Ver "Preparación para la instalación de clientes" en la página 75.

■ Importar la configuración de las comunicaciones del servidor.Este método convierte un cliente no administrado en un cliente administradoal importar la configuración de las comunicaciones del servidor.

Tabla 9-5 enumera los pasos para importar la configuración de las comunicacionesdel servidor.

Administración de clientesConvertir un cliente no administrado en un cliente administrado

122

Tabla 9-5 Pasos para la importación de la configuración de las comunicacionesdel servidor

DescripciónTareaPaso

Exporte el archivo sylink.xml que contiene la configuración de comunicación delservidor para un grupo.

Realice las siguientes tareas para exportar el archivo sylink.xml:

■ En la consola, en la página Equipos, haga clic con el botón derecho en ungrupo y después haga clic en Exportar configuración de comunicaciones.

■ Siga las indicaciones para guardar el archivo sylink.xml. No edite el archivo.

■ Envíe por correo electrónico el archivo sylink.xml al usuario del equipo oguárdelo en una ubicación compartida por el usuario.

Proporcionar laconfiguración de lascomunicaciones delservidor al usuario delequipo

Paso 1

Importe el archivo sylink.xml en el equipo cliente.

Realice las siguientes tareas para importar el archivo sylink.xml:

■ En el equipo cliente no administrado, abra el cliente.

■ Haga clic en Ayuda y después haga clic en Solución de problemas.

■ En el cuadro de diálogo Administración, en Configuracióndecomunicaciones,haga clic en Importar.

■ Siga las indicaciones para ubicar el archivo sylink.xml.

El equipo cliente se conecta inmediatamente al servidor. El servidor coloca elequipo en el grupo. El equipo se actualiza mediante las políticas y la configuraciónde seguridad del grupo. Una vez que el equipo se comunica con el servidor, elicono del área de notificación aparece en el escritorio del equipo.

Importar sylink.xmlPaso 2

Verifique que el equipo se comunique con el servidor.

Realice las siguientes tareas para verificar la comunicación del servidor:

■ En la consola, en la página Equipos, verifique que el equipo cliente esté enlínea. Verifique que el equipo esté en el grupo correcto; mueva el equipo algrupo correcto si es necesario.

■ En el equipo, en el cliente, haga clic en Ayuda y después haga clic en Soluciónde problemas. El nombre del servidor se enumera en Información general.

Verificar lacomunicación entre elcliente y el servidor

Paso 3

123Administración de clientesConvertir un cliente no administrado en un cliente administrado

Administración de clientesConvertir un cliente no administrado en un cliente administrado

124

Uso de políticas paraadministrar seguridad


■ Tipos de políticas de seguridad

■ Cómo realizar tareas que son comunes a todas las políticas de seguridad

■ Agregar una política

■ Copiar y pegar una política

■ Editar una política

■ Cómo bloquear y desbloquear la configuración de políticas

■ Asignación de una política a un grupo

■ Visualización de políticas asignadas

■ Cómo probar una política de seguridad

■ Reemplazar una política

■ Cómo exportar e importar políticas

■ Cómo eliminar una política permanentemente

■ Cómo los equipos cliente obtienen actualizaciones de políticas

■ Cómo usar el número de serie de la política para comprobar la comunicaciónde servidor a cliente

10Capítulo

Tipos de políticas de seguridadSus políticas de seguridad definen cómo las tecnologías de protección protegensus equipos contra amenazas conocidas y desconocidas.

Se usan diferentes tipos de políticas de seguridad para administrar la seguridadde la red. Se crea la mayoría de los tipos de políticas automáticamente durante lainstalación. Es posible usar las políticas predeterminadas o es posible personalizarlas políticas para adaptarlas a un entorno específico.


Tabla 10-1 Tipos de políticas de seguridad

DescripciónTipo de política

LaPolítica deprotección antivirus y antispywareproporcionala protección siguiente:

■ Detecta, elimina y repara los efectos secundarios delvirus y los riesgos para la seguridad usando firmas.

■ Detecta las amenazas en los archivos que los usuariosintentan descargar usando datos de reputación deDiagnóstico Insight de descargas.

■ Detecte las aplicaciones que exhiben comportamientosospechoso usando la heurística de SONAR y los datosde reputación.

La Políticadeprotecciónantivirusyantispyware buscaanomalías del comportamiento con su tecnología deSONAR. Para los clientes de una versión anterior, buscaanomalías del comportamiento por medio de análisis deamenazas proactivos TruScan.

Nota: Diagnóstico Insight de descargas y la tecnología deSONAR están disponibles solamente en clientes Windows.

Ver "Cómo administrar análisis en los equipos cliente"en la página 147.

Política de protecciónantivirus y antispyware

Uso de políticas para administrar seguridadTipos de políticas de seguridad

126

DescripciónTipo de política

La Política de firewall proporciona la protección siguiente:

■ Bloquea el acceso de usuarios no autorizados a losequipos y las redes que se conectan a Internet.

■ Detecta los ataques de los hackers.

■ Elimina los orígenes no deseados del tráfico de red.

Nota: Las políticas de firewall se pueden aplicar solamentea los clientes de Windows.

Ver "Cómo administrar la protección mediante firewall"en la página 225.

Política de firewall

La Políticadeprevencióndeintrusiones detecta y bloqueaautomáticamente ataques de red y ataques en losnavegadores.

Nota: Las políticas de prevención de intrusiones se puedenaplicar solamente a los clientes de Windows.

Ver "Cómo administrar la prevención de intrusiones en susequipos cliente" en la página 253.

Política de prevención deintrusiones

La Política de LiveUpdate contiene la configuración quedetermina cuándo y cuántas veces los equipos clientedescargan actualizaciones de contenido de LiveUpdate.

Ver "Cómo administrar actualizaciones de contenido"en la página 278.

Política de LiveUpdate

La Política de excepciones proporciona la capacidad deexcluir aplicaciones y procesos de la detección de análisisantivirus y antispyware y de SONAR.

Ver "Cómo administrar las excepciones para SymantecEndpoint Protection Small Business Edition" en la página 263.

Política de excepciones

Cómo realizar tareas que son comunes a todas laspolíticas de seguridad

Es posible administrar sus políticas de seguridad de Symantec Endpoint ProtectionSmall Business Edition de varias maneras. Por ejemplo, es posible crear copias delas políticas de seguridad y después personalizar las copias para sus necesidadesespecíficas. Es posible bloquear y desbloquear la configuración de modo que losusuarios no puedan cambiarla en el equipo cliente. LaTabla 10-2 describe muchasde las tareas de políticas que se pueden realizar.

127Uso de políticas para administrar seguridadCómo realizar tareas que son comunes a todas las políticas de seguridad

Tabla 10-2 Tareas comunes a todas las políticas

DescripciónTarea

Si no desea usar una de las políticas predeterminadas, sepuede añadir una nueva política.

Nota: Si agrega o edita políticas en la página Políticas, debeademás asignar las políticas a un grupo. Si no, las políticasno se aplicarán.

Ver "Agregar una política" en la página 129.

Agregar una política

Es posible bloquear y desbloquear cierta configuración dePolítica de protección antivirus y antispyware. Losusuarios del equipo no pueden cambiar la configuración depolíticas bloqueada. Un icono de un candado aparece al ladode una configuración de políticas que se puede bloquear.

Ver "Cómo bloquear y desbloquear la configuración depolíticas" en la página 131.

Bloquear y desbloquear laconfiguración de políticas

Si desea cambiar la configuración de una política existente,puede editarla. Es posible aumentar o disminuir laprotección en los equipos modificando las políticas deseguridad. No es necesario reasignar una política modificada,a menos que se cambie la asignación del grupo.

Ver "Editar una política" en la página 130.

Editar una política

Para poner una política en uso, se la debe asignar a uno omás grupos.

Ver "Asignación de una política a un grupo" en la página 132.

Asignar una política

Symantec recomienda siempre probar una política nuevaantes de usarla en un entorno de producción.

Ver "Cómo probar una política de seguridad" en la página 133.

Pruebe una política

Es posible reemplazar una política por otra.

Ver "Reemplazar una política" en la página 134.

Reemplazar una política

En vez de añadir una nueva política, es conveniente copiaruna política existente para usar como la base para la nuevapolítica.

Ver "Copiar y pegar una política" en la página 130.

Copiar y pegar una política

Uso de políticas para administrar seguridadCómo realizar tareas que son comunes a todas las políticas de seguridad

128

DescripciónTarea

Es posible exportar una política existente si desea usarla enotro grupo. Es posible después importar la política y aplicarlaa un grupo.

Ver "Cómo exportar e importar políticas" en la página 134.

Exporte e importe unapolítica

Si una política ya no es útil y usted no desea mantenerla enla base de datos, puede eliminarla.

Ver "Cómo eliminar una política permanentemente"en la página 135.

Eliminar una política

Agregar una políticaEs posible crear varias versiones de cada tipo de política. Las políticas que se creanse almacenan en la base de datos.


Symantec recomienda probar todas las políticas nuevas antes de usarlas en unentorno de producción.

Ver "Cómo probar una política de seguridad" en la página 133.

Para agregar una nueva política

1 En la consola, haga clic en Políticas.

2 En la página Políticas, seleccione un tipo de políticas y después haga clic enel vínculo para agregar una nueva política.

3 Modifique la configuración de políticas para aumentar o disminuir laprotección.

4 Haga clic en Aceptar para guardar la política.

5 Asigne opcionalmente la nueva política a un grupo.

Es posible asignar una nueva política a un grupo durante una creación depolíticas o después de ella. La nueva política reemplaza la política actualmenteasignada del mismo tipo de la protección.


129Uso de políticas para administrar seguridadAgregar una política

Copiar y pegar una políticaEs posible copiar una política para modificar si desea conservar la políticapredeterminada para algunos de sus grupos o para referencia. Es posible copiary pegar las políticas en la página Políticas. Es posible copiar y pegar las políticasen la página Equipos. Es posible también copiar una política en la página Políticasy después pegarla en un grupo en la página Equipos.

Nota: Puede también usar las tareas Copiar las políticas del grupo y Pegar laspolíticasdelgrupo en la página Equipos para copiar todas las políticas que estánasignadas a un grupo.

Para copiar y pegar una política


2 En la página Políticas, en Políticas, haga clic en el tipo de política que deseecopiar.

3 En el panel Políticas de tipo de política, haga clic con el botón derecho en lapolítica específica que desee copiar y después haga clic en Copiar.


5 Haga clic con el botón derecho en cualquier lugar en el espacio blanco delpanel Políticas de tipo de política y después haga clic en Pegar.

Editar una políticaEs posible editar las políticas en la ficha Políticas en la página Equipos así comoen la página Políticas. Los grupos pueden compartir la misma política.


Para editar una política en la página Políticas


2 En la página Políticas, en Políticas, haga clic en el tipo de políticas.

3 En el panel Políticasde tipodepolítica, haga clic en la política específica quedesea editar.

4 En Tareas, haga clic en Editar la política.

Uso de políticas para administrar seguridadCopiar y pegar una política

130

5 En el panel Descripción general de tipo de política, edite el nombre y ladescripción de la política, si es necesario.

6 Para editar la política, haga clic en cualquiera de las páginas Política de tipode política para las políticas.

Cómo bloquear y desbloquear la configuración depolíticas

Es posible bloquear y desbloquear cierta configuración de Política de protecciónantivirus y antispyware. Los usuarios finales no pueden cambiar la configuraciónbloqueada. Un icono de un candado aparece al lado de una configuración que sepuede bloquear.


Para bloquear o desbloquear una configuración de políticas

1 En la consola, abra una política de protección antivirus y antispyware.

2 Seleccione una de las opciones páginas:

■ Auto-Protect

■ Protección de descargas

■ Auto-Protect para correo electrónico de Internet

■ Auto-Protect para Microsoft Outlook

■ SONAR

■ Opciones de análisis global

3 Haga clic en un icono de un candado para bloquear o desbloquear la opcióncorrespondiente.


Es posible también bloquear y desbloquear la configuración de la protección contraintervenciones y la configuración de los envíos.

Ver "Cómo cambiar la configuración de Protección contra intervenciones"en la página 222.

Ver "Cómo habilitar o deshabilitar envíos de los clientes a Symantec SecurityResponse" en la página 187.

131Uso de políticas para administrar seguridadCómo bloquear y desbloquear la configuración de políticas

Asignación de una política a un grupoSe asigna una política a un equipo cliente a través de un grupo. Cada grupo tieneexactamente una política de cada tipo de protección que se asigna siempre a él.Si tiene clientes Windows y clientes Mac, puede ponerlos en grupos diferentes opuede administrarlos en el mismo grupo. Si los pone en el mismo grupo y aplicauna política, cada tipo de cliente aplica la configuración de políticas apropiada.Los equipos Windows omiten la configuración que se aplica solamente a equiposMac y los equipos Mac omiten la configuración que aplica solamente a los equiposWindows.

Es posible asignar una política a uno o más grupos. La política reemplaza la políticaactualmente asignada del mismo tipo de protección.

Las políticas se asignan a los grupos de equipos de la siguiente manera:

■ En la instalación inicial, las políticas de seguridad predeterminadas deSymantec se asignan al grupo principal Mi empresa.

■ Las políticas de seguridad del grupo principal Mi empresa se asignanautomáticamente a cada grupo secundario creado recientemente.

■ Se reemplaza una política en un grupo asignando otra política del mismo tipo.Es posible reemplazar una política que se asigne al grupo principal Miempresao a cualquier grupo secundario.

Los grupos nuevos heredan siempre de su grupo principal inmediato. Si se creauna jerarquía de subgrupos, cada uno hereda de su servidor principal inmediato,no del servidor principal de nivel superior.

La interfaz de usuario en el cuadro de diálogo Asignar política transmite lainformación adicional siguiente:

Un icono de carpeta indica un grupo.

Una marca de verificación en un círculo verde indica que esta política está asignadaa este grupo.



Para asignar una política a un grupo


2 En la página Políticas, seleccione una política y después haga clic en Asignarla política.

Uso de políticas para administrar seguridadAsignación de una política a un grupo

132

3 En el cuadro de diálogo Asignar política, seleccione los grupos y despuéshaga clic en Asignar.

4 Haga clic en Aceptar para confirmar.

Visualización de políticas asignadasEs posible verificar que sus políticas de seguridad estén asignadas a los gruposcorrectos desde la página Equipos. Es posible también ver la configuración depolíticas desde esta página.



Haga clic en Ayuda para obtener más información sobre las políticas asignadas.

Para ver las políticas asignadas


2 En la página Equipos, en la ficha Políticas, en el árbol del grupo, haga clic enun grupo.

Se muestran las políticas asignadas al grupo seleccionado. Haga clic en unapolítica para ver su configuración.

Haga clic en Tareas para obtener más opciones.

Cómo probar una política de seguridadSymantec recomienda probar una política antes de usarla en un entorno deproducción.


Para probar una política

1 Cree un grupo para usar para la prueba de políticas.

2 Asigne la política de prueba al grupo de prueba.

3 Identifique tres o cuatro equipos administrados para usar para la prueba depolíticas.

Si es necesario, instale el software de cliente en los equipos. Instale los equiposcomo equipos administrados.

133Uso de políticas para administrar seguridadVisualización de políticas asignadas

4 Mueva los equipos de prueba al grupo de prueba.

5 Efectúe las pruebas en los equipos para verificar que funcionen correctamente.

Reemplazar una políticaEs conveniente reemplazar una política en un grupo por otra.

Para reemplazar una política


2 En la página Políticas, en Políticas, haga clic en el tipo de política que deseareemplazar.

3 En el panel Políticas de tipo de política, haga clic en la política.

4 En la página Políticas, en Tareas, haga clic en Reemplazar la política.

5 En el cuadro de diálogo Reemplazarpolítica tipo de política, en el cuadro delista Nueva política tipo de política, seleccione la política de reemplazo.

6 En el árbol de Reemplazar política, seleccione los grupos para los que deseereemplazar la política existente.

7 Haga clic en Reemplazar.

8 Cuando le soliciten confirmar el reemplazo de la política, haga clic en Sí.


Cómo exportar e importar políticasPuede exportar políticas existentes a un archivo .dat. Toda la configuraciónasociada a la política se exporta automáticamente.

Es posible importar un archivo de política en la página Políticas y aplicarlo a ungrupo.


Para exportar una política en la página Políticas


2 En la página Políticas, en Políticas, haga clic en el tipo de política que deseaexportar.

3 En el panel Políticasde tipodepolítica, haga clic en la política específica quedesea exportar.

Uso de políticas para administrar seguridadReemplazar una política

134

4 En la página Políticas, en Tareas, haga clic en Exportar la política.

5 En el cuadro de diálogo Exportar política, localice la carpeta donde deseaexportar el archivo de políticas y después haga clic en Exportar.

Para importar una política


2 En la página Políticas, en Políticas, haga clic en el tipo de política que deseaimportar.

3 En el panel Políticas de tipo de política, haga clic en la política que deseaimportar.

4 En la página Políticas, en Tareas, haga clic en Importar una política de tipode política.

5 En el cuadro de diálogo Importar política, vaya al archivo de políticas quedesee importar y haga clic en Importar.

Cómo eliminar una política permanentementeEs posible que sea necesario eliminar una política. Por ejemplo, las guías deconsulta corporativas pueden modificarse y requerir la implementación dediferentes políticas. A medida que se agregan nuevos grupos corporativos, esposible que deba eliminar los grupos anteriores y sus políticas asociadas.


Si una política es asignada a uno o más grupos, no se puede eliminar hasta queusted haya anulado la asignación de todos los grupos.

Para eliminar una política en la página Políticas


2 En la página Políticas, en Políticas, seleccione el tipo de política que deseaeliminar.

La política puede o no puede haber sido asignada a uno o más grupos.

3 En el panel Políticasde tipodepolítica, haga clic en la política específica quedesea eliminar.

4 En la página Políticas, en Tareas, haga clic en Eliminar la política.

5 Cuando se le solicite que confirme que desea eliminar la política seleccionada,haga clic en Sí.

135Uso de políticas para administrar seguridadCómo eliminar una política permanentemente

Cómo los equipos cliente obtienen actualizacionesde políticas

Los equipos obtienen actualizaciones de políticas de seguridad de SymantecEndpoint Protection Manager. Cuando se actualiza una política de seguridadusando la consola, los equipos reciben las actualizaciones de forma inmediata. Esposible también actualizar las políticas manualmente en el equipo cliente.

Ver "Cómo usar el número de serie de la política para comprobar la comunicaciónde servidor a cliente" en la página 136.

Cómo usar el número de serie de la política paracomprobar la comunicación de servidor a cliente

Es posible actualizar manualmente las políticas y usar los números de serie depolíticas para comprobar si sus equipos cliente administrados pueden comunicarsecon su servidor de administración. Si el cliente no recibe la actualización, puedehaber un problema de comunicación.

Primero, es necesario comprobar el número de serie de políticas en el cliente paraver si coincide con el número de serie que aparece en la consola. Si el cliente secomunica con el servidor de administración y recibe actualizaciones de políticasregulares, los números de serie deben coincidir.


Para ver el número de serie de políticas en la consola


2 En Equipos, seleccione el grupo relevante.

La fecha y el número de serie de la política aparece en la esquina superiorderecha de la ventana del programa.

Para ver el número de serie de políticas en el equipo cliente

◆ En el equipo cliente, en el cliente, haga clic en Ayuda>Solucióndeproblemas.

En la ficha Administración, busque el número de serie de políticas.

El número de serie debe coincidir con el número de serie en la consola parael grupo en que el equipo cliente está.

Uso de políticas para administrar seguridadCómo los equipos cliente obtienen actualizaciones de políticas

136

Para actualizar las políticas manualmente del equipo cliente

1 En el equipo cliente, en la interfaz de usuario del cliente, haga clic en Ayuda> Solución de problemas.

2 En el cuadro de diálogo Solución de problemas, en la columna izquierda,haga clic en Servidor de administración.

3 En el panel Servidor de administración, en Perfil de políticas, haga clic enActualizar.

137Uso de políticas para administrar seguridadCómo usar el número de serie de la política para comprobar la comunicación de servidor a cliente

Uso de políticas para administrar seguridadCómo usar el número de serie de la política para comprobar la comunicación de servidor a cliente

138

Administración deprotección antivirus yantispyware


■ Cómo evitar y controlar ataques del virus y de spyware en los equipos cliente

■ Cómo reparar riesgos en los equipos en su red

■ Cómo administrar análisis en los equipos cliente

■ Cómo configurar análisis programados que se ejecutan en equipos Windows

■ Cómo configurar análisis programados que se ejecutan en equipos Mac

■ Cómo ejecutar análisis manuales en equipos cliente

■ Cómo ajustar el análisis para mejorar rendimiento del equipo

■ Ajuste de análisis para aumentar la protección en sus equipos cliente

■ Cómo administrar las detecciones de Diagnóstico Insight de descargas

■ Cómo Symantec Endpoint Protection Small Business Edition usa datos dereputación para tomar decisiones sobre los archivos

■ Cómo funcionan en conjunto las funciones de protección de Symantec EndpointProtection Small Business Edition

■ Cómo habilitar o deshabilitar envíos de los clientes a Symantec SecurityResponse

■ Cómo administrar la cuarentena

11Capítulo

■ Cómo administrar las notificaciones de virus y spyware que aparecen en losequipos cliente

Cómo evitar y controlar ataques del virus y despyware en los equipos cliente

Es posible evitar y manejar ataques de virus y de spyware en los equipos clientesiguiendo algunas instrucciones importantes.

Tabla 11-1 Protección de equipos contra ataques de virus y de spyware

DescripciónTarea

Todos los equipos en su red y todos sus servidoresdeben tener instalado Symantec EndpointProtection Small Business Edition. Asegúrese deque Symantec Endpoint Protection Small BusinessEdition está funcionando correctamente.

Asegurarse de que los equipos tenganinstalado Symantec EndpointProtection Small Business Edition

Asegúrese de que las últimas definiciones de virusestén instaladas en los equipos cliente.

Es posible comprobar la fecha de las definicionesen la ficha Equipos. Es posible ejecutar uncomando para actualizar las definiciones que sonobsoletas.

Es posible también ejecutar un informe de estadopara comprobar la última fecha de lasdefiniciones.

Ver "Cómo administrar actualizaciones decontenido" en la página 278.

Mantener las definiciones actualizadas

Administración de protección antivirus y antispywareCómo evitar y controlar ataques del virus y de spyware en los equipos cliente

140

DescripciónTarea

De forma predeterminada, Auto-Protect y SONARse ejecutan en los equipos cliente. Un análisisactivo programado predeterminado también seejecuta en los equipos cliente.

Es posible ejecutar los análisis disponibles segúnsea necesario. La configuración del análisis sepuede personalizar.

Ver "Cómo ejecutar análisis manuales en equiposcliente" en la página 171.

Puede ser recomendable crear y personalizaranálisis programados.

Típicamente, es posible que desee crear unanálisis programado completo para que se ejecuteuna vez por semana y un análisis activo que seejecute una vez por día. De forma predeterminada,Symantec Endpoint Protection Small BusinessEdition genera Active Scan que se ejecuta a las12:30 p. m. En los equipos no administrados,Symantec Endpoint Protection Small BusinessEdition además incluye un análisis de iniciopredeterminado que está deshabilitado.

Se debe asegurar de que se ejecute un análisisactivo diariamente en los equipos en su red. Puedeser recomendable programar un análisis completouna vez por semana o una vez al mes si sesospecha que tiene una amenaza inactiva en sured. Los análisis completo consumen más recursosdel equipo y pueden ejercer un impacto en elrendimiento del equipo.

Ver "Cómo configurar análisis programados quese ejecutan en equipos Windows" en la página 169.

Ver "Cómo configurar análisis programados quese ejecutan en equipos Mac" en la página 170.

Ejecutar los análisis regulares

141Administración de protección antivirus y antispywareCómo evitar y controlar ataques del virus y de spyware en los equipos cliente

DescripciónTarea

De forma predeterminada, los análisis de virus yspyware detectan, quitan y reparan los efectossecundarios de los virus y los riesgos para laseguridad.

La configuración predeterminada de análisisoptimiza el rendimiento de los equipos clientemientras aún proporciona un alto nivel deprotección. Es posible aumentar el nivel deprotección, sin embargo.

Por ejemplo, puede ser recomendable aumentarla protección heurística de Bloodhound™.

Ver "Ajuste de análisis para aumentar laprotección en sus equipos cliente" en la página 175.

Comprobar o modificar la configuracióndel análisis para mayor protección

Los clientes pueden enviar información sobredetecciones a Symantec. La información enviadaayuda a Symantec a enfrentar las amenazas.

Ver "Cómo habilitar o deshabilitar envíos de losclientes a Symantec Security Response"en la página 187.

Permitir que los clientes envíeninformación sobre detecciones aSymantec

Symantec recomienda que se ejecute laprevención de intrusiones en los equipos cliente,así como la Protección antivirus y antispyware.


Ejecutar la prevención de intrusiones

Una vez que los análisis se ejecutan, los equiposcliente podrían aún tener infecciones. Porejemplo, una nueva amenaza podría no tener unafirma, o Symantec Endpoint Protection SmallBusiness Edition no pudo quitar totalmente laamenaza. En algunos casos, los equipos clientenecesitan un reinicio para que Symantec EndpointProtection Small Business Edition complete elproceso de limpieza.

Ver "Cómo reparar riesgos en los equipos en sured" en la página 143.

Reparar las infecciones si es necesario

Administración de protección antivirus y antispywareCómo evitar y controlar ataques del virus y de spyware en los equipos cliente

142

Cómo reparar riesgos en los equipos en su redSe reparan riesgos como parte de controlar ataques de virus y spyware en susequipos.


Para obtener más información sobre la administración de virus y ataques en unared, consulte el artículo de la base de conocimientos Prácticas recomendadas parala solución de problemas de virus en una red

Se usan las funciones Informes y Supervisión en la consola para determinar quéequipos están infectados y ver los resultados de la reparación.


Tabla 11-2 Cómo reparar riesgos en los equipos cliente


Es posible conseguir información sobre los equipos infectados y en peligrode Symantec Endpoint Protection Manager. En la página principal,compruebe las cantidades de Recientemente infectado y Aún infectado enel Resumen de actividad de virus y riesgos. La cantidad de Recientementeinfectado es un subconjunto de la cantidad de Aún infectado. La cantidadde Recientemente infectado muestra el número de equipos infectados y enpeligro durante el intervalo de tiempo que se especifica en el resumen.

Nota: Las detecciones no reparadas de SONAR no se cuentan como Aúninfectado. Son parte de la cantidad de Sospechoso en el resumen.

Los equipos aún se consideran infectados si un análisis subsiguiente losdetecta como infectados. Por ejemplo, un análisis programado podría limpiarparcialmente un archivo. Auto-Protect detecta posteriormente el archivocomo riesgo.

Se vuelven a analizar los archivos que se consideran “aún infectados”cuando llegan las nuevas definiciones o tan pronto como el equipo clienteesté inactivo.

Ver "Identificar los equipos infectados y en riesgo" en la página 145.

Identificar los equiposinfectados y en peligro

Paso 1

143Administración de protección antivirus y antispywareCómo reparar riesgos en los equipos en su red

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/52f4f4d80ac9a7b2882576ac0067121c?OpenDocument

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/52f4f4d80ac9a7b2882576ac0067121c?OpenDocument


Se debe asegurar de que los clientes usen las últimas definiciones de virusy spyware.

Para los clientes que se ejecutan en equipos Windows, debe ademásasegurarse de que sus análisis programados y manuales usen la funciónBúsqueda de Insight.

Es posible comprobar la fecha de las definiciones en el informe Equiposinfectados y en riesgo. Es posible ejecutar el comando Actualizar contenidoy Analizar del registro de riesgos

Cuando Resumen de actividad de virus y riesgos en la página principalmuestra que las cantidades de Aún infectado y Recientemente infectadoestán en cero, todos los riesgos se eliminan.


Actualizar definicionesy volver a analizar

Paso 2

Los análisis podrían estar configurados para no aplicar ninguna acciónpara el riesgo. Puede ser recomendable editar la política de protecciónantivirus y antispyware y cambiar la acción para la categoría de riesgo. Lapróxima vez que el análisis se ejecuta, Symantec Endpoint Protection SmallBusiness Edition aplica la acción.

Configure la acción en la ficha Acciones para el tipo determinado de análisis(análisis definido por el administrador o manual, o Auto-Protect). Es posibletambién cambiar la acción de detección para Diagnóstico Insight dedescargas y SONAR.

Ver "Cómo comprobar la acción de análisis y volver a analizar los equiposidentificados" en la página 146.

Comprobar las accionesde análisis y volver aanalizar

Paso 3

Los equipos pueden seguir en riesgo o infectados porque necesitan serreiniciados para finalizar la reparación de un virus o de un riesgo para laseguridad.

Es posible ver el registro de riesgos para determinar si algunos equiposnecesitan un reinicio.

Es posible ejecutar un comando desde los registros para reiniciar losequipos.


Reiniciar equipos si esnecesario paracompletar la reparación

Paso 4

Administración de protección antivirus y antispywareCómo reparar riesgos en los equipos en su red

144


Si sigue habiendo riesgos, debe investigarlos más profundamente.

También puede consultar las páginas web de Symantec Security Responsepara obtener información actualizada sobre virus y riesgos para laseguridad.

http://www.symantec.com/es/mx/security_response/

http://www.symantec.com/enterprise/security_response/

En el equipo cliente, se puede también acceder al sitio web de SecurityResponse desde el cuadro de diálogo de resultados del análisis.

El Soporte técnico de Symantec además ofrece una herramienta expertaen amenazas que proporciona rápidamente un análisis detallado deamenazas. Es posible también ejecutar una herramienta de análisis de puntode carga que pueda ayudarle a solucionar problemas.

Investigar y eliminar losriesgos restantes

Paso 5

Consulte el registro de estado del equipo para asegurarse de que los riesgosse reparen o se quiten de los equipos cliente.

Ver "Ver registros" en la página 303.

Comprobar el registrode estado del equipo

Paso 6

Identificar los equipos infectados y en riesgoEs posible usar la página principal de Symantec Endpoint Protection Manager yun informe de riesgo para identificar los equipos que están infectados y en peligro.


Para identificar los equipos infectados

1 En la consola, haga clic en Inicio y vea el Resumen de actividad de virus yriesgos.

La categoría Aún infectado es un subconjunto de Recientemente infectado,y la cantidad de equipos aún infectados disminuye a medida que elimina losriesgos de la red. Los equipos están aún infectados si un análisis posteriorinforma que están infectados. Por ejemplo, Symantec Endpoint ProtectionSmall Business Edition pudo haber limpiado un riesgo de un equipo soloparcialmente, por lo tanto, Auto-Protect aún detecta el riesgo.

2 En la consola, haga clic en Informes.

3 En el cuadro de lista Tipo de informe, haga clic en Riesgo.

145Administración de protección antivirus y antispywareCómo reparar riesgos en los equipos en su red

http://www.symantec.com/es/mx/security_response/

http://www.symantec.com/enterprise/security_response/

4 En el cuadro de lista Seleccionaruninforme, haga clic en Equiposinfectadosy en riesgo.

5 Haga clic en Crear informe y observe las listas de los equipos infectados y enriesgo que aparecen.

Cómo comprobar la acción de análisis y volver a analizar los equiposidentificados

Si tiene equipos infectados y en peligro, deberá identificar por qué los equipostodavía están infectados o en peligro. Compruebe la medida que se llevó a cabopara cada riesgo en los equipos infectados y en peligro. Puede ser que la medidaque se tomó y se configuró haya sido la opción Ignorado. Si la acción fue Ignorado,debe eliminar el riesgo del equipo, quitar el equipo de la red o aceptar el riesgo.Para los clientes Windows, puede ser recomendable editar la Política de protecciónantivirus y antispyware, y cambiar la acción de análisis para esta categoría deriesgos o para este riesgo específico.


Para identificar las acciones que necesitan ser modificadas y volver a analizar losequipos identificados

1 En la consola, haga clic en Supervisión.

2 En la ficha Registros, seleccione el registro de riesgos y después haga clic enVer registro.

Desde la columna de eventos del registro de riesgos, es posible ver qué sucedióy qué medida se tomó. Desde la columna de nombre de riesgo, es posible verlos nombres de los riesgos que siguen activos. Desde la columna de usuariode grupo de dominio, es posible ver a qué grupo pertenece el equipo.

Si un cliente está en peligro porque un análisis tomó la medida Ignorado, esposible que deba modificar la Política de protección antivirus y antispywarepara el grupo. Desde la columna Equipo, es posible ver los nombres de losequipos que aún tienen riesgos activos.

Ver "Cómo cambiar la acción que Symantec Endpoint Protection SmallBusiness Edition toma cuando realiza una detección" en la página 207.

3 Haga clic en Volver.

4 En la ficha Registros, seleccione el registro Estado del equipo y después hagaclic en Ver registro.

Administración de protección antivirus y antispywareCómo reparar riesgos en los equipos en su red

146

5 Si modificó una acción y eliminó una nueva política, seleccione los equiposque necesitan volver a analizarse con la nueva configuración.

6 Desde el cuadro de lista Comando, seleccione Analizar y después haga clicen Iniciar para volver a analizar los equipos.

Es posible supervisar el estado del comando Analizar desde la ficha Estadodel comando.

Cómo administrar análisis en los equipos clienteAlgunos análisis se ejecutan de forma predeterminada, pero puede serrecomendable cambiar la configuración o configurar sus propios análisisprogramados. Es posible también personalizar análisis y cambiar cuánta protecciónproporcionan en sus equipos cliente.

Tabla 11-3 Cómo administrar análisis en los equipos cliente

DescripciónTarea

Compruebe su configuración de análisis. Esposible revisar los valores predeterminados ydeterminar si desea realizar cambios.

Ver "Acerca de los tipos de análisis y de protecciónen tiempo real" en la página 150.

Ver "Acerca de la configuración predeterminadade análisis de la política de protección antivirusy antispyware" en la página 164.

Revisar los tipos de análisis y laconfiguración predeterminada

147Administración de protección antivirus y antispywareCómo administrar análisis en los equipos cliente

DescripciónTarea

Se utilizan análisis programados y análisismanuales para complementar la protección queproporciona Auto-Protect. Auto-Protectproporciona la protección cuando lee y escribelos archivos. Los análisis programados y losanálisis manuales pueden analizar cualquierarchivo que exista en los equipos cliente. Puedentambién proteger memoria, los puntos de cargay otras ubicaciones importantes en sus equiposcliente.

Nota: Para los clientes administrados, SymantecEndpoint Protection Small Business Editionproporciona un análisis programadopredeterminado que analiza todos los archivos,carpetas y ubicaciones en los equipos cliente.


Ver "Cómo configurar análisis programados quese ejecutan en equipos Mac" en la página 170.

Ver "Cómo ejecutar análisis manuales en equiposcliente" en la página 171.

Crear análisis programados y ejecutaranálisis manuales

Es posible personalizar la configuración deAuto-Protect así como las opciones en análisisdefinidos por administrador. Puede serrecomendable cambiar la configuración de análisispara administrar detecciones de falsos positivos,optimizar el rendimiento del equipo o del análisiso cambiar las acciones o las notificaciones deanálisis.

Ver "Cómo personalizar los análisis de virus yspyware que se ejecutan en equipos Windows"en la página 196.

Ver "Cómo personalizar los análisis antivirus yantispyware que se ejecutan en equipos Mac"en la página 197.

Personalizar la configuración deanálisis para su entorno

Administración de protección antivirus y antispywareCómo administrar análisis en los equipos cliente

148

DescripciónTarea

De forma predeterminada, Symantec EndpointProtection Small Business Edition proporcionaun alto nivel de seguridad mientras reduce almínimo el efecto sobre el rendimiento de equiposcliente. Es posible cambiar parte de laconfiguración, sin embargo, para optimizar elrendimiento del equipo aún más. La optimizaciónes importante en entornos virtualizados.

Nota: Cuando se ajusta la configuración paraoptimizar el rendimiento de equipo cliente, ustedpuede disminuir en parte la seguridad en susequipos cliente.

Ver "Cómo ajustar el análisis para mejorarrendimiento del equipo" en la página 172.

Ajustar los análisis para mejorar elrendimiento de equipo cliente

La configuración predeterminada de análisisoptimiza el rendimiento de los equipos clientemientras aún proporciona un alto nivel deprotección. Es posible aumentar el nivel deprotección, sin embargo.

Ver "Ajuste de análisis para aumentar laprotección en sus equipos cliente" en la página 175.

Ajustar los análisis para aumentar laprotección en sus equipos cliente

El Diagnóstico Insight de descargas examina losarchivos que los usuarios intentan descargar através de los navegadores web, de los clientes demensajería de texto y de otros portales. ElDiagnóstico Insight de descargas usa lainformación de reputación de Symantec Insightpara tomar decisiones sobre los archivos.

Ver "Cómo administrar las detecciones deDiagnóstico Insight de descargas" en la página 178.

Administrar las detecciones deDiagnóstico Insight de descargas

SONAR es parte de la Protección proactiva contraamenazas en sus equipos cliente. Sin embargo, laconfiguración de SONAR es parte de una políticade protección antivirus y antispyware.


Administrar SONAR


DescripciónTarea

Es posible crear las excepciones para los archivosy las aplicaciones que se sabe que son seguras.

Symantec Endpoint Protection Small BusinessEdition además excluye algunos archivos ycarpetas automáticamente.

Ver "Cómo administrar las excepciones paraSymantec Endpoint Protection Small BusinessEdition" en la página 263.

Ver "Acerca de los archivos y las carpetas queSymantec Endpoint Protection excluye de losanálisis antivirus y antispyware" en la página 157.

Configurar las excepciones para losanálisis

Es posible supervisar y eliminar los archivos queestán puestos en cuarentena en sus equiposcliente.

Ver "Cómo administrar la cuarentena"en la página 189.

Administrar archivos en cuarentena

De forma predeterminada, los clientes envíaninformación sobre detecciones a Symantec. Esposible desactivar los envíos o elegir los tipos deinformación que los clientes envían.

Symantec recomienda que se permita siempreque los clientes envíen envíos. La informaciónayuda a Symantec a enfrentar las amenazas.


Permitir que los clientes envíeninformación sobre detecciones aSymantec

Es posible decidir si las notificaciones apareceno no en los equipos cliente para eventos de virusy de spyware.

Ver "Cómo administrar las notificaciones de virusy spyware que aparecen en los equipos cliente"en la página 191.

Administrar las notificaciones de virusy spyware que aparecen en los equiposcliente

Acerca de los tipos de análisis y de protección en tiempo realSymantec Endpoint Protection Small Business Edition incluye diversos tipos deanálisis y de protección en tiempo real para detectar diversos tipos de virus,amenazas y riesgos.


150

De forma predeterminada, Symantec Endpoint Protection Small Business Editionejecuta un análisis activo diariamente a las 12:30 p. m. Symantec EndpointProtection Small Business Edition además ejecuta un análisis activo cuando lasnuevas definiciones llegan al equipo cliente. En los equipos no administrados,Symantec Endpoint Protection Small Business Edition además incluye un análisisde inicio predeterminado que está deshabilitado.

Se debe asegurar de que se ejecute un análisis activo diariamente en los equiposen su red. Puede ser recomendable programar un análisis completo una vez porsemana o una vez al mes si se sospecha que tiene una amenaza inactiva en su red.Los análisis completo consumen más recursos del equipo y pueden ejercer unimpacto en el rendimiento del equipo.


Tabla 11-4 Tipos de análisis

DescripciónTipo de análisis

Auto-Protect examinan los archivos y los datos de correo electrónico continuamentecuando se escriben o se leen en un equipo. Auto-Protect neutraliza o eliminaautomáticamente virus detectados y riesgos para la seguridad.

Nota: Los clientes Mac soportan Auto-Protect para el sistema de archivos solamente.

Ver "Acerca de los tipos de Auto-Protect" en la página 153.

Auto-Protect

Diagnóstico Insight de descargas impulsa la seguridad de los análisis de Auto-Protectexaminando los archivos cuando los usuarios intentan descargarlos de los navegadoresy de otros portales.

Diagnóstico Insight de descargas usa la información de reputación para tomar decisionessobre los archivos. Una tecnología de Symantec que se llama Insight determina lareputación del archivo. Insight usa no solo el origen de un archivo, sino además su contextopara determinar la reputación de un archivo. Insight proporciona una calificación deseguridad que Diagnóstico Insight de descargas usa para tomar decisiones sobre losarchivos.

Diagnóstico Insight de descargas funciona como parte de Auto-Protect y necesita queAuto-Protect esté habilitado.

Ver "Cómo Symantec Endpoint Protection Small Business Edition usa datos de reputaciónpara tomar decisiones sobre los archivos" en la página 183.

Diagnóstico Insight dedescargas



Los análisis definidos por el administrador detectan virus y riesgos para la seguridadexaminando los archivos y los procesos en el equipo cliente. Los análisis definidos por eladministrador también pueden examinar los puntos de memoria y de carga.

Los siguientes tipos de análisis definidos por el administrador están disponibles:

■ Análisis programados

Un análisis programado se ejecuta en los equipos cliente en las horas señaladas.Cualquier análisis programado en paralelo se ejecuta secuencialmente. Si un equipoestá apagado durante un análisis programado, el análisis no se ejecuta a menos quese configure para volver a intentar los análisis no realizados. Es posible ejecutar unanálisis activo, completo o personalizado.

Nota: Solamente los análisis personalizados están disponibles para los clientes Mac.

Es posible guardar su configuración de análisis programados como plantilla. Es posibleusar cualquier análisis que se guarde como plantilla como base para otro análisis. Lasplantillas de análisis pueden ahorrar tiempo cuando configura varias políticas. Unaplantilla de análisis programado está incluida en la política de forma predeterminada.El análisis programado predeterminado analiza todos los archivos y directorios.

■ Análisis de inicio y análisis activados

Los análisis de inicio se ejecutan cuando los usuarios inician sesión en los equipos.Los análisis activados se ejecutan cuando nuevas definiciones de virus se descargana los equipos.

Nota: Los análisis de inicio y los análisis activados están disponibles solamente paralos clientes Windows.

■ Análisis manuales

Los análisis manuales son los análisis que se ejecutan de forma inmediata cuando seselecciona el comando de análisis en Symantec Endpoint Protection Manager.

Es posible seleccionar el comando de la ficha Equipos o de los registros.

Análisis definidos por eladministrador

SONAR ofrece protección en tiempo real contra ataques de día cero. SONAR puede detenerataques incluso antes de que las definiciones basadas en firmas tradicionales detectenuna amenaza. SONAR usa datos heurísticos y datos de reputación de archivos para tomardecisiones sobre aplicaciones o archivos.

Como los análisis de amenazas proactivos, SONAR detecta registradores de pulsaciones,spyware y cualquier otra aplicación que pudiera ser maliciosa o potencialmente maliciosa.

Nota: SONAR se admite solamente en los equipos Windows que ejecutan SymantecEndpoint Protection Small Business Edition versión 12.1 y posterior.

Ver "Acerca de SONAR" en la página 213.

SONAR


152


Admitido en los equipos Windows que ejecutan Symantec Endpoint Protection versión11.x. SONAR no se admite en ningún equipo que ejecute la versión 11.x.

Los análisis de amenazas proactivos TruScan proporcionan protección a los clientes deuna versión anterior contra ataques de día cero. Los análisis de amenazas proactivosTruScan determinan si una aplicación o un proceso exhibe características de amenazasconocidas. Estos análisis detectan troyanos, gusanos, registradores de pulsaciones,publicidad no deseada y spyware, y aplicaciones que se usan para propósitos maliciosos.

A diferencia de SONAR, que se ejecuta en el tiempo real, los análisis de amenazasproactivos TruScan se ejecutan en una frecuencia configurada.

Análisis de amenazasproactivos TruScan

Acerca de los tipos de Auto-ProtectAuto-Protect analiza archivos así como ciertos tipos de correo electrónico yarchivos adjuntos de correo electrónico.

De forma predeterminada, se habilitan todos los tipos de Auto-Protect. Si losequipos cliente ejecutan otros productos de seguridad de correo electrónico, comoSymantec Mail Security, es posible que no necesite habilitar Auto-Protect para elcorreo electrónico.

Los clientes Mac no admiten los análisis de Auto-Protect de correo electrónico.

Ver "Acerca de los tipos de análisis y de protección en tiempo real" en la página 150.


Tabla 11-5 Tipos de Auto-Protect

DescripciónTipo de Auto-Protect

Analiza continuamente los archivos como se leen o se escriben en el equipocliente

Auto-Protect se habilita de forma predeterminada para el sistema dearchivos. Se carga en el inicio del equipo. Examina todos los archivos enbusca de virus y riesgos para la seguridad, y bloquea la instalación de losriesgos para la seguridad. Puede analizar opcionalmente los archivos porla extensión de archivo, analizar los archivos en los equipos remotos yanalizar los disquetes en busca de virus de arranque. Puede hacer copia deseguridad de los archivos opcionalmente antes de intentar reparar losarchivos, y puede finalizar procesos y detener los servicios.

Es posible configurar Auto-Protect para que analice solamente lasextensiones de archivo seleccionadas. Cuando Auto-Protect analiza lasextensiones seleccionadas, puede también determinar un tipo de archivo,incluso si un virus modifica la extensión del archivo.

En clientes Mac o Windows que no ejecutan el correo electrónico deAuto-Protect, los equipos cliente aún se protegen cuando habilitaAuto-Protect. La mayoría de las aplicaciones de correo electrónico guardanlos archivos adjuntos en una carpeta temporal cuando los usuarios ejecutanarchivos adjuntos de correo electrónico. Auto-Protect analiza el archivo amedida se escribe en la carpeta temporal y detecta cualquier virus o riesgopara la seguridad. Auto-Protect también detecta el virus si el usuario intentaguardar el archivo adjunto infectado en una unidad local o de red.

Auto-Protect

Analiza archivos adjuntos y correo electrónico de Internet (POP3 o SMTP)en busca de virus y riesgos para la seguridad; además realiza el análisissaliente de la heurística de correo electrónico.

De forma predeterminada, Auto-Protect para el correo electrónico deInternet admite contraseñas cifradas y correo electrónico sobre conexionesPOP3 y SMTP. Si utiliza POP3 o SMTP con Secure Sockets Layer (SSL), elcliente detecta las conexiones seguras, pero no analiza los mensajes cifrados.

Nota: Por motivos de rendimiento, no se admite Auto-Protect para correoelectrónico de Internet para POP3 en los sistemas operativos de servidor.Los equipos de 64 bits no admiten el análisis de correo electrónico deInternet.

El análisis de correo electrónico no admite correo electrónico basado enIMAP, AOL o HTTP, como correo electrónico de Hotmail o Yahoo!.

Auto-Protect para correo electrónicode Internet


154

DescripciónTipo de Auto-Protect

Analiza los archivos adjuntos y el correo electrónico de Microsoft Outlook(MAPI e Internet) en busca de virus y riesgos para la seguridad

Admite Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI e Internet)

Si Microsoft Outlook está instalado en el equipo cuando se realiza unainstalación de software de cliente, el software de cliente detecta la aplicaciónde correo electrónico. El cliente instala automáticamente Auto-Protect paraMicrosoft Outlook.

Si usa Microsoft Outlook mediante MAPI o cliente de Microsoft Exchangey cuenta con Auto-Protect habilitado para correo electrónico, se analizanlos archivos adjuntos cuando el usuario abre el archivo adjunto. Si el usuariodescarga un archivo adjunto de gran tamaño con una conexión lenta, elrendimiento del correo se verá afectado. En el caso de usuarios que recibancon regularidad datos adjuntos extensos, tal vez prefiera deshabilitar estafunción.

Nota: En Microsoft Exchange Server, no es necesario instalar Auto-Protectpara Microsoft Outlook. Es necesario instalar Symantec Mail Security paraMicrosoft Exchange.

Auto-Protect para Microsoft Outlook

Acerca de los virus y los riesgos para la seguridadSymantec Endpoint Protection Small Business Edition realiza análisis en buscade virus y de riesgos para la seguridad. Los riesgos para la seguridad incluyenspyware, publicidad no deseada, rootkits y otros archivos que pueden poner unequipo o una red en peligro.

Los virus y los riesgos para la seguridad pueden llegar en mensajes de correoelectrónico o programas de mensajería instantánea. A menudo, un usuariodescarga, sin saberlo, un riesgo cuando acepta un acuerdo de licencia de usuariofinal de un programa de software.

Muchos virus y riesgos para la seguridad se instalan como “descargas noautorizadas”. Estas descargas ocurren generalmente cuando los usuarios visitansitios web maliciosos o infectados y el descargador de la aplicación se instala pormedio de una vulnerabilidad legítima en el equipo.

En clientes Windows, puede cambiar la acción que Symantec Endpoint ProtectionSmall Business Edition toma cuando detecta un virus o un riesgo para la seguridad.Las categorías de riesgo para la seguridad son dinámicas y cambian a lo largo deltiempo a medida que Symantec recopila información sobre riesgos.

Ver "Cómo cambiar la acción que Symantec Endpoint Protection Small BusinessEdition toma cuando realiza una detección" en la página 207.


Es posible ver información sobre riesgos específicos en el sitio web de SymantecSecurity Response.

Tabla 11-6 Virus y riesgos para la seguridad

DescripciónRiesgo

Programa o código que adjunta una copia de sí mismo a otroprograma informático o archivo cuando se ejecuta. Cuando elprograma infectado se ejecuta, el programa de virus asociado seactiva y se adjunta a otros programas y archivos.

Los siguientes tipos de amenazas se incluyen en la categoría devirus:

■ Bots maliciosos de Internet

Programas que ejecutan tareas automatizadas por Internet.Los bots se pueden utilizar para automatizar ataques en losequipos o para recoger información de sitios web.

■ Gusanos

Programas que se reproducen sin infectar otros programas.Algunos gusanos se propagan copiándose de disco a disco,mientras otros se reproducen en la memoria para reducir elrendimiento del equipo.

■ Troyano

Programas que se ocultan en algo benigno, por ejemplo, unjuego o una utilidad.

■ Amenazas combinadas

Amenazas que combinan las características de virus, gusanos,troyanos y código con los puntos vulnerables de Internet yde los servidores para iniciar, transmitir y extender un ataque.Las amenazas combinadas usan varios métodos y técnicaspara propagarse rápidamente y causar daño generalizado.

■ Rootkits

Programas que se ocultan del sistema operativo de un equipo.

Virus

Programas que entregan cualquier contenido de publicidad.Publicidad no deseada

Programas que utilizan un equipo, sin el permiso ni conocimientodel usuario, para realizar llamadas a través de Internet a unnúmero 900 (de pago especial) o a un sitio FTP. Típicamente,estos números se marcan para acumular gastos.

Marcadores


156

DescripciónRiesgo

Programas que los hackers usan para obtener acceso noautorizado al equipo de un usuario. Por ejemplo, una clase deherramienta de hackeo es un registrador de pulsaciones delteclado, el cual realiza un seguimiento de las pulsacionesindividuales del teclado, las registra y envía esta información alhacker. Entonces, el hacker puede realizar análisis de puerto yde puntos débiles. Las herramientas de hackeo se pueden empleartambién para desarrollar virus.

Herramientas de hackeo

Programas que alteran o interrumpen el funcionamiento de unequipo con el fin de gastar una broma o asustar al usuario. Porejemplo, un programa de broma podría mover la papelera dereciclaje lejos del mouse cuando el usuario intenta eliminarlo.

Programas broma

Aplicaciones que falsifican intencionalmente el estado deseguridad de un equipo. Estas aplicaciones se disfrazantípicamente como notificaciones de seguridad acerca de cualquierinfección falsa que debe quitarse.

Aplicaciones engañosas

Programas que supervisan o limitan el uso del equipo. Losprogramas pueden ejecutarse sin ser detectados y transmitentípicamente información de supervisión a otro equipo.

Programas de controlpara padres

Programas que permiten acceder a través de Internet desde otroequipo, de manera que pueden recopilar información del equipode un usuario, atacarlo o alterar su contenido.

Programas de accesoremoto

Programas que se usan para recopilar información para el accesono autorizado a un equipo.

Herramienta deevaluación de seguridad

Programas independientes que pueden supervisar, de formasecreta, la actividad del sistema, así como detectar contraseñasy otro tipo de información confidencial para transmitirla a otroequipo.

Spyware

Aplicaciones independientes o anexas a otras que realizan unseguimiento de la ruta del usuario en Internet y envían lainformación al sistema del hacker o del controlador.

Programa deseguimiento

Acerca de los archivos y las carpetas que Symantec Endpoint Protectionexcluye de los análisis antivirus y antispyware

Cuando Symantec Endpoint Protection Small Business Edition detecta la presenciade ciertas aplicaciones de otro fabricante y algunos productos de Symantec, crea


automáticamente las exclusiones para estos archivos y carpetas. El cliente excluyeestos archivos y carpetas de todos los análisis.

Nota: El cliente no excluye las carpetas temporales del sistema de los análisis, yaque se originaría una importante vulnerabilidad del sistema en el equipo.

Para mejorar análisis del rendimiento o reducir las detecciones de falsos positivos,puede excluir los archivos al agregar una excepción de carpeta o archivo a unapolítica de excepciones. Es posible también especificar las extensiones de archivoo las carpetas que desea incluir en un análisis determinado.

Ver "Exclusión de un archivo o una carpeta de análisis" en la página 269.

Advertencia: Los archivos o las carpetas que se excluyen de análisis no se protegencontra virus y riesgos para la seguridad.

Es posible ver las exclusiones que el cliente crea automáticamente.

Busque en las ubicaciones siguientes del registro de Windows:

■ En los equipos de 32 bits, consulteHKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint ProtectionSmall Business Edition\AV\Exclusions.

■ En los equipos de 64 bits, consulteHKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\SymantecEndpoint Protection Small Business Edition\AV\Exclusions.

Advertencia: No edite este registro directamente.


158

Tabla 11-7 Exclusiones de archivo y carpeta

DescripciónArchivos

El software del cliente crea automáticamente exclusionesde análisis de carpetas y archivos para las versionessiguientes de Microsoft Exchange Server:

■ Exchange 5.5

■ Exchange 6.0

■ Exchange 2000

■ Exchange 2003

■ Exchange 2007

■ Exchange 2007 SP1

Para Exchange 2007, vea la documentación para el usuariopara ver la información sobre compatibilidad con softwareantivirus. En algunas circunstancias, puede serrecomendable crear exclusiones de análisis para algunascarpetas de Exchange 2007 manualmente. Por ejemplo, enun entorno agrupado, puede ser recomendable crear algunasexclusiones.

El software de cliente busca cambios en la ubicación de losarchivos y las carpetas apropiados de Microsoft Exchangea intervalos regulares. Si instala Microsoft Exchange en unequipo donde el software de cliente ya está instalado, secrean las exclusiones cuando el cliente busca cambios. Elcliente excluye los archivos y las carpetas; si un solo archivose mueve desde una carpeta excluida, el archivo permaneceexcluido.

Para obtener más información, consulte el artículo de labase de conocimientos Cómo evitar que Symantec EndpointProtection analice la estructura de directorios de MicrosoftExchange 2007.

Microsoft Exchange


http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=Stop_SEP11_scan_Msexch




El cliente crea automáticamente exclusiones de archivo yde carpeta para los productos siguientes de MicrosoftForefront:

■ Seguridad del servidor Forefront para Exchange

■ Seguridad del servidor Forefront para SharePoint

■ Gateway de administración de amenazas de Forefront

Compruebe el sitio web de Microsoft para una lista deexclusiones recomendadas.

Además consulte el artículo de la base de conocimientos delsoporte técnico de Symantec Configuración de exclusionesde Symantec Endpoint Protection para Microsoft Forefront.

Microsoft Forefront

El cliente crea automáticamente exclusiones de archivos ycarpetas para los registros, los archivos en funcionamientoy la base de datos del controlador de dominio de ActiveDirectory. El cliente supervisa las aplicaciones que estáninstaladas en el equipo cliente. Si el software detecta ActiveDirectory en el equipo cliente, el software creaautomáticamente las exclusiones.

Controlador de dominio deActive Directory

El cliente crea automáticamente las exclusiones apropiadasde análisis de archivos y carpetas para ciertos productos deSymantec cuando se detectan.

El cliente crea exclusiones para los productos de Symantecsiguientes:

■ Symantec Mail Security 4.0, 4.5, 4.6, 5.0 y 6.0 paraMicrosoft Exchange

■ Symantec AntiVirus/Filtering 3.0 para MicrosoftExchange

■ Norton AntiVirus 2.x para Microsoft Exchange

■ Base de datos integrada y registros de SymantecEndpoint Protection Manager

Ciertos productos deSymantec


160

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=exclude_forefront

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=exclude_forefront


En cada tipo de análisis definido por el administrador oAuto-Protect, puede seleccionar los archivos que desea queincluya la extensión. Para los análisis definidos por unadministrador, es posible también seleccionar los archivospara incluir por carpeta. Por ejemplo, es posible especificarque un análisis programado analice solamente ciertasextensiones y que los análisis de Auto-Protect analicen todaslas extensiones.

En los archivos ejecutables y los archivos de MicrosoftOffice, Auto-Protect puede determinar un tipo de archivoincluso si un virus cambia la extensión del archivo.

De forma predeterminada, Symantec Endpoint ProtectionSmall Business Edition analiza todas las extensiones y lascarpetas. Cualquier extensión o carpeta de la que anula suselección, se excluyen de ese análisis determinado.

Symantec no recomienda que se excluya ninguna extensióndel análisis. Si decide excluir archivos por extensión yalgunas carpetas Microsoft, sin embargo, se recomiendaconsiderar la cantidad de protección que la red necesita. Sedebe además considerar la cantidad de tiempo y los recursosque los equipos cliente necesitan para completar los análisis.

Nota: Cualquier extensión de archivo que excluye de losanálisis de Auto-Protect del sistema de archivos tambiénexcluye las extensiones de Diagnóstico Insight de descargas.Si está ejecutando Diagnóstico Insight de descargas, debeincluir extensiones para programas comunes y documentosen la lista de extensiones que desea analizar. Se debe ademásasegurar de analizar los archivos .msi.

Extensiones seleccionadas ycarpetas de Microsoft



Use la política de excepciones para crear las excepcionespara los archivos o las carpetas que desea que SymantecEndpoint Protection Small Business Edition excluya de todoslos análisis de virus y spyware.

Nota:De forma predeterminada, los usuarios en los equiposcliente también pueden crear excepciones de archivo y decarpeta.

Por ejemplo, se recomiendan crear exclusiones de archivospara una bandeja de entrada de la aplicación de correoelectrónico.

Si el cliente detecta un virus en un archivo de bandeja deentrada durante un análisis programado o manual, el clientepone en cuarentena la bandeja de entrada completa. Esposible crear una excepción para excluir el archivo de labandeja de entrada. Sin embargo, si el cliente detecta unvirus cuando un usuario abre un mensaje de correoelectrónico, el cliente sigue en cuarentena o elimina elmensaje.

Excepciones de archivo ycarpeta

Los análisis de virus y spyware incluyen una función que sedenomina Insight que permite que los análisis omitan losarchivos de confianza. Es posible elegir el nivel de confianzapara los archivos que desea omitir o puede deshabilitar laopción. Si deshabilita la opción, es posible que tenga queaumentar el tiempo de análisis.

Archivos de confianza

Acerca de enviar información sobre detecciones a Symantec SecurityResponse

Es posible configurar sus equipos cliente para enviar automáticamente informaciónsobre detecciones a Symantec Security Response para análisis.

Symantec Response y Symantec Global Intelligence Network usan esta informaciónenviada para formular rápidamente respuestas a las amenazas para la seguridadnuevas y en desarrollo. Los datos que se envían mejoran la capacidad de Symantecde responder a las amenazas y de personalizar la protección. Symantec recomiendaque se permitan siempre los envíos.


Es posible elegir enviar cualquiera de los siguientes tipos de datos:

■ Reputación de archivos


162

La información sobre los archivos que se detectan según su reputación. Lainformación sobre estos archivos contribuye a la base de datos de reputaciónde Symantec Insight para ayudar a proteger sus equipos contra los riesgosnuevos y emergentes.

■ Detecciones de antivirusInformación sobre detecciones del análisis de virus y spyware.

■ Detecciones heurísticas avanzadas de antivirusLa información sobre las amenazas potenciales detectadas por Bloodhound yotra heurística de análisis de virus y spyware.Estas detecciones son detecciones silenciosas que no aparecen en el registrode riesgos. La información sobre estas detecciones se usa para el análisisestadístico.

■ Detecciones de SONARInformación sobre las amenazas que SONAR detecta, que incluye lasdetecciones de alto o bajo riesgo, eventos de cambios en el sistema ycomportamiento sospechoso de aplicaciones de confianza.

■ Heurística de SONARLas detecciones heurísticas de SONAR son detecciones silenciosas que noaparecen en el registro de riesgos. Esta información se usa para el análisisestadístico.

En el cliente, se puede también enviar manualmente una muestra a la respuestade la cuarentena o a través del sitio web de Symantec. Para enviar un archivo pormedio del sitio web de Symantec, contacte con el soporte técnico de Symantec.



Ver "Acerca de la aceleración de envíos" en la página 163.

Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la página 214.

Acerca de la aceleración de envíosLos clientes pueden, o no, enviar muestras a Symantec en función de la siguienteinformación:

■ La fecha del archivo de control de datos del envío

■ El porcentaje de los equipos que pueden realizar envíos


Symantec publica su archivo de datos de control del envío (SCD) y lo incluye comoparte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propioarchivo SCD.

El archivo controla la configuración siguiente:

■ Cuántos envíos un cliente puede realizar en un día

■ Cuánto tiempo se debe esperar para que el software de cliente vuelva a intentarenvíos

■ Cuántas veces se debe volver a intentar un envío con errores

■ Qué dirección IP del servidor de Symantec Security Response recibe el envío

Si el archivo SCD queda obsoleto, los clientes detienen los envíos. Symantecconsidera que el archivo SCD está desactualizado cuando un equipo cliente no hadescargado contenido de LiveUpdate en 7 días. El cliente detiene los envíos despuésde 14 días.

Si los clientes detienen la transmisión de envíos, el software de cliente no recopilala información de envíos y la envía más tarde. Cuando los clientes se inician pararealizar envíos de nuevo, envían solamente la información sobre los eventos queocurren después del reinicio de la transmisión.

Los administradores pueden también configurar el porcentaje de equipos quepueden realizar envíos. Cada equipo cliente determina si debe enviar informacióno no. El equipo cliente selecciona aleatoriamente un número de 1 a 100. Si elnúmero es inferior o igual al porcentaje configurado en la política de ese equipo,el equipo envía información. Si el número es mayor que el porcentaje configurado,el equipo no envía la información.

Acerca de la configuración predeterminada de análisis de la políticade protección antivirus y antispyware

Symantec Endpoint Protection Manager incluye tres políticas predeterminadas.

■ Política equilibrada de protección antivirus y antispyware

■ Política de seguridad alta de protección antivirus y antispywareLa política de seguridad alta es la más rigurosa de todas las políticas configuradapreviamente. Debe tener en cuenta que puede afectar el rendimiento de otrasaplicaciones.

■ Política de alto rendimiento de protección antivirus y antispywareLa política de alto rendimiento proporciona un mejor rendimiento que lapolítica de seguridad elevada, pero no proporciona la misma protección. Lapolítica se basa principalmente en Auto-Protect para analizar los archivos conlas extensiones de archivo seleccionadas para detectar amenazas.


164

La política de protección antivirus y antispyware básica proporciona un buenequilibrio entre seguridad y rendimiento.

Tabla 11-8 Configuración de análisis de la política equilibrada de protecciónantivirus y antispyware

DescripciónConfiguración

Habilitada

La sensibilidad de archivos maliciosos de Diagnóstico Insight dedescargas está configurada en el nivel 5.

La acción Diagnóstico Insight de descargas para los archivos sinprobar es Preguntar.

Auto-Protect incluye la configuración siguiente:

■ Analiza todos los archivos en busca de virus y riesgos para laseguridad.

■ Bloquea la instalación de los riesgos para la seguridad.

■ Limpia los archivos infectados con virus. Hace copia deseguridad de los archivos antes de los repare. Pone encuarentena los archivos que no pueden ser limpiados.

■ Pone en cuarentena los archivos con riesgos para la seguridad.Registra los archivos que no pueden ser puestos en cuarentena.

■ Comprueba todos los disquetes en busca de virus de arranque.Registra virus de arranque.

■ Notifica a los usuarios del equipo sobre virus y riesgos para laseguridad.

Auto-Protect para elsistema de archivos

Habilitada

Otros tipos de Auto-Protect incluyen la configuración siguiente:

■ Analiza todos los archivos, incluso los archivos que estándentro de archivos comprimidos.

■ Limpia los archivos infectados con virus. Pone en cuarentenalos archivos que no pueden ser limpiados.


■ Envía un mensaje a los usuarios de los equipos sobre virus yriesgos para la seguridad detectados.

Auto-Protect paracorreo electrónico

Habilitado para clientes de Symantec Endpoint Protection 12.1 yposterior. os clientes de una versiones anteriores usan laconfiguración de TruScan. Se habilita TruScan cuando se habilitaSONAR.

Las notificaciones de detección aparecen en los equipos cliente.

SONAR



El análisis programado incluye la configuración predeterminadasiguiente:

■ Realiza un análisis activo diariamente a las 12:30 p. m. Seordena aleatoriamente el análisis.

■ Analiza todos los archivos y carpetas, incluso los archivoscontenido en archivos comprimidos.

■ Analiza la memoria, ubicaciones comunes de infección yubicaciones conocidas de virus y de riesgos para la seguridad.



■ Vuelve a intentar análisis no realizados en el plazo de tres días.

■ La Búsqueda de Insight se configura en el nivel 5.

El análisis manual proporciona la protección siguiente:

■ Analiza todos los archivos y carpetas, incluso los archivoscontenido en archivos comprimidos.

■ Analiza la memoria y ubicaciones comunes de infección.



Análisis definidos porel administrador

La política predeterminada de seguridad alta de protección antivirus y antispywareproporciona seguridad de alto nivel e incluye muchas de las opciones deconfiguración de la política de protección antivirus y antispyware. La políticaproporciona análisis creciente.

Tabla 11-9 Configuración de la política de seguridad alta de protección antivirusy antispyware


Lo mismo que la política equilibrada de protección antivirus yantispyware

Auto-Protect además examina los archivos en los equipos remotos.

Auto-Protect para elsistema de archivos yel correo electrónico

Bloodhound se configura en modo intenso.Configuración global


166

La política predeterminada de alto rendimiento de protección antivirus yantispyware proporciona rendimiento de alto nivel. La política incluye muchasde las opciones de configuración de la política de protección antivirus yantispyware. La política proporciona seguridad reducida.

Tabla 11-10 Configuración de la política de alto rendimiento de protecciónantivirus y antispyware


Lo mismo que la política equilibrada de protección antivirus yantispyware, pero con los cambios siguientes:

■ La sensibilidad de archivos maliciosos de Diagnóstico Insightde descargas está configurada en el nivel 1.

Auto-Protect para elsistema de archivos

DeshabilitadoAuto-Protect paracorreo electrónico deInternet

Auto-Protect paraMicrosoft Outlook

Lo mismo que la política de protección antivirus y antispywareexcepto la configuración siguiente:

■ La Búsqueda de Insight se configura en el nivel 1.

Análisis definidos porel administrador

Cómo Symantec Endpoint Protection Small Business Edition controladetecciones de riesgos para la seguridad y virus

Symantec Endpoint Protection Small Business Edition usa accionespredeterminadas para controlar la detección de virus y riesgos para la seguridad.Es posible cambiar algunos de los valores predeterminados.

De forma predeterminada, el cliente de Symantec EndpointProtection Small Business Edition primero intenta limpiarun archivo infectado por un virus.

Si el software de cliente no puede limpiar el archivo, realizalas acciones siguientes:

■ Mueve el archivo a la Cuarentena en el equipo infectado

■ Niega el acceso al archivo

■ Registra el evento

Virus


De forma predeterminada, el cliente mueve cualquierarchivo que infectan los riesgos para la seguridad a lacuarentena del equipo infectado. El cliente también intentaquitar o reparar los efectos secundarios del riesgo.

Si un riesgo para la seguridad no puede ser puesto encuarentena y ser reparado, la segunda acción es registrarel riesgo.

De forma predeterminada, la Cuarentena contiene unregistro de todas las acciones que el cliente realizó. Esposible devolver el equipo cliente al estado que existió antesde que el cliente intentara la eliminación y la reparación.

En los equipos cliente de Windows, puede deshabilitar elanálisis de Auto-Protect en busca de riesgos para laseguridad. Se recomienda deshabilitar temporalmente elanálisis de Auto-Protect en busca de riesgos para laseguridad si la detección de un riesgo para la seguridadpuede poner en peligro la estabilidad de un equipo. Otrostipos de análisis continúan detectando el riesgo.

Riesgos para la seguridad

Las detecciones realizadas por SONAR se consideran eventos sospechosos. Seconfiguran acciones para estas detecciones como parte de la configuración deSONAR.


En equipos cliente de Windows, puede asignar una primera y segunda acción paraque Symantec Endpoint Protection Small Business Edition tome cuando encuentrariesgos. Es posible configurar diversas acciones para virus y riesgos para laseguridad. Es posible usar diversas acciones para análisis programados, manualeso de Auto-Protect.

Nota: En los equipos cliente de Windows, la lista de tipos de detección de riesgospara la seguridad es dinámica y cambia cuando Symantec detecta nuevascategorías. Las nuevas categorías se descargan a la consola o al equipo clientecuando llegan nuevas definiciones.

En los equipos cliente de Mac, puede especificar si desea que Symantec EndpointProtection Small Business Edition repare los archivos infectados que encuentra.Es posible también especificar si Symantec Endpoint Protection Small BusinessEdition mueve los archivos infectados que no puede reparar en la cuarentena. Esposible establecer la configuración de todos los análisis definidos por eladministrador o los análisis de Auto-Protect.

Ver "Cómo administrar la cuarentena" en la página 189.


168

Cómo configurar análisis programados que seejecutan en equipos Windows

Se configuran análisis programados como parte de la Política de protecciónantivirus y antispyware. La configuración del análisis es diferente para los clientesde Windows y para los clientes de Mac.

Es posible guardar su configuración de análisis programados como plantilla. Lasplantillas de análisis pueden ahorrar tiempo cuando configura varias políticas.Es posible usar cualquier análisis que guarde como plantilla como base para unnuevo análisis en otra política. Una plantilla de análisis programado está incluidaen la política de forma predeterminada. El análisis programado predeterminadoanaliza todos los archivos y carpetas.


Ver "Cómo personalizar análisis definidos por el administrador para los clientesque se ejecutan en equipos Windows" en la página 201.

Si un equipo no realiza un análisis programado por alguna razón, el cliente deSymantec Endpoint Protection Small Business Edition intenta realizar el análisisen un intervalo de tiempo específico. Si el cliente no puede iniciar el análisis dentrodel intervalo de tiempo, no ejecuta el análisis.

Si el usuario que definió un análisis no inició sesión, el software de cliente ejecutael análisis de todos modos. Es posible especificar que el cliente no ejecute el análisissi el usuario no está conectado.

Es posible hacer clic en Ayuda para obtener más información sobre las opcionesque se utilizan en este procedimiento.

Para configurar análisis programados que se ejecutan en equipos Windows


2 En Config. Windows, haga clic en Análisis definidos por el administrador.

3 En la ficha Análisis, en Análisis programados, haga clic en Agregar.

4 En el cuadro de diálogo Agregar análisis programado, haga clic en Crearunnuevo análisis programado.


6 En el cuadro de diálogo Agregar análisis programado, en la ficha Detallesdel análisis, escriba un nombre y una descripción para este análisisprogramado.

7 Haga clic en Análisis activo, Análisis completo o Análisis personalizado.

169Administración de protección antivirus y antispywareCómo configurar análisis programados que se ejecutan en equipos Windows

8 Si seleccionó Personalizado, en Análisis, es posible especificar qué carpetasse deben analizar.

9 En Tipos de archivos, haga clic en Analizar todos los archivos o Analizarsolo las extensiones seleccionadas.

10 En Comprobar lo siguiente para mejorar el análisis, seleccione Memoria,Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus yriesgos para la seguridad.

11 En la ficha Programación, en Programación de análisis, configure lafrecuencia y la hora en las cuales el análisis se debe ejecutar.

La configuración de reintento en Análisisprogramadosnorealizados cambiaautomáticamente según si selecciona Diariamente, Semanalmente oMensualmente.

12 En Análisis programados no realizados, puede deshabilitar la opción paraejecutar un análisis no realizado o puede cambiar el intervalo de reintento.

Es posible también especificar una duración máxima de análisis antes de queel análisis se interrumpa momentáneamente. Es posible también ordenaraleatoriamente la hora de inicio del análisis.

13 Si desea guardar este análisis como plantilla, seleccione Guardar una copiacomo plantilla de análisis programado.


Cómo configurar análisis programados que seejecutan en equipos Mac

Se configuran análisis programados como parte de la Política de protecciónantivirus y antispyware. La configuración del análisis es diferente para los clientesde Windows y para los clientes de Mac.


Ver "Cómo personalizar análisis definidos por el administrador para los clientesque se ejecutan en equipos Mac" en la página 202.

Es posible guardar su configuración de análisis programados como plantilla. Esposible utilizar cualquier análisis que guarde como plantilla como base para unapolítica de protección antivirus y antispyware distinta. Las plantillas de análisispueden ahorrar tiempo cuando se configuran nuevas políticas o análisis. Unaplantilla de análisis programado está incluida en la política de formapredeterminada. El análisis programado predeterminado analiza todos los archivosy directorios.

Administración de protección antivirus y antispywareCómo configurar análisis programados que se ejecutan en equipos Mac

170

Para configurar un análisis programado para clientes Mac


2 En Config. Mac, haga clic en Análisis definidos por el administrador.

3 En la ficha Análisis, en Análisis programados, haga clic en Agregar.

4 En el cuadro de diálogo de Agregaranálisisprogramados, haga clic en Crearun nuevo análisis programado y, a continuación, haga clic en Aceptar.

5 En el cuadro de diálogo Agregar análisis programado, en la ficha Detallesdel análisis, escriba un nombre y una descripción para el análisis.

6 En Analizar unidades y carpetas, especifique los elementos para analizar.

7 Personalice cualquier configuración, incluida la prioridad del análisis.

8 En la ficha Programación, en Programación de análisis, configure lafrecuencia y la hora en las cuales el análisis se debe ejecutar.

9 Si desea guardar este análisis como plantilla, seleccione Guardar una copiacomo plantilla de análisis programado.


Cómo ejecutar análisis manuales en equipos clienteEs posible ejecutar un análisis manual según sea necesario en los equipos clientede forma remota desde la consola de administración. Es probable que desee ejecutarun análisis manual como parte de la estrategia para evitar y controlar ataques devirus y spyware en los equipos cliente.

De forma predeterminada, se ejecuta automáticamente un análisis activo una vezque se actualizan las definiciones. Es posible configurar un análisis manual comoun análisis completo o personalizado y, posteriormente, ejecutar el análisis manualpara un análisis más exhaustivo.

La configuración de análisis manuales es similar a la configuración de análisisprogramados.



Para los equipos cliente Windows, es posible ejecutar un análisis manualpersonalizado o activo y completo.

Para los equipos cliente Mac, es posible ejecutar solamente un análisis manualpersonalizado.

171Administración de protección antivirus y antispywareCómo ejecutar análisis manuales en equipos cliente

El análisis personalizado utiliza las opciones establecidas para los análisismanuales en la política de protección antivirus y antispyware.

Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta unanálisis manual, el análisis se detiene y el equipo cliente se reinicia. El análisis nose reinicia.

Es posible ejecutar un análisis manual del registro del estado del equipo o de laficha Equipos en la consola.

Es posible cancelar todos los análisis en curso y en cola para los clientesseleccionados desde el registro de Estado del equipo. Si confirma el comando, latabla se actualiza y se ve que el comando de cancelación se agrega a la tabla deestado del comando.



Para ejecutar un análisis manual en los equipos cliente

1 En la consola de Symantec Endpoint Protection Manager, haga clic en Equipos.

2 En Equipos, haga clic con el botón derecho en los clientes o en el grupo quedesea analizar.


■ Haga clic en Ejecutar comando en el grupo > Análisis.

■ Haga clic en Ejecutar comando en equipos > Análisis.

4 En clientes de Windows, seleccione Análisis activo, Análisis completo oAnálisis personalizado y, a continuación, haga clic en Aceptar.

Cómo ajustar el análisis para mejorar rendimientodel equipo

De forma predeterminada, los análisis de virus y spyware minimizan el efecto enlos recursos de los equipos cliente. Es posible cambiar una configuración de análisispara optimizar el rendimiento aún más. Muchas de las tareas que se sugieren aquíson útiles en los entornos que ejecutan Symantec Endpoint Protection SmallBusiness Edition en sistemas operativos invitados, en máquinas virtuales (VM).

Administración de protección antivirus y antispywareCómo ajustar el análisis para mejorar rendimiento del equipo

172

La configuraciones que están disponibles son diferentes para los equipos deWindows y Mac.


Tabla 11-11 Ajustar análisis para mejorar el rendimiento en los equipos deWindows

DescripciónTarea

Es posible ajustar las siguientes opciones paraanálisis programados y manuales:

■ Cambiar opciones de ajuste

Es posible cambiar el ajuste de análisis aMáximorendimientodeaplicaciones. Cuandoconfigura un análisis con estos valores, sepuede iniciar el análisis, pero se ejecutasolamente cuando el equipo cliente estáinactivo. Si configura la ejecución de unanálisis activo cuando llegan nuevasdefiniciones, es posible que el análisis no seejecute por hasta 15 minutos si el usuario estáutilizando el equipo.

■ Cambiar el número de niveles para analizararchivos comprimidos

El nivel predeterminado es 3. Se recomiendacambiar el nivel a 1 ó 2 para reducir el tiempode análisis.

Ver "Cómo personalizar análisis definidos por eladministrador para los clientes que se ejecutanen equipos Windows" en la página 201.

Modificar las opciones de ajuste yarchivos comprimidos para análisisprogramados y manuales

173Administración de protección antivirus y antispywareCómo ajustar el análisis para mejorar rendimiento del equipo

DescripciónTarea

En equipos en la red que tienen grandesvolúmenes, los análisis programados se puedenconfigurar como análisis reanudables.

Una opción de duración de análisis proporcionaun período especificado para ejecutar un análisis.Si el análisis no se completa cuando finaliza laduración especificada, se reanuda cuando se llevaa cabo el siguiente período de análisisprogramado. El análisis se reanuda en el lugardonde se detuvo hasta que se analiza el volumencompleto. La opción de duración del análisis seusa típicamente en los servidores.

Nota: No use un análisis reanudable si quesospecha que el equipo está infectado. Esnecesario realizar un análisis completo que seejecute hasta que se analice el equipo completo.Tampoco debe usar un análisis reanudable si unanálisis se puede completar antes del intervaloespecificado.


Usar análisis reanudables

Los análisis de virus y spyware incluyen unaopción denominada Insight que omite los archivosde confianza. De forma predeterminada, Insightse habilita. Es posible cambiar el nivel deconfianza para los tipos de archivos que losanálisis omiten:

■ Symantec y archivos de confianza para lacomunidadEste nivel omite los archivos que de confianzade Symantec y la comunidad de Symantec.

■ Archivos de confianza para SymantecEste nivel omite solamente los archivos queson de confianza para Symantec.

Ver "Modificación de la configuración de análisisglobal para clientes Windows" en la página 205.

Permitir que todos los análisis omitanlos archivos de confianza

Administración de protección antivirus y antispywareCómo ajustar el análisis para mejorar rendimiento del equipo

174

DescripciónTarea

En entornos virtualizados donde se implementanvarias máquinas virtuales (VM), los análisissimultáneos crean problemas de recursos. Porejemplo, un único servidor puede ejecutar 100 VMo más. Los análisis simultáneos en esas VMconsumen a recursos en el servidor.

Es posible ordenar aleatoriamente análisis paralimitar el impacto en el servidor.

Ver "Cómo distribuir aleatoriamente análisis paramejorar el rendimiento del equipo en entornosvirtualizados" en la página 204.

Ordenar aleatoriamente análisisprogramados

Tabla 11-12 Ajustar análisis para mejorar el rendimiento en los equipos de Mac

DescripciónTarea

Se aplica a análisis programados de clientes quese ejecutan en equipos de Mac.

La prioridad del análisis en equipos de Mac esequivalente a optimizar o ajustar el rendimientoen equipos de Windows. La prioridad alta significaque el análisis se ejecuta tan rápido como seaposible, pero las aplicaciones pueden ejecutarsemás lentamente durante el análisis. La prioridadbaja significa que otras aplicaciones se ejecutantan rápido como sea posible, pero el análisis puedeejecutarse más lentamente. La prioridad mediaequilibra la velocidad en la cual las aplicacionesy los análisis se ejecutan.

Ver "Cómo personalizar análisis definidos por eladministrador para los clientes que se ejecutanen equipos Mac" en la página 202.

Ajustar prioridad de análisis

Ajuste de análisis para aumentar la protección en susequipos cliente

Symantec Endpoint Protection Small Business Edition proporciona un alto nivelde seguridad de forma predeterminada. Es posible aumentar la protección aúnmás. La configuración es diferente para los clientes que se ejecutan en equiposWindows y los clientes que se ejecutan en equipos Mac.

175Administración de protección antivirus y antispywareAjuste de análisis para aumentar la protección en sus equipos cliente

Nota: Si aumenta la protección en sus equipos cliente, es posible que afecte elrendimiento del equipo.

Tabla 11-13 Ajuste de análisis para aumentar la protección en los equiposWindows

DescripciónTarea

Ciertas opciones de configuración estánbloqueadas de forma predeterminada; se puedenbloquear opciones de configuración adicionalesde modo que los usuarios no puedan cambiar laprotección en sus equipos.

Bloquear la configuración de análisis

Es necesario seleccionar o modificar las siguientesopciones:

■ Rendimiento del análisis

Configure el ajuste del análisis en Máximorendimientodeanálisis. La configuración, sinembargo, puede afectar el rendimiento delequipo cliente. Los análisis se ejecutan inclusosi el equipo no está inactivo.

■ Duración del análisis programado

De forma predeterminada, los análisisprogramados se ejecutan hasta que el intervalode tiempo especificado caduque y, acontinuación, continúa cuando el equipocliente está inactivo. Es posible configurar laduración del análisis en Analizar hastafinalizar.

■ Usar Búsqueda de Insight

La Búsqueda de Insight usa la últimadefinición configurada de la nube y lainformación de la base de datos de reputaciónde Insight para analizar y tomar decisionessobre los archivos. Se debe asegurar de queBúsqueda de Insight esté habilitada. Laconfiguración de Búsqueda de Insight essimilar a la configuración de DiagnósticoInsight de descargas.


Modificar la configuración para losanálisis definidos por el administrador

Administración de protección antivirus y antispywareAjuste de análisis para aumentar la protección en sus equipos cliente

176

DescripciónTarea

Especifique las acciones Cuarentena, Eliminar oFinalizar para las detecciones.

Nota: Tenga cuidado cuando use Eliminar oFinalizar para las detecciones de riesgos para laseguridad. La acción pueden causar que algunasaplicaciones legítimas pierdan funcionalidad.

Ver "Cómo cambiar la acción que SymantecEndpoint Protection Small Business Edition tomacuando realiza una detección" en la página 207.

Especificar acciones más fuertes dedetección del análisis

Bloodhound localiza y aísla las regiones lógicasde un archivo para detectar comportamiento devirus. Es posible cambiar el nivel de detección deAutomático a Modo intenso para aumentar laprotección en sus equipos. La configuración Modointenso, sin embargo, es probable que produzcamás falsos positivos.

Ver "Modificación de la configuración de análisisglobal para clientes Windows" en la página 205.

Aumentar el nivel de protección deBloodhound

Tabla 11-14 Ajuste de análisis para aumentar la protección en los equipos Mac

DescripciónTarea

Ciertas opciones de configuración estánbloqueadas de forma predeterminada; se puedenbloquear opciones de configuración adicionalesde modo que los usuarios no puedan cambiar laprotección en sus equipos.

Bloquear la configuración de análisis

Especifique las acciones Cuarentena, Eliminar oFinalizar para las detecciones.

Nota: Tenga cuidado cuando use Eliminar oFinalizar para las detecciones de riesgos para laseguridad. La acción pueden causar que algunasaplicaciones legítimas pierdan funcionalidad.


Especificar acciones más fuertes dedetección del análisis

177Administración de protección antivirus y antispywareAjuste de análisis para aumentar la protección en sus equipos cliente

Cómo administrar las detecciones de DiagnósticoInsight de descargas

Auto-Protect incluye una función que se denomina Diagnóstico Insight dedescargas, que examina los archivos que los usuarios intentan descargar por mediode navegadores web, clientes de mensajería de texto y otros portales.

Los portales admitidos incluyen Internet Explorer, Firefox, Microsoft Outlook,Outlook Express, Windows Live Messenger y Yahoo Messenger.

El Diagnóstico Insight de descargas determina que un archivo descargado puedeconstituir un riesgo basado en pruebas sobre la reputación del archivo. ElDiagnóstico Insight de descargas se admite solamente para clientes que se ejecutanen equipos Windows.

Nota: Si instala Auto-Protect para correo electrónico en los equipos cliente,Auto-Protect además analiza los archivos que los usuarios reciben como archivosadjuntos de correo electrónico.


Tabla 11-15 Cómo administrar las detecciones de Diagnóstico Insight dedescargas

DescripciónTarea

El Diagnóstico Insight de descargas usa la información de reputaciónexclusivamente cuando toma decisiones sobre archivos descargados. Nousa firmas ni heurística para tomar decisiones. Si el Diagnóstico Insightde descargas habilita un archivo, Auto-Protect o SONAR analizan el archivocuando el usuario abre o ejecuta el archivo.

Ver "Cómo Symantec Endpoint Protection Small Business Edition usa datosde reputación para tomar decisiones sobre los archivos" en la página 183.

Aprenda cómo el Diagnóstico Insightde descargas usa datos de reputaciónpara tomar decisiones sobre archivos

Administración de protección antivirus y antispywareCómo administrar las detecciones de Diagnóstico Insight de descargas

178

DescripciónTarea

Es posible usar el informe de distribución de riesgos de descarga para verlos archivos que el Diagnóstico Insight de descargas detectó en los equiposcliente. Es posible ordenar el informe por URL, dominio web o aplicación.Es posible también ver si un usuario eligió habilitar un archivo detectado.

Nota: Los detalles del riesgo para una detección de Diagnóstico Insight dedescargas muestran solamente la primera aplicación del portal que intentóla descarga. Por ejemplo, un usuario puede usar Internet Explorer paraintentar descargar un archivo que Diagnóstico Insight de descargas detecta.Si el usuario entonces usa Firefox para intentar descargar el archivo, losdetalles del riesgo muestran Internet Explorer como el portal.

Los archivos “permitidos por el usuario” que aparecen en el informe puedenindicar detecciones de falsos positivos.

Los usuarios pueden permitir los archivos respondiendo a las notificacionesque aparecen para las detecciones.

Los administradores reciben el informe como parte de un informe semanalque Symantec Endpoint Protection Manager genera y envía por correoelectrónico. Es necesario especificar una dirección de correo electrónicopara el administrador durante la instalación o configurarlo como parte delas propiedades del administrador. Es posible también generar el informedesde la ficha Informes en la consola.


Consulte el informe de distribución deriesgos de descarga para ver lasdetecciones de Diagnóstico Insight dedescargas

179Administración de protección antivirus y antispywareCómo administrar las detecciones de Diagnóstico Insight de descargas

DescripciónTarea

Es posible crear una excepción para una aplicación que los usuariosdescargan. Es posible también crear una excepción para un dominio webespecífico que considera confiable.

Ver "Especificar cómo Symantec Endpoint Protection Small Business Editioncontrola una aplicación que los análisis detectan o que los usuariosdescargan" en la página 272.

Ver "Exclusión de un dominio web de confianza de análisis" en la página 273.

Nota: Si sus equipos cliente usan un proxy con la autenticación, deberáespecificar las excepciones de dominio web de confianza para las direccionesURL de Symantec. Las excepciones permiten a sus equipos clientecomunicarse con Symantec Insight y otros sitios importantes de Symantec.

Para obtener información sobre las excepciones recomendadas, consulteel artículo relacionado de la base de conocimientos del soporte técnico deSymantec Technical Support Knowledge Base article.

De forma predeterminada, el Diagnóstico Insight de descargas no examinaningún archivo que los usuarios descarguen de sitios de Internet o de laintranet de confianza. Se configuran sitios de confianza y sitios de confianzade la intranet local en la ficha de Windows Panelde control >OpcionesdeInternet > Seguridad. Cuando la opción Confiar automáticamente encualquier archivo descargado de un sitio de la intranet está habilitada,Symantec Endpoint Protection Small Business Edition habilita cualquierarchivo que un usuario descargue de cualquier sitio de la lista.

Nota: El Diagnóstico Insight de descargas reconoce solamente los sitiosde confianza explícitamente configurados. Los comodines están permitidos,pero los intervalos de direcciones IP no enrutables no se admiten. Porejemplo, el Diagnóstico Insight de descargas no reconoce 10.*.*.* como sitiode confianza. El Diagnóstico Insight de descargas tampoco admite los sitiosdetectados por la opción Opciones de Internet > Seguridad > Detectarredes intranet automáticamente.

Cree excepciones para archivosespecíficos o dominios web

El Diagnóstico Insight de descargas solicita datos de la reputación deSymantec Insight para tomar decisiones sobre los archivos. Si deshabilitalas Búsquedas de Insight, Diagnóstico Insight de descargas se ejecuta, perodetecta solamente los archivos con las reputaciones peores. Las Búsquedasde Insight se habilitan de forma predeterminada.


Asegúrese de que las Búsquedas deInsight estén habilitadas


180

http://entced.symantec.com/entt?product=sep&version=12.1&language=english&module=doc&error=insight_connect&build=symantec_ent

DescripciónTarea

Personalizar la configuración deDiagnóstico Insight de descargas

181Administración de protección antivirus y antispywareCómo administrar las detecciones de Diagnóstico Insight de descargas

DescripciónTarea

Es posible que desee personalizar la configuración de Diagnóstico Insightde descargas por los siguientes motivos:

■ Aumentar o disminuir el número de detecciones de Diagnóstico Insightde descargas.

Es posible ajustar el control deslizante de susceptibilidad del archivomalicioso para aumentar o disminuir el número de detecciones. Enniveles de sensibilidad más bajos, el Diagnóstico Insight de descargasdetecta menos archivos como maliciosos y más archivos como sin probar.Menos detecciones son detecciones de falsos positivos.

En niveles de sensibilidad más altos, el Diagnóstico Insight de descargasdetecta más archivos como maliciosos y menos archivos como sin probar.Más detecciones son detecciones de falsos positivos.

■ Cambiar la acción para las detecciones maliciosas o de archivo sinprobar.

Es posible cambiar cómo el Diagnóstico Insight de descargas controlalos archivos maliciosos o sin probar. La acción especificada afecta nosolo la detección sino también si los usuarios pueden interaccionar conla detección.

Por ejemplo, es posible que cambie la acción para los archivos sin probara Omitir. A continuación, el Diagnóstico Insight de descargas habilitalos archivos sin probar y no alerta al usuario.

■ Alerta a los usuarios sobre detecciones de Diagnóstico Insight dedescargas.

Cuando se habilitan las notificaciones, la configuración de lasusceptibilidad de archivos maliciosos afecta el número de notificacionesque reciben los usuarios. Si aumenta la susceptibilidad, aumenta elnúmero de notificaciones de usuario porque se incrementa la cantidadtotal de detecciones.

Es posible desactivar las notificaciones, de modo que los usuarios notengan una opción cuando el Diagnóstico Insight de descargas realizauna detección. Si mantiene las notificaciones habilitadas, puedeconfigurar la acción para archivos sin probar en Omitir, de modo queestas detecciones estén siempre permitidas y no notifiquen a losusuarios.

Sin importar si las notificaciones están habilitadas, cuando DiagnósticoInsight de descargas detecta un archivo sin probar y la acción esSolicitud, el usuario puede permitir o bloquear el archivo. Si el usuariopermite el archivo, el archivo se ejecuta de forma automática.

Cuando se habilitan las notificaciones y Diagnóstico Insight de descargaspone en cuarentena un archivo, el usuario puede deshacer la acción decuarentena y permitir el archivo.

Nota: Si los usuarios permiten un archivo en cuarentena, el archivo no


182

DescripciónTarea

se ejecuta de forma automática. El usuario puede ejecutar el archivodesde la carpeta temporal de Internet. La ubicación de la carpeta es, porlo general, Unidad:\\Documents and Settings\username\LocalSettings\Temporary Internet Files.

Ver "Cómo personalizar la configuración de Diagnóstico Insight dedescargas" en la página 206.

De forma predeterminada, los clientes envían información sobre deteccionesde reputación a Symantec.

Symantec recomienda que habilite los envíos para detecciones dereputación. La información ayuda a Symantec a enfrentar las amenazas.


Permite que los clientes envíeninformación sobre detecciones dereputación a Symantec

Cómo Symantec Endpoint Protection Small BusinessEditionusadatosde reputaciónpara tomardecisionessobre los archivos

Symantec recopila información sobre los archivos de su comunidad global demillones de usuarios y de Global Intelligence Network. La información recopiladaforma una base de datos de reputación que Symantec alberga. Los productos deSymantec aprovechan la información para proteger los equipos cliente contraamenazas nuevas, dirigidas y que se transforman. Se hace referencia a los datosa veces como que están “en la nube”, ya que no residen en el equipo cliente. Elequipo cliente debe solicitar o consultar la base de datos de reputación.

Symantec usa una tecnología llamada Insight para determinar el nivel de riesgoo de “calificación de seguridad” de cada archivo.

Insight determina la calificación de seguridad de un archivo examinando lascaracterísticas siguientes del archivo y de su contexto:

■ El origen del archivo

■ Cómo es el nuevo archivo

■ Qué tan frecuente es el archivo en la comunidad

■ Otras medidas de seguridad, por ejemplo, cómo el archivo se podría asociar asoftware malicioso

183Administración de protección antivirus y antispywareCómo Symantec Endpoint Protection Small Business Edition usa datos de reputación para tomar decisiones sobre los

archivos

Las funciones de análisis en Symantec Endpoint Protection Small Business Editionaprovechan Insight para tomar decisiones sobre los archivos y las aplicaciones.La Protección antivirus y antispyware incluye una función que se llama DiagnósticoInsight de descargas. Diagnóstico Insight de descargas se basa en la informaciónde reputación para hacer detecciones. Si deshabilita operaciones de búsqueda dela penetración, Diagnóstico Insight de descargas ejecuta pero no puede hacerdetecciones. Otras funciones de protección, tales como Búsqueda de Insight ySONAR, usan la información de reputación para hacer detecciones; sin embargo,esas funciones pueden usar otras tecnologías para hacer detecciones.

De forma predeterminada, un equipo cliente envía información sobre deteccionesde reputación a Symantec Security Response para un análisis. La informaciónayuda a perfeccionar la base de datos de reputación de Insight. Cuantos másclientes envíen información, más útil será la base de datos de reputación.

Es posible deshabilitar el envío de información de reputación. Symantecrecomienda, sin embargo, que se mantengan habilitados los envíos.

Los equipos cliente además presentan otros tipos de información sobre deteccionesa Symantec Security Response.


Ver "Cómo funcionan en conjunto las funciones de protección de SymantecEndpoint Protection Small Business Edition" en la página 184.


Cómo funcionan en conjunto las funciones deprotección de Symantec Endpoint Protection SmallBusiness Edition

Algunas funciones de políticas se necesitan entre sí para proporcionar proteccióncompleta en los equipos cliente Windows.

Advertencia: Symantec recomienda no deshabilitar las Búsquedas de Insight.

Administración de protección antivirus y antispywareCómo funcionan en conjunto las funciones de protección de Symantec Endpoint Protection Small Business Edition

184

Tabla 11-16 Cómo funcionan en conjunto las funciones de políticas

Notas de interoperabilidadFunción de política

Protección de descargas es parte de Auto-Protecty brinda a Symantec Endpoint Protection SmallBusiness Edition la capacidad de realizar unseguimiento de direcciones URL. El seguimientode las URL es necesario para varias funciones depolíticas.

Si instala Symantec Endpoint Protection SmallBusiness Edition sin Protección de descargas,Diagnóstico Insight de descargas tienefuncionalidad limitada. Prevención contraintrusiones de navegador y SONAR necesitanProtección de descargas.

La opción Confiarautomáticamenteencualquierarchivo descargado de un sitio web de intranettambién necesita Protección de descargas.

Protección de descargas

Diagnóstico Insight de descargas tiene lasdependencias siguientes:

■ Auto-Protect debe estar habilitado.

Si deshabilita Auto-Protect, DiagnósticoInsight de descargas no puede funcionarincluso si se habilita Diagnóstico Insight dedescargas.

■ Las Búsquedas de Insight se deben habilitar

Symantec recomienda que se mantenga laopción de las Búsqueda de Insight habilitada.Si deshabilita la opción, deshabilitaDiagnóstico Insight de descargas totalmente.

Nota: Si Protección de descargas no estáinstalado, Diagnóstico Insight de descargas seejecuta en el cliente en el nivel 1. Cualquier nivelque configuró en la política no se aplica. Elusuario, además, no puede ajustar el nivel desensibilidad.

Incluso si deshabilita Diagnóstico Insight dedescargas, la opción Confiar automáticamenteencualquierarchivodescargadodeunsitiowebdeintranet continúa funcionando para Búsquedade Insight.

Diagnóstico Insight de descargas

185Administración de protección antivirus y antispywareCómo funcionan en conjunto las funciones de protección de Symantec Endpoint Protection Small Business Edition


Usa Búsquedas de Insight

Búsqueda de Insight usa las últimas definicionesde la nube y de la base de datos de reputación deInsight para tomar decisiones sobre los archivos.Si deshabilita las Búsquedas de Insight, Búsquedade Insight usa las últimas definiciones solamentepara tomar decisiones sobre los archivos.

Búsqueda de Insight también usa la opciónConfiar automáticamente en cualquier archivodescargado de un sitio web de intranet.

Nota: Búsqueda de Insight no se ejecuta en losanálisis con el botón derecho de carpetas o deunidades en sus equipos cliente. Búsqueda deInsight se ejecuta en los análisis con el botónderecho de archivos seleccionados.

Búsqueda de Insight

SONAR tiene las dependencias siguientes:

■ Protección de descargas debe estar instalado.

■ Auto-Protect debe estar habilitado.

Si deshabilita Auto-Protect, SONAR pierdecierta funcionalidad de detección y parecefuncionar incorrectamente en el cliente.SONAR puede detectar amenazas heurísticas,sin embargo, incluso si se deshabilitaAuto-Protect.

■ Las Búsquedas de Insight se deben habilitar.

Sin las Búsquedas de Insight, SONAR puedeejecutarse, pero no puede hacer detecciones.En algunos casos raros, SONAR puede hacerdetecciones sin las Búsquedas de Insight. SiSymantec Endpoint Protection Small BusinessEdition ha ocultado previamente lainformación de la reputación sobre archivosdeterminados, SONAR puede usar lainformación de la memoria caché.

SONAR

Protección de descargas debe estar instalado.Diagnóstico Insight de descargas puede estarhabilitado o deshabilitado.

Prevención contra intrusiones denavegador

Administración de protección antivirus y antispywareCómo funcionan en conjunto las funciones de protección de Symantec Endpoint Protection Small Business Edition

186


Protección de descargas debe estar instalado.

Cuando crea una excepción de dominio web deconfianza, la excepción se aplica solamente siProtección de descargas está instalado.

Excepción de dominio web de confianza



Ver "Cómo administrar la prevención de intrusiones en sus equipos cliente"en la página 253.

Cómo habilitar o deshabilitar envíos de los clientesa Symantec Security Response

Symantec Endpoint Protection Small Business Edition puede proteger los equiposenviando información sobre detecciones a Symantec Security Response. SymantecSecurity Response usa esta información para tratar amenazas nuevas y cambiantes.Cualquier dato que envía mejora la capacidad de Symantec de responder a lasamenazas y de personalizar la protección para sus equipos. Symantec recomiendaque se opte por enviar tanta información de detección como sea posible.

Ver "Acerca de enviar información sobre detecciones a Symantec SecurityResponse" en la página 162.


Los equipos cliente envían información anónima sobre detecciones. Es posibleespecificar los tipos de detecciones para las cuales los clientes presenteninformación. Es posible también habilitar o deshabilitar los envíos de los equiposcliente. Symantec recomienda que se habiliten siempre los envíos. En algunoscasos, sin embargo, puede ser recomendable evitar que sus clientes envíen talinformación. Por ejemplo, sus políticas corporativas pueden impedir que susequipos cliente envíen cualquier información de red a las entidades exteriores.

Para habilitar o deshabilitar envíos de los clientes a Symantec Security Response

1 En la consola, seleccione Equipos y luego haga clic en la ficha Políticas.

2 En la página Políticas, haga clic en Editar configuración para Proteccióncontra intervenciones y Envíos.

3 Haga clic en la ficha Envíos.

187Administración de protección antivirus y antispywareCómo habilitar o deshabilitar envíos de los clientes a Symantec Security Response

4 Si desea permitir a sus equipos cliente enviar datos para el análisis, seleccionePermitir que los equipos reenvíen automáticamente información deseguridad anónima seleccionada a Symantec.

5 Para deshabilitar los envíos para el cliente, anule la selección de Permitirque los equipos reenvíen automáticamente información de seguridadanónima seleccionada a Symantec.

Si deshabilita los envíos para un cliente y bloquea la configuración, el usuariono puede configurar el cliente para hacer envíos. Si los habilita, seleccionasus tipos de envíos y bloquea la configuración, el usuario no puede cambiarsu configuración elegida. Si no bloquea su configuración, el usuario puedecambiar la configuración según lo desee.

Symantec recomienda que se envíe información de amenazas para ayudar aSymantec a proporcionar protección contra amenazas personalizada. Sinembargo, es posible que sea necesario deshabilitar esta función en respuestaa problemas de ancho de banda de la red o una restricción en los datos quesalen del cliente. Es posible seleccionar Actividad del cliente para ver laactividad de los envíos del registro si necesita supervisar su uso del ancho debanda.


6 Seleccione los tipos de información para enviar:

■ Reputación de archivosLa información sobre los archivos que se detectan según su reputación.La información sobre estos archivos contribuye a la base de datos dereputación de Symantec Insight para ayudar a proteger sus equipos contralos riesgos nuevos y emergentes.

■ Detecciones de antivirusInformación sobre detecciones del análisis de virus y spyware.

■ Detecciones heurísticas avanzadas de antivirusLa información sobre las amenazas potenciales detectadas por Bloodhoundy otra heurística de análisis de virus y spyware.Estas detecciones son detecciones silenciosas que no aparecen en elregistro de riesgos. La información sobre estas detecciones se usa para elanálisis estadístico.

■ Detecciones de SONARInformación sobre las amenazas que SONAR detecta, que incluye lasdetecciones de alto o bajo riesgo, eventos de cambios en el sistema ycomportamiento sospechoso de aplicaciones de confianza.

■ Heurística de SONAR

Administración de protección antivirus y antispywareCómo habilitar o deshabilitar envíos de los clientes a Symantec Security Response

188

Las detecciones heurísticas de SONAR son detecciones silenciosas que noaparecen en el registro de riesgos. Esta información se usa para el análisisestadístico.

7 Seleccione Permitir búsquedas de Insight para la detección de amenazaspara permitir que Symantec Endpoint Protection use la base de datos dereputación de Symantec Insight para tomar decisiones sobre amenazas.

Las Búsquedas de Insight se habilitan de forma predeterminada. Es posibledeshabilitar esta opción si no desea permitir que Symantec EndpointProtection Small Business Edition consulte la base de datos de reputación deSymantec Insight.

Diagnóstico Insight de descargas, Búsqueda de Insight y SONAR usan lasBúsquedas de Insight para la detección de amenazas. Symantec recomiendaque se permitan las Búsquedas de Insight. Deshabilitar las búsquedasdeshabilita Diagnóstico Insight de descargas y puede empeorar lafuncionalidad de la heurística de SONAR y de Búsqueda de Insight.

Cómo administrar la cuarentenaCuando los análisis en busca de virus y spyware detectan una amenaza o SONARdetecta una amenaza, Symantec Endpoint Protection Small Business Edition ponelos archivos en la cuarentena local del equipo cliente.


Tabla 11-17 Cómo administrar la cuarentena

DescripciónTarea

Es necesario comprobar periódicamente los archivos encuarentena para evitar la acumulación de grandescantidades de archivos. Compruebe los archivos encuarentena cuando un nuevo ataque de virus aparezca enla red.

Deje los archivos con infecciones desconocidas encuarentena. Cuando el cliente recibe nuevas definiciones,vuelve a analizar los elementos en cuarentena y es posibleque elimine o repare el archivo.

Controlar archivos encuarentena

189Administración de protección antivirus y antispywareCómo administrar la cuarentena

DescripciónTarea

Es posible eliminar un archivo en cuarentena si existe unacopia de seguridad o si tiene una copia del archivo de unorigen confiable.

Es posible eliminar un archivo en cuarentena directamenteen el equipo infectado o con el registro de riesgo en laconsola de Symantec Endpoint Protection Small BusinessEdition.

Ver "Cómo usar el registro de riesgos para eliminar losarchivos en cuarentena en sus equipos cliente"en la página 190.

Eliminar archivos encuarentena

Cómo usar el registro de riesgos para eliminar los archivos encuarentena en sus equipos cliente

Es posible usar el registro de riesgos en la consola de Symantec Endpoint ProtectionManager para eliminar los archivos en cuarentena en sus equipos cliente. Seejecuta el comando Eliminar de Cuarentena del registro para cualquier archivoen cuarentena que desee eliminar.


Si Symantec Endpoint Protection Small Business Edition detecta riesgos en unarchivo comprimido, el archivo comprimido se coloca totalmente en cuarentena.Sin embargo, el registro de riesgos contiene una entrada separada para cadaarchivo del archivo comprimido. Para eliminar correctamente todos los riesgosen un archivo comprimido, es necesario seleccionar todos los archivos en el archivocomprimido.

Para usar el registro de riesgos para eliminar los archivos de cuarentena en susequipos cliente

1 Haga clic en Supervisión.

2 En la ficha Registros, del cuadro de lista Tipoderegistro, seleccione el registrode Riesgos y después haga clic en Ver registro.


■ Seleccione una entrada del registro que tenga un archivo que se hayapuesto en cuarentena.

■ Seleccione todas las entradas de los archivos del archivo comprimido.Todas las entradas del archivo comprimido deben estar en la vista delregistro. Es posible utilizar la opción Límite de Configuración avanzadapara aumentar el número de entradas en la vista.

Administración de protección antivirus y antispywareCómo administrar la cuarentena

190

4 Desde el cuadro de lista Acción, seleccione Eliminar de Cuarentena.

5 Haga clic en Start(Iniciar).

6 En el cuadro de diálogo que aparece, haga clic en Eliminar.

7 En el cuadro de diálogo de confirmación que aparece, haga clic en Aceptar.

Cómo administrar las notificaciones de virus yspyware que aparecen en los equipos cliente

Es posible decidir si las notificaciones aparecen o no en los equipos cliente paraeventos de virus y de spyware. Es posible personalizar mensajes sobre detecciones.


191Administración de protección antivirus y antispywareCómo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente

Tabla 11-18 Notificaciones de virus y de spyware que aparecen en los equiposcliente

DescripciónNotificación de usuario

Para los equipos cliente Windows, puedeconfigurar un mensaje de detección para lossiguientes tipos de análisis:

■ Todos los tipos de Auto-Protect, incluidoDiagnóstico Insight de descargas.

■ Análisis programados y análisis manuales.

Para los análisis programados, puedeconfigurar un mensaje aparte para cadaanálisis.

Nota: Si un proceso descarga continuamente elmismo riesgo para la seguridad a un equipocliente, Auto-Protect detiene automáticamente elenvío de notificaciones después de tresdetecciones. Auto-Protect además detiene elregistro del evento. En algunas situaciones, sinembargo, Auto-Protect no detiene el envío denotificaciones y el registro de eventos.Auto-Protect continúa enviando notificaciones yregistrando eventos cuando la acción para ladetección es No hacer nada (registrar).

Para los equipos cliente Mac, puede configurarun mensaje de detección que se aplique a todoslos análisis programados y un mensaje que seaplique a los análisis manuales.



Cómo personalizar un mensaje dedetección del análisis

Es posible cambiar qué notificaciones reciben losusuarios sobre las detecciones de DiagnósticoInsight de descargas.

Ver "Cómo administrar las detecciones deDiagnóstico Insight de descargas" en la página 178.

Cambiar la configuración para lasnotificaciones de usuario sobre lasdetecciones de Diagnóstico Insight dedescargas

Administración de protección antivirus y antispywareCómo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente

192

DescripciónNotificación de usuario

Se aplica solamente a equipos cliente Windows.

Se aplica solamente a Auto-Protect para el sistemade archivos.


Elegir si mostrar o no el cuadro dediálogo de resultados de Auto-Protect


Cuando los análisis del correo electrónico deAuto-Protect encuentran un riesgo, Auto-Protectpuede enviar notificaciones por correo electrónicopara alertar al remitente del correo electrónico ya cualquier otra dirección de correo electrónicoque se especifique. Es posible también insertaruna advertencia en el mensaje de correoelectrónico.

Para Auto-Protect para correo electrónico deInternet, puede también especificar que aparezcauna notificación sobre el progreso del análisiscuando Auto-Protect analiza un correoelectrónico.

Ver "Cómo personalizar Auto-Protect para losanálisis de correo electrónico en los equiposWindows" en la página 200.

Configurar notificaciones por correoelectrónico de Auto-Protect


Es posible configurar que aparezca o no el cuadrode diálogo de progreso del análisis. Es posibleconfigurar que los usuarios puedan o nointerrumpir o retrasar los análisis.

Cuando permite que los usuarios vean el progresodel análisis, un vínculo al cuadro de diálogo deprogreso del análisis aparece en las páginasprincipales de la interfaz de usuario del cliente.Un vínculo para reprogramar el análisisprogramado siguiente también aparece.

Ver "Permitir que los usuarios vean el progresodel análisis y que interaccionen con los análisis"en la página 209.

Permitir a los usuarios ver el progresode los análisis e iniciar o detener losanálisis

193Administración de protección antivirus y antispywareCómo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente

Administración de protección antivirus y antispywareCómo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente

194

Personalización de análisis


■ Cómo personalizar los análisis de virus y spyware que se ejecutan en equiposWindows

■ Cómo personalizar los análisis antivirus y antispyware que se ejecutan enequipos Mac

■ Cómo personalizar Auto-Protect para los clientes Windows

■ Cómo personalizar Auto-Protect para los clientes Mac

■ Cómo personalizar Auto-Protect para los análisis de correo electrónico en losequipos Windows

■ Cómo personalizar análisis definidos por el administrador para los clientesque se ejecutan en equipos Windows

■ Cómo personalizar análisis definidos por el administrador para los clientesque se ejecutan en equipos Mac

■ Cómo distribuir aleatoriamente análisis para mejorar el rendimiento del equipoen entornos virtualizados

■ Modificación de la configuración de análisis global para clientes Windows

■ Cómo personalizar la configuración de Diagnóstico Insight de descargas

■ Cómo cambiar la acción que Symantec Endpoint Protection Small BusinessEdition toma cuando realiza una detección

■ Permitir que los usuarios vean el progreso del análisis y que interaccionen conlos análisis

12Capítulo

Cómopersonalizar los análisis de virus y spyware quese ejecutan en equipos Windows

Es posible personalizar las opciones para los análisis definidos por el administrador(programados y manuales) que se ejecutan en los equipos Windows. Es posibletambién personalizar las opciones para Auto-Protect.


Tabla 12-1 Personalizar análisis de virus y spyware en equipos Windows

DescripciónTarea

Es posible personalizar Auto-Protect de variasmaneras, incluida la configuración para lossiguientes valores:

■ Los tipos de archivos que analiza Auto-Protect

■ Medidas que Auto-Protect toma cuando realizauna detección

■ Las notificaciones de usuario para lasdetecciones de Auto-Protect

Es posible también habilitar o deshabilitar elcuadro de diálogo Resultados del análisis paralos análisis de Auto-Protect del sistema dearchivos.

Ver "Cómo personalizar Auto-Protect para losclientes Windows" en la página 198.

Ver "Cómo personalizar Auto-Protect para losanálisis de correo electrónico en los equiposWindows" en la página 200.

Personalizar la configuración deAuto-Protect

Es posible personalizar los siguientes tipos deopciones para análisis programados y manuales.

■ Archivos comprimidos

■ Opciones de ajuste

■ Búsqueda de Insight

■ Notificaciones de usuario sobre detecciones


Es posible también personalizar acciones delanálisis.

Personalizar análisis definidos por eladministrador

Personalización de análisisCómo personalizar los análisis de virus y spyware que se ejecutan en equipos Windows

196

DescripciónTarea

Se recomienda ajustar la susceptibilidad dearchivo malicioso para aumentar o disminuir elnúmero de detecciones. Es posible tambiénmodificar las acciones para detecciones y lasnotificaciones de usuario para detecciones.

Ver "Cómo personalizar la configuración deDiagnóstico Insight de descargas" en la página 206.

Ajustar configuración de descarga deInsight

Es posible cambiar la acción que SymantecEndpoint Protection Small Business Edition tomacuando realiza una detección.


Personalizar las acciones de análisis

Cómopersonalizar los análisis antivirus y antispywareque se ejecutan en equipos Mac

Es posible personalizar las opciones para los análisis definidos por el administrador(análisis programados y manuales) que se ejecutan en equipos Mac. Es posibletambién personalizar las opciones para Auto-Protect.


Tabla 12-2 Cómo personalizar los análisis antivirus y antispyware que seejecutan en equipos Mac

DescripciónTarea

Es posible personalizar la configuración deAuto-Protect para los clientes que se ejecutan enequipos Mac.

Ver "Acerca de los comandos que puede ejecutaren los equipos cliente"en la página199 en la página 199.

PersonalizarAuto-Protect

Es posible personalizar la configuración y lasnotificaciones comunes, así como la prioridad deanálisis.


Personalizar análisis definidos por eladministrador

197Personalización de análisisCómo personalizar los análisis antivirus y antispyware que se ejecutan en equipos Mac

Cómo personalizar Auto-Protect para los clientesWindows

Puede ser recomendable personalizar la configuración de Auto-Protect paraclientes Windows.

Ver "Cómo personalizar los análisis de virus y spyware que se ejecutan en equiposWindows" en la página 196.


Para configurar Auto-Protect para los clientes Windows


2 En Config.Windows, en Tecnologíadeprotección, haga clic en Auto-Protect.

3 En la ficha Detalles del análisis, seleccione o anule la selección de HabilitarAuto-Protect.

Nota: Si deshabilita Auto-Protect, Diagnóstico Insight de descargas no puedefuncionar incluso si se habilita.

4 En Análisis, en Tiposdearchivos, haga clic en una de las siguientes opciones:

■ Analizar todos los archivosEsta es la opción predeterminada y la más segura.

■ Analizar solo las extensiones seleccionadasEs posible mejorar el rendimiento del análisis seleccionando esta opción;sin embargo, es posible que disminuya la protección en su equipo.

5 En Opcionesadicionales, seleccione o anule la selección de Analizarenbuscade riesgos para la seguridad y Bloquear la instalación de riesgos para laseguridad.


7 En la ficha Acciones, configure las opciones.


Es posible también configurar las opciones de reparación para Auto-Protect.

Personalización de análisisCómo personalizar Auto-Protect para los clientes Windows

198

8 En la ficha Notificaciones, configure cualquiera de las opciones denotificación.

Ver "Cómo administrar las notificaciones de virus y spyware que aparecenen los equipos cliente" en la página 191.

9 Cuando haya terminado la configuración de esta política, haga clic en Aceptar.

Cómopersonalizar Auto-Protect para los clientesMacPuede ser recomendable personalizar la configuración de Auto-Protect para losclientes que se ejecutan en equipos Mac.

Ver "Cómo personalizar los análisis antivirus y antispyware que se ejecutan enequipos Mac" en la página 197.


Ver "Cómo administrar las notificaciones de virus y spyware que aparecen en losequipos cliente" en la página 191.

Para configurar Auto-Protect para el sistema de archivos para clientes Mac


2 En Config.Mac, en Tecnologíadeprotección, haga clic en Auto-Protectparael sistema de archivos.

3 En la parte superior de la ficha Detalles del análisis, haga clic en el icono debloqueo para bloquear o desbloquear toda la configuración.

4 Seleccionar o anular la selección de cualquiera de las siguientes opciones:

■ Habilitar Auto-Protect para el sistema de archivos

■ Reparar automáticamente los archivos infectados

■ Poner en cuarentena los archivos que no pueden ser reparados

■ Analizar archivos comprimidos

5 En Detallesdeanálisis generales, especifique los archivos que Auto-Protectanaliza.

Nota:Para excluir los archivos del análisis, es necesario seleccionar Analizartodas lasubicaciones, excepto las carpetas especificadas y, a continuación,agregar una política de excepciones para especificar los archivos que se debenexcluir.

Ver "Exclusión de un archivo o una carpeta de análisis" en la página 269.

199Personalización de análisisCómo personalizar Auto-Protect para los clientes Mac

6 En Detalles de análisis de disco montado, seleccione o anule la selección decualquiera de las opciones disponibles.

7 En la ficha Notificaciones, configure cualquiera de las opciones de notificacióny, a continuación, haga clic en Aceptar.

Cómo personalizar Auto-Protect para los análisis decorreo electrónico en los equipos Windows

Es posible personalizar Auto-Protect para los análisis de correo electrónico en losequipos Windows.



Para configurar Auto-Protect para correo electrónico de Internet


2 En Config. Windows, haga clic en una de las siguientes opciones:

■ Auto-Protect para correo electrónico de Internet

■ Auto-Protect para Microsoft Outlook

3 En la ficha Detalles del análisis, seleccione o anule la selección de HabilitarAuto-Protect para correo electrónico de Internet.

4 En Análisis, en Tiposdearchivos, haga clic en una de las siguientes opciones:

■ Analizar todos los archivosEsta es la opción predeterminada y la más segura.

■ Analizar solo las extensiones seleccionadasEs posible mejorar el rendimiento del análisis seleccionando esta opción;sin embargo, es posible que disminuya la protección en su equipo.

5 Active o desactive Analizar archivos incluidos en archivos comprimidos.

6 En la ficha Acciones, configure las opciones.


7 En la ficha Notificaciones, en Notificaciones, seleccione o anule la selecciónde Mostrar un mensaje de notificación en el equipo infectado. También esposible personalizar el mensaje.

Personalización de análisisCómo personalizar Auto-Protect para los análisis de correo electrónico en los equipos Windows

200

8 En Notificaciones por correo electrónico, seleccione o anule la selección decualquiera de las siguientes opciones:

■ Insertar un aviso en el mensaje de correo electrónico

■ Enviar correo electrónico al remitente

■ Enviar correo electrónico a otros

Es posible personalizar el texto del mensaje e incluir una advertencia. ParaAuto-Protect para correo electrónico de Internet, se debe además especificarel servidor de correo electrónico.

9 Para Auto-Protect para correo electrónico de Internet solamente, en la fichaAvanzado, en Conexiones cifradas, habilite o deshabilite las conexionesPOP3 o SMTP cifradas.

10 En Análisis heurístico de gusanos en correo masivo, seleccione o anule laselección de Análisis heurístico de gusanos en el correo saliente.


Cómo personalizar análisis definidos por eladministrador para los clientes que se ejecutan enequipos Windows

Puede ser recomendable personalizar los análisis programados o manuales paralos clientes que se ejecutan en equipos Windows. Es posible configurar las opcionespara los análisis de archivos comprimidos y optimizar el análisis para elrendimiento del equipo o el rendimiento del análisis.



Para personalizar un análisis definido por el administrador para los clientes quese ejecutan en equipos Windows


2 En Config. Windows, haga clic en Análisis definidos por el administrador.


■ En Análisis programados, seleccione el análisis programado que deseepersonalizar o cree un nuevo análisis programado.

■ En Análisis manual del administrador, haga clic en Editar.

201Personalización de análisisCómo personalizar análisis definidos por el administrador para los clientes que se ejecutan en equipos Windows

4 En la ficha Detallesdel análisis, seleccione Opcionesdeanálisis avanzadas.

5 En la ficha Archivos comprimidos, puede reducir el número de niveles paraanalizar archivos comprimidos. Si reduce el número de niveles, es posibleque mejore el rendimiento del equipo cliente.

6 En la ficha Ajuste, cambie el nivel de ajuste para obtener el mejor rendimientodel equipo cliente o el mejor rendimiento del análisis.


8 En la ficha Búsqueda de Insight, cambie la configuración para ajustar laforma en que Búsqueda de Insight maneja las detecciones de reputación. Laconfiguración es similar a la configuración de Diagnóstico Insight dedescargas.

9 Para análisis programados solamente, en la ficha Programación, configurecualquiera de las siguientes opciones:

■ Duración del análisisEs posible configurar cuánto tiempo el análisis se ejecuta antes de que seinterrumpa momentáneamente y espere hasta que el equipo cliente estéinactivo. Es posible también ordenar aleatoriamente la hora de inicio delanálisis.

■ Análisis programados no realizadosEs posible especificar un intervalo de reintento para los análisis norealizados.

10 En la ficha Acciones, cambie cualquier acción de detección.


11 En la ficha Notificaciones, habilite o deshabilite una notificación que apareceen los equipos cliente cuando el análisis hace una detección.

Ver "Cómo administrar las notificaciones de virus y spyware que aparecenen los equipos cliente" en la página 191.


Cómo personalizar análisis definidos por eladministrador para los clientes que se ejecutan enequipos Mac

Se personalizan los análisis programados y los análisis manuales por separado.Algunas de las opciones son diferentes.

Personalización de análisisCómo personalizar análisis definidos por el administrador para los clientes que se ejecutan en equipos Mac

202


Ver "Cómo configurar análisis programados que se ejecutan en equipos Mac"en la página 170.



Para personalizar un análisis programado que se ejecuta en equipos Mac


2 En Config. Mac, seleccione Análisis definidos por el administrador.

3 En Análisis programados, seleccione el análisis programado que deseepersonalizar o cree un nuevo análisis programado.

4 En la ficha Detallesdelanálisis, en Analizarunidadesycarpetas, seleccionelos elementos que desee analizar.

5 Establezca la prioridad del análisis.


Edite los detalles del análisis para cualquier otro análisis que se incluya enesta política.

7 En la ficha Notificaciones, habilite o deshabilite los mensajes de notificaciónsobre detecciones del análisis. La configuración se aplica a todos los análisisprogramados que se incluyen en esta política.

8 En la ficha Configuración común, configure cualquiera de las siguientesopciones:

■ Opciones de análisis

■ Acciones

■ Alertas

Estas opciones se aplican a todos los análisis programados que se incluyenen esta política.


Para personalizar los análisis manuales que se ejecutan en equipos Mac

1 En la página Política de protección antivirus y antispyware, en Configuraciónde Mac, seleccione Análisis definidos por el administrador.

2 En Análisis manual del administrador, haga clic en Editar.

203Personalización de análisisCómo personalizar análisis definidos por el administrador para los clientes que se ejecutan en equipos Mac

3 En la ficha Detallesdelanálisis, en Analizarunidadesycarpetas, seleccionelos elementos que desee analizar.

Es posible también especificar las acciones para las detecciones del análisisy habilitar o deshabilitar análisis de archivos comprimidos.

4 En la ficha Notificaciones, habilite o deshabilite las notificaciones para lasdetecciones. Es posible también especificar el mensaje que aparece.


Cómodistribuir aleatoriamente análisis paramejorarel rendimiento del equipo en entornos virtualizados

Es posible distribuir aleatoriamente análisis programados para mejorar elrendimiento en equipos cliente Windows. El cálculo aleatorio es importante enentornos virtualizados.

Por ejemplo, es posible que programe análisis para ejecutarse a las 8:00 p. m. Siselecciona un intervalo de tiempo de cuatro horas, los análisis en los equiposcliente se inician en un momento aleatorio entre las 8:00 p. m. y las 12:00 a. m.

Ver "Cómo ajustar el análisis para mejorar rendimiento del equipo" en la página 172.


Para distribuir aleatoriamente análisis

1 En la consola, abra una política de protección antivirus y antispyware, y hagaclic en Análisis definidos por el administrador.

2 Cree un nuevo análisis programado o seleccione un análisis programadoexistente para editar.

3 En el cuadro de diálogo Agregar análisis programado o Editar análisisprogramado, haga clic en la ficha Programación.

4 En Programación de análisis, seleccione cuántas veces el análisis debeejecutarse.

5 En Duracióndelanálisis, seleccione Analizardurante y seleccione el númerode horas. El número de horas controla el intervalo de tiempo durante el cualse ordenan aleatoriamente los análisis.

6 Asegúrese de que se habilite Calcular aleatoriamente la hora de inicio delanálisis dentro de este período (se recomienda para VM)

Personalización de análisisCómo distribuir aleatoriamente análisis para mejorar el rendimiento del equipo en entornos virtualizados

204


8 Asegúrese de que se aplique la política al grupo que incluye los equipos queejecutan las máquinas virtuales.

Modificación de la configuración de análisis globalpara clientes Windows

Es posible personalizar la configuración global para los análisis que se ejecutanen los equipos cliente Windows. Puede ser recomendable modificar estas opcionespara aumentar la seguridad en sus equipos cliente.

Nota:Si aumenta la protección en sus equipos cliente modificando estas opciones,es posible que afecte el rendimiento del equipo cliente.



Para modificar la configuración de análisis global para clientes Windows


2 En Config. Windows, haga clic en Opciones de análisis global.

3 Configure cualquiera de las siguientes opciones:

Insight permite que los análisis omitan losarchivos de confianza. El análisis puede omitirlos archivos que Symantec considera de confianza(más seguro) o que la comunidad considera deconfianza (menos seguro).

Insight

Bloodhound aísla y localiza las regiones lógicasde un archivo para detectar un alto porcentaje devirus desconocidos. Bloodhound analiza entoncesla lógica de programa en busca decomportamientos correspondientes a virus. Esposible especificar la sensibilidad de la detección.

Bloodhound


205Personalización de análisisModificación de la configuración de análisis global para clientes Windows

Cómo personalizar la configuración de DiagnósticoInsight de descargas

Es posible que desee personalizar la configuración de Diagnóstico Insight dedescargas para disminuir detecciones de falsos positivos en equipos cliente. Esposible cambiar el nivel de susceptibilidad del Diagnóstico Insight de descargasde los datos de reputación del archivo que usa para caracterizar los archivosmaliciosos. Es posible también cambiar las notificaciones que Diagnóstico Insightde descargas muestra en los equipos cliente cuando realiza una detección.



Para personalizar la configuración de Diagnóstico Insight de descargas

1 En la consola, abra una política de protección antivirus y antispyware, yseleccione Protección de descargas.

2 En la ficha Diagnóstico Insight de descargas, asegúrese de que HabilitarDiagnóstico Insight de descargas para detectar riesgos en archivosdescargados según reputación esté seleccionado.

Si se deshabilita Auto-Protect, Diagnóstico Insight de descargas no puedefuncionar incluso si se habilita.

3 Mueva el control deslizante para determinar la susceptibilidad maliciosa delarchivo hasta el nivel apropiado.

Si configura el nivel más alto, Diagnóstico Insight de descargas detecta másarchivos como maliciosos y menos archivos como sin probar. La configuraciónmás alta, sin embargo, devuelve más falsos positivos.

4 Seleccione o anule la selección de las siguientes opciones para usarlas comocriterios adicionales para examinar archivos sin probar:

■ Archivos con menos de x usuarios

■ Archivos conocidos por los usuarios por tener menos de x días

Cuando los archivos sin probar cumplen con este criterio, el DiagnósticoInsight de descargas detecta los archivos como maliciosos.

5 Asegúrese de que Confiarautomáticamenteencualquierarchivodescargadode un sitio web de intranet esté marcado.

6 En la ficha Acciones, en Archivosmaliciosos, especifique una primera accióny una segunda acción.

Personalización de análisisCómo personalizar la configuración de Diagnóstico Insight de descargas

206

7 En Archivos sin comprobar, especifique la acción.

8 En la ficha Notificaciones, puede especificar si desea mostrar un mensaje enlos equipos cliente cuando Diagnóstico Insight de descargas realiza unadetección.

Es posible también personalizar el texto de un mensaje de advertencia queaparece cuando un usuario habilita un archivo que detecta el DiagnósticoInsight de descargas.


Cómo cambiar la acción que Symantec EndpointProtection Small Business Edition toma cuandorealiza una detección

Es posible configurar la acción o las acciones que los análisis deben tomar cuandorealizan una detección. Cada análisis tiene su propio conjunto de acciones, comoLimpiar, Cuarentena, Eliminar o No hacer nada (registrar).

En los clientes de Windows, cada categoría de detección se puede configurar conuna primera acción y una segunda acción en caso de que la primera acción no seaposible.





Ver "Cómo comprobar la acción de análisis y volver a analizar los equiposidentificados" en la página 146.


De forma predeterminada, Symantec Endpoint Protection Small Business Editionintenta limpiar un archivo infectado por un virus. Si Symantec Endpoint ProtectionSmall Business Edition no puede limpiar un archivo, realiza las acciones siguientes:

■ Mueve el archivo a Cuarentena en el equipo infectado y deniega cualquieracceso al archivo.

■ Registra el evento.

207Personalización de análisisCómo cambiar la acción que Symantec Endpoint Protection Small Business Edition toma cuando realiza una detección

De forma predeterminada, Symantec Endpoint Protection Small Business Editionmueve cualquier archivo que infecta riesgos para la seguridad a Cuarentena.

Si configura la acción de registro solamente, de forma predeterminada si losusuarios crean o guardan archivos infectados, Symantec Endpoint ProtectionSmall Business Edition los elimina.

En los equipos Windows, puede también configurar acciones de reparación paraanálisis de administrador, análisis manuales y análisis de Auto-Protect del sistemade archivos.

Puede bloquear acciones de modo que los usuarios no puedan modificar la acciónen los equipos cliente que utilizan esta política.

Advertencia:Para riesgos para la seguridad, use la acción Eliminar con precaución.En algunos casos, la eliminación de riesgos para la seguridad provoca la pérdidade funcionalidad de algunas aplicaciones. Si configura el cliente para eliminar losarchivos afectados por los riesgos para la seguridad, no puede restaurar losarchivos.

Para hacer una copia de seguridad de los archivos que afectan los riesgos para laseguridad, use la acción Cuarentena.

Para especificar la acción queSymantec Endpoint Protection Small Business Editiontoma cuando realiza una detección en equipos Windows

1 En la consola, abra una política de protección antivirus y antispyware, ydespués seleccione el análisis (cualquier análisis de Auto-Protect, análisis deadministrador o análisis manual).

2 En la ficha Acciones, en Detección, seleccione un tipo de software maliciosoo riesgo para la seguridad.

De forma predeterminada, cada subcategoría se configura de forma automáticapara usar las acciones que se configuran para la categoría entera.

Nota: Las categorías cambian dinámicamente a lo largo del tiempo a medidaque Symantec obtiene nueva información sobre los riesgos.

3 Para configurar las acciones para una subcategoría solamente, realice unade las siguientes acciones:

■ Seleccione Anular acciones configuradas para software malicioso y acontinuación configure las acciones para esa subcategoría solamente.

Personalización de análisisCómo cambiar la acción que Symantec Endpoint Protection Small Business Edition toma cuando realiza una detección

208

Nota: Pudo haber una única subcategoría en una categoría, dependiendode cómo Symantec clasifique actualmente los riesgos. Por ejemplo, enSoftware malicioso, pudo haber una única subcategoría llamada Virus.

■ Seleccione Anular acciones configuradas para riesgos de seguridad y acontinuación configure las acciones para esa subcategoría solamente.

4 En Acciones para, seleccione la primera y la segunda acción que el softwarede cliente toma cuando detecta esa categoría de virus o riesgo para laseguridad.

Para riesgos para la seguridad, use la acción Eliminar con precaución. Enalgunos casos, la eliminación de riesgos para la seguridad provoca la pérdidade funcionalidad de algunas aplicaciones.

5 Repita estos paso para cada categoría a la que desee asignar acciones (virusy riesgos para la seguridad).

6 Cuando termine de configurar esta política, haga clic en Aceptar.

Para especificar la acción queSymantec Endpoint Protection Small Business Editiontoma cuando realiza una detección en equipos Mac

1 En la política de protección antivirus y antispyware, en Configuración deMac, seleccione Análisis definidos por el administrador.


■ Para análisis programados, seleccione la ficha Configuración común.

■ Para análisis manuales, en la ficha Análisis, en Análisis manual deladministrador, haga clic en Editar.

3 En Acciones, marque cualquiera de las siguientes opciones:

■ Reparar automáticamente los archivos infectados

■ Poner en cuarentena los archivos que no pueden ser reparados

4 Para análisis manuales, haga clic en Aceptar.

5 Cuando termine de configurar esta política, haga clic en Aceptar.

Permitir que los usuarios vean el progreso del análisisy que interaccionen con los análisis

Es posible configurar si el cuadro de diálogo de los resultados del análisis apareceen los equipos cliente. Si permite que el cuadro de diálogo aparezca en los equipos

209Personalización de análisisPermitir que los usuarios vean el progreso del análisis y que interaccionen con los análisis

cliente, siempre se permite a los usuarios interrumpir momentáneamente oretrasar un análisis definido por el administrador.

Cuando se permite que los usuarios vean el progreso del análisis, un vínculoaparece en las páginas principales de la UI del cliente para mostrar el progresodel análisis para el análisis que actualmente se ejecuta. Un vínculo parareprogramar el análisis programado siguiente también aparece.

Cuando se permite que los usuarios vean el progreso del análisis, las siguientesopciones aparecen en las páginas principales de la UI del cliente:

■ Cuando un análisis se ejecuta, el vínculo del mensaje análisisencurso aparece.El usuario puede hacer clic en el vínculo para mostrar el progreso del análisis.

■ Un vínculo para reprogramar el análisis programado siguiente también aparece.


Es posible permitir que los usuarios detengan un análisis por completo. Es posibletambién configurar las opciones sobre cómo los usuarios podrán interrumpir oretrasar los análisis.

Es posible permitir que el usuario realice las siguientes acciones de análisis:

Cuando un usuario interrumpe el análisis, el cuadro de diálogo deresultados del análisis permanece abierto, en espera de que el usuarioreanude o cancele el análisis. Si se apaga el equipo, el análisisinterrumpido no continuará.

Interrumpir

Cuando un usuario pospone un análisis programado, el usuario tienela opción de posponer el análisis por una o por tres horas. Es posibleconfigurar la cantidad de veces que puede posponerlo. Cuando sepospone un análisis, el cuadro de diálogo de resultados se cierra;reaparece cuando finaliza el período de aplazamiento y se reanuda elanálisis.

Posponer

Cuando un usuario detiene un análisis, este generalmente se detienede inmediato. Si un usuario detiene un análisis mientras el softwarede cliente analiza un archivo comprimido, el análisis no se detieneinmediatamente. En ese caso, la detención se produce al finalizar elanálisis del archivo comprimido. Los análisis que se hayan detenidono se reanudarán.

Stop

Los análisis interrumpidos se reanudan automáticamente una vez que transcurreel intervalo de tiempo especificado.

Es posible hacer clic en Ayuda para obtener más información sobre las opcionesque se utilizan en este procedimiento.

Personalización de análisisPermitir que los usuarios vean el progreso del análisis y que interaccionen con los análisis

210

Para configurar opciones de progreso del análisis para los análisis definidos por eladministrador

1 En la consola, abra una política de protección antivirus y antispyware, y hagaclic en Análisis definidos por el administrador.

2 En la ficha Avanzadas, en Opciones de progreso de análisis, haga clic enMostrar el progreso del análisis o Mostrar el progreso del análisis si sedetecta un riesgo.

3 Para cerrar automáticamente el indicador de progreso del análisis despuésde que el análisis termine, marque Cerrar laventanadeprogresodelanálisisal finalizar.

4 Marque la opción Permitir al usuario detener el análisis.

5 Haga clic en Opciones para interrumpir.

6 En el cuadro de diálogo Opciones de pausa del análisis, realice una de lassiguientes acciones:

■ Para limitar el tiempo durante el que un usuario puede interrumpir unanálisis, marque Limitar el tiempo durante el que puede interrumpirseel análisis y escriba una cantidad de minutos. El intervalo es de 3 a 180.

■ Para limitar el número de veces que un usuario puede retrasar (o posponer)un análisis, en el cuadro Cantidad máxima de oportunidades paraposponer, escriba un número entre 1 y 8.

■ De forma predeterminada, el usuario puede posponer un análisis duranteuna hora. Para modificar este límite a 3 horas, marque Permitir a losusuarios posponer el análisis durante 3 horas.


211Personalización de análisisPermitir que los usuarios vean el progreso del análisis y que interaccionen con los análisis

Personalización de análisisPermitir que los usuarios vean el progreso del análisis y que interaccionen con los análisis

212

Administración de SONAR


■ Acerca de SONAR

■ Acerca de los archivos y las aplicaciones que SONAR detecta

■ Cómo administrar SONAR

■ Supervisión de los resultados de la detección de SONAR para comprobar laexistencia de falsos positivos

■ Cómo habilitar o deshabilitar SONAR

Acerca de SONARSONAR es una protección en tiempo real que detecta aplicaciones potencialmentemaliciosas cuando se ejecutan en sus equipos. SONAR proporciona protección de“día cero” porque detecta amenazas antes que las definiciones de detección devirus y spyware tradicionales que se han creado para enfrentar las amenazas.

SONAR usa la heurística así como los datos de reputación para detectar amenazasemergentes y desconocidas. SONAR proporciona un nivel adicional de protecciónen sus equipos cliente y complementa la protección antivirus y antispyware, laprevención de intrusiones y la protección mediante firewalls existentes.

Los clientes de una versión anterior no admiten SONAR. Sin embargo, los clientesde una versión anterior usan análisis de amenazas proactivos de TruScan paraproporcionar protección contra amenazas de día cero. Los análisis de amenazasproactivos de TruScan se ejecutan periódicamente en lugar de en tiempo real.

Nota:Auto-Protect también utiliza un tipo de heurística llamada Bloodhound paradetectar comportamientos sospechosos en archivos.

13Capítulo


Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la página 214.

Acerca de los archivos y las aplicaciones que SONARdetecta

SONAR usa un sistema de heurística que aprovecha la red de inteligencia en líneade Symantec con supervisión local proactiva en sus equipos cliente para detectaramenazas emergentes. SONAR además detecta cambios o comportamiento en susequipos cliente que se deban supervisar.

SONAR no hace detecciones sobre tipo de aplicación, sino sobre cómo un procesose comporta. SONAR actúa en una aplicación solamente si esa aplicación secomporta de forma maliciosa, sin importar su tipo. Por ejemplo, si un troyano oun registrador de pulsaciones no actúa de manera maliciosa, SONAR no lo detecta.

SONAR detecta los elementos siguientes:

SONAR usa la heurística para determinar si unarchivo desconocido se comporta de formasospechosa y puede ser de alto riesgo o de bajoriesgo. Además usa datos de reputación paradeterminar si la amenaza es de alto riesgo o debajo riesgo.

Amenazas heurísticas

SONAR detecta las aplicaciones o los archivos queintentan modificar la configuración de DNS o unarchivo de host en un equipo cliente.

Cambios en el sistema

Algunos archivos buenos de confianza puedenestar asociados a comportamiento sospechoso.SONAR detecta estos archivos como eventos decomportamiento sospechoso. Por ejemplo, undocumento bien conocido que comparte laaplicación puede crear archivos ejecutables.

Aplicaciones de confianza que exhibenmal comportamiento

Si deshabilita Auto-Protect, se limita la capacidad de SONAR de hacer deteccionesde archivos de alto y de bajo riesgo. Si deshabilita las operaciones de búsqueda deInsight, además, limita la funcionalidad de la detección de SONAR.


Administración de SONARAcerca de los archivos y las aplicaciones que SONAR detecta

214

Cómo administrar SONARSONAR es parte de la Protección proactiva contra amenazas en sus equipos cliente.Se administra la configuración de SONAR como parte de una política de protecciónantivirus y antispyware.

Se establece la configuración de SONAR para los clientes que ejecutan SymantecEndpoint Protection Small Business Edition versión 12.1. La configuración deSONAR además incluye la configuración del análisis de amenazas proactivoTruScan para clientes de una versión anterior. Muchas de las opciones deconfiguración pueden ser bloqueadas de modo que los usuarios en los equiposcliente no puedan modificar la configuración.

Tabla 13-1 Cómo administrar SONAR

DescripciónTarea

Aprenda cómo SONAR detecta amenazasdesconocidas. Información sobre cómo lostrabajos de SONAR pueden ayudarle a tomardecisiones acerca del uso de SONAR en su red deseguridad.


Ver "Acerca de los archivos y las aplicaciones queSONAR detecta" en la página 214.

Aprender cómo SONAR funciona

Para proporcionar la protección más completapara sus equipos cliente es necesario habilitarSONAR. SONAR interopera con algunas otrasfunciones de Symantec Endpoint Protection SmallBusiness Edition. SONAR necesita Auto-Protect.

Es posible usar la ficha Equipos para comprobarsi la Protección proactiva contra amenazas estáhabilitada en sus equipos cliente.

Nota: Los clientes de una versión anterior noinforman el estado de la Protección proactivacontra amenazas a Symantec Endpoint ProtectionManager.

Ver "Cómo habilitar o deshabilitar SONAR"en la página 218.

Comprobar que SONAR esté habilitado

215Administración de SONARCómo administrar SONAR

DescripciónTarea

La configuración de SONAR es parte de unapolítica de protección antivirus y antispyware.

Ver "Acerca de la configuración predeterminadade análisis de la política de protección antivirusy antispyware" en la página 164.

Comprobar la configuraciónpredeterminada para SONAR

SONAR usa datos de reputación además de laheurística para hacer detecciones. Si deshabilitalas Búsquedas de Insight, SONAR hace deteccionesusando la heurística solamente. El índice de falsospositivos puede aumentar y la protección queSONAR proporciona se limita.

Se habilitan o se deshabilitan las Búsquedas deInsight en el cuadro de diálogo Envíos.


Asegúrese de que las Búsquedas deInsight estén habilitadas

Es posible usar el registro de SONAR parasupervisar eventos.

Es posible también ver el informe Resultados dedetección de SONAR (en Informes de riesgos) paraver la información sobre detecciones.

Ver "Supervisión de los resultados de la detecciónde SONAR para comprobar la existencia de falsospositivos" en la página 217.

Ver "Supervisión de protección de endpoints"en la página 287.

Supervise eventos de SONAR paracomprobar la existencia de deteccionesde falsos positivos

SONAR puede detectar los archivos o lasaplicaciones que desea ejecutar en sus equiposcliente. Es posible usar una política de excepcionespara especificar las excepciones para las carpetaso las aplicaciones específicas que desee permitir.Para los elementos que SONAR pone encuarentena, se puede crear una excepción para elelemento en cuarentena desde el registro deSONAR.

Ver "Cómo administrar las excepciones paraSymantec Endpoint Protection Small BusinessEdition" en la página 263.

Evitar que SONAR detecte lasaplicaciones que se sabe que sonseguras

Administración de SONARCómo administrar SONAR

216

DescripciónTarea

Symantec recomienda que se habiliten envíos ensus equipos cliente. La información que losclientes envían sobre detecciones ayuda aSymantec a enfrentar las amenazas. Lainformación ayuda a Symantec a crear una mejorheurística, que da lugar a menos detecciones defalsos positivos.


Permitir que los clientes envíeninformación sobre detecciones deSONAR a Symantec

Supervisión de los resultados de la detección deSONAR para comprobar la existencia de falsospositivos

El cliente recopila y carga resultados de la detección de SONAR al servidor deadministración. Los resultados se guardan en el Registro de SONAR. Los clientesde una versión anterior no admiten SONAR. Los clientes de una versión anteriorrecopilan eventos similares de los Análisis de amenazas proactivos TruScan, sinembargo y los incluyen en el Registro de SONAR.

Para determinar qué procesos son legítimos y cuáles son los riesgos para laseguridad, consulte las columnas siguientes en el registro:

El tipo de evento y la acción que el cliente ha realizado en el proceso,tal como la limpieza de él o el registro. Busque los tipos de eventosiguientes:

■ Un proceso legítimo posible se detalla como evento de Riesgopotencial detectado.

■ Un riesgo para la seguridad probable se detalla como evento deRiesgo para la seguridad encontrado.

Evento

El nombre del proceso.Aplicación

El tipo de software malicioso que SONAR o un Análisis de amenazasproactivo TruScan detectó.

Tipo de aplicación

El nombre de ruta de donde el proceso fue iniciado.Archivo/Ruta

La columna Evento le dice de forma inmediata si un proceso detectado es un riesgopara la seguridad o un proceso legítimo posible. Sin embargo, un riesgo potencial

217Administración de SONARSupervisión de los resultados de la detección de SONAR para comprobar la existencia de falsos positivos

que se encuentra puede o no puede ser un proceso legítimo y un riesgo para laseguridad que se encuentra puede o no puede ser un proceso malicioso. Por lotanto, es necesario consultar las columnas Tipo de aplicación y Archivo/Rutapara obtener más información. Por ejemplo, es posible que reconozca el nombrede aplicación de una aplicación legítima que una compañía de otro fabricante hadesarrollado.

Ver "Crear excepciones de eventos de registro en Symantec Endpoint ProtectionManager" en la página 275.

Para supervisar los eventos de SONAR

1 En la consola, haga clic en Supervisión > Registros.

2 En la ficha Registros, en la lista desplegable Tipo de registro, haga clic enSONAR.

3 Seleccione un tiempo del cuadro de lista Intervalo de tiempo más cercano ala última vez que se cambió una configuración de análisis.

4 Haga clic en Opciones avanzadas.

5 En la lista desplegable Tipo de evento, seleccione una de las siguientesopciones de eventos de registro:

■ Para ver todos los procesos detectados, asegúrese de que Todos seseleccione.

■ Para ver los procesos que se han evaluado como riesgos para la seguridad,haga clic en Riesgo para la seguridad encontrado.

■ Para ver los procesos que se han evaluado y se han registrado como riesgospotenciales, haga clic en Riesgo potencial detectado.

6 Haga clic en Ver registro.

7 Una vez que se identifican las aplicaciones legítimas y los riesgos para laseguridad, cree una excepción para ellas en una política de excepciones.

Es posible crear la excepción directamente desde el panel Registros de SONAR.

Cómo habilitar o deshabilitar SONARCuando habilita o deshabilita SONAR, puede habilitar o deshabilitar análisis deamenazas proactivos de TruScan para clientes de una versión anterior.


Administración de SONARCómo habilitar o deshabilitar SONAR

218

Para habilitar o deshabilitar SONAR

1 En la Política de protección antivirus y antispyware, haga clic en SONAR.

2 En la ficha ConfiguracióndeSONAR, marque o desmarque HabilitarSONAR.


219Administración de SONARCómo habilitar o deshabilitar SONAR

Administración de SONARCómo habilitar o deshabilitar SONAR

220

Administración deprotección contraintervenciones


■ Acerca de la Protección contra intervenciones

■ Cómo cambiar la configuración de Protección contra intervenciones

Acerca de la Protección contra intervencionesLa Protección contra intervenciones ofrece protección en tiempo real para lasaplicaciones de Symantec que se ejecutan en servidores y clientes. Evita que losprocesos que no pertenecen a Symantec, tales como gusanos, troyanos, virus yriesgos para la seguridad, afecten a los recursos de Symantec. Es posible configurarel software para bloquear o registrar intentos de modificar los recursos deSymantec.

Nota:Protección contra intervenciones se ejecuta en clientes Windows solamente.No se ejecuta en clientes Mac.

Los analizadores de riesgos para la seguridad de otros fabricantes, que detectanaplicaciones de publicidad no deseada y spyware, y que actúan como defensacontra estos, por lo general, afectan los recursos de Symantec. Si la Proteccióncontra intervenciones está activada cuando se ejecuta un analizador, la Proteccióncontra intervenciones genera una gran cantidad de notificaciones y de entradasde registro. Para un mejor funcionamiento de la Protección contra intervenciones,

14Capítulo

se recomienda siempre dejarla activada. Use el filtrado del registro si el númerode los eventos que Protección contra intervenciones genera es demasiado grande.

Es posible desactivar las notificaciones de Protección contra intervenciones enlos equipos cliente. Es posible también crear las excepciones para las aplicacionesque Protección contra intervenciones detecta.

Ver "Cómo crear una excepción de Protección contra intervenciones"en la página 274.

Cuando un cliente se instala como cliente administrado, la Protección contraintervenciones tiene los siguientes valores predeterminados:

■ Se activa Protección contra intervenciones.

■ La acción que toma la Protección contra intervenciones cuando detecta unintento de intervención es solo registrar el evento.

■ Protección contra intervenciones no notifica al usuario cuando detecta unintento de intervención.

Nota:Cuando las notificaciones están habilitadas para los intentos de intervención,las notificaciones sobre recursos de Windows se envían a los equipos afectados,así como las notificaciones sobre recursos de Symantec.

Ver "Cómo cambiar la configuración de Protección contra intervenciones"en la página 222.

Cuando un cliente se instala como cliente no administrado, la Protección contraintervenciones tiene los siguientes valores predeterminados:

■ Se activa Protección contra intervenciones.

■ La acción que toma la Protección contra intervenciones cuando detecta unintento de intervención es bloquear el intento y registrar el evento.

■ Protección contra intervenciones notifica al usuario cuando detecta un intentode intervención.

Cómo cambiar la configuración de Protección contraintervenciones

Es posible activar y desactivar Protección contra intervenciones y configurar lasmedidas que toma cuando detecta un intento de intervención. Es posible ademásconfigurarla para que notifique a los usuarios cuando detecta un intento deintervención.

Administración de protección contra intervencionesCómo cambiar la configuración de Protección contra intervenciones

222

La configuración de Protección contra intervenciones se configura globalmentepara un grupo seleccionado.

Las prácticas recomendadas cuando se utiliza inicialmente Symantec EndpointProtection Small Business Edition consisten en utilizar la acción Registrar elevento solamente al supervisar los registros una vez por semana. Cuando estéseguro de que no ve ningún falso positivo, configure Protección contraintervenciones en Bloquear y registrar el evento.

Ver "Acerca de la Protección contra intervenciones" en la página 221.

Es posible configurar un mensaje que aparecerá en los clientes cuando SymantecEndpoint Protection Small Business Edition detecte un intento de intervención.De forma predeterminada, los mensajes de notificación aparecen cuando elsoftware detecta un intento de intervención.

El mensaje que se crea puede contener una mezcla de texto y variables. Lasvariables se rellenan con los valores que identifican las características del ataque.Si utiliza una variable, debe escribirla exactamente como aparece.

Para cambiar la configuración de Protección contra intervenciones


2 En la ficha Políticas, en Otraconfiguracióndepolíticas, al lado de Proteccióncontra intervenciones y envíos, haga clic en Editar configuración.

3 En la ficha Proteccióncontraintervenciones, seleccione o anule la selecciónde Proteger el software de seguridad de Symantec contra intervenciones ointentos de cierre.

4 En el cuadro de lista en Acciones que se efectuarán en caso de que unaaplicaciónintenteintervenirocerrarelsoftwaredeseguridaddeSymantec,seleccione una de las siguientes opciones:

■ Bloquear y registrar el evento

■ Registrar el evento solamente

5 Seleccione o anule la selección de Mostrar un mensaje de notificación aldetectar una intervención.

6 Haga clic en el icono de bloqueo al lado de las opciones que no desea que losusuarios cambien.


223Administración de protección contra intervencionesCómo cambiar la configuración de Protección contra intervenciones

Administración de protección contra intervencionesCómo cambiar la configuración de Protección contra intervenciones

224

Administración deprotección mediantefirewall


■ Cómo administrar la protección mediante firewall

■ Creación de políticas de firewall

■ Acerca de las reglas de firewall

■ Cómo configurar reglas de firewall

Cómo administrar la protección mediante firewallEl firewall permite el tráfico de red entrante y el tráfico de red saliente que seespecifican en políticas de firewall. La política de firewall de Symantec EndpointProtection Small Business Edition contiene reglas y la configuración de laprotección, que se pueden habilitar o deshabilitar y configurar.

La Tabla 15-1 describe las maneras en que puede administrar su protecciónmediante firewall. Todas estas tareas son opcionales.

15Capítulo

Tabla 15-1 Administre la protección mediante firewall

DescripciónTarea

Antes de que configure su protección mediante firewall, es necesarioconocer más sobre el firewall.

Ver "Cómo funciona un firewall" en la página 226.

Ver "Acerca del firewall de Symantec Endpoint Protection"en la página 227.

Consulte sobrela protecciónmediantefirewall

Symantec Endpoint Protection Small Business Edition se instala conpolíticas de firewall predeterminadas. Es posible modificar la políticapredeterminada o crear una nueva.

Es necesario crear una política primero antes de configurar reglas defirewall y la configuración de la protección mediante firewall para esapolítica.

Ver "Creación de políticas de firewall" en la página 229.

Ver "Cómo habilitar y deshabilitar una política de firewall"en la página 231.

Cree políticas defirewall

Las reglas de firewall son los componentes de políticas que controlancómo el firewall protege los equipos cliente contra ataques maliciosos.

Las políticas de firewall predeterminadas contienen reglas de firewallpredeterminadas. Y cuando se crea una nueva política, SymantecEndpoint Protection Small Business Edition proporciona reglas de firewallpredeterminadas. Sin embargo, se pueden modificar las reglaspredeterminadas o crear nuevas.

Ver "Acerca de las reglas de firewall" en la página 232.

Ver "Cómo configurar reglas de firewall" en la página 240.

Cree ypersonalice lasreglas defirewall

Supervise regularmente el estado de la protección mediante firewall ensus equipos.


Supervisarprotección defirewall


Consulte el artículo de la base de conocimientos White paper de las prácticasrecomendadas y descripción general del firewall de Protección contra amenazasde red.

Cómo funciona un firewallUn firewall hace todas las tareas siguientes:

Administración de protección mediante firewallCómo administrar la protección mediante firewall

226

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=wp_bp_ntp



■ Evita que cualquier usuario no autorizado acceda a los equipos y las redes ensu organización que se conectan a Internet.

■ Supervisa la comunicación entre sus equipos y otros equipos en Internet.

■ Crea un escudo que permite o bloquea intentos de acceder a la información ensus equipos.

■ Le advierte de intentos de conexión de otros equipos

■ Le advierte de intentos de conexión mediante las aplicaciones en su equipoque se conectan a otros equipos.

El firewall revisa los paquetes de datos que se transmiten por Internet. Un paquetees un pequeño conjunto de datos que son parte del flujo de información entre dosequipos. Los paquetes se vuelven a montar en su destino para aparecer como flujode datos intacto.

Los paquetes contienen información sobre lo siguiente:

■ Envío de los equipos

■ Destinatarios previstos

■ Cómo se procesan los datos de paquete

■ Puertos que reciben los paquetes

Los puertos son los canales que dividen el flujo de datos que viene de Internet.Las aplicaciones que se ejecutan en un equipo y escuchan los puertos. Lasaplicaciones aceptan los datos que se envían a los puertos.

Los ataques de red aprovechan los puntos vulnerables de aplicaciones vulnerables.Los atacantes usan estas debilidades para enviar paquetes que contienen códigode programación malicioso a los puertos. Cuando las aplicaciones vulnerablesescuchan los puertos, el código malicioso permite a los atacantes acceder al equipo.

Ver "Acerca del firewall de Symantec Endpoint Protection" en la página 227.


Acerca del firewall de Symantec Endpoint ProtectionEl firewall de Symantec Endpoint Protection Small Business Edition usa políticasy reglas de firewall para permitir o bloquear el tráfico de red. Symantec EndpointProtection Small Business Edition incluye una política de firewall predeterminadacon las reglas de firewall predeterminadas para el entorno de oficina. El entornode la oficina está normalmente bajo protección de firewalls, de filtros de paquetede límites o de servidores antivirus corporativos. Por lo tanto, es normalmentemás seguro que la mayoría de los ambientes familiares, donde la protecciónreducida del límite está disponible.

227Administración de protección mediante firewallCómo administrar la protección mediante firewall

Las reglas de firewall controlan el modo en que el cliente protege el equipo clientede tráfico entrante y saliente malicioso. El firewall comprueba automáticamentetodos los paquetes entrantes y salientes con estas reglas. A continuación, el firewallpermite o bloquea los paquetes que se basan en la información que se especificaen las reglas. Cuando un equipo intenta conectarse a otro equipo, el firewallcompara el tipo de conexión con su lista de reglas de firewall. El firewall ademásusa la inspección de estado de todo el tráfico de red.

Cuando se instala la consola por primera vez, se agrega una política de firewallpredeterminada a cada grupo automáticamente.

Usted determina el nivel de interacción que desea que los usuarios tengan con elcliente permitiendo o bloqueando su capacidad de configurar reglas de firewall.Los usuarios pueden interaccionar con el cliente solamente cuando recibennotificaciones de nuevas conexiones de red y de posibles problemas. O puedentener acceso total a la interfaz de usuario.

Es posible habilitar o deshabilitar la protección mediante firewall según lasnecesidades.

La Tabla 15-2 describe cómo aumentar la protección mediante firewall ajustandoel nivel de seguridad y modificando las reglas de firewall.

Tabla 15-2 Ajustes de la protección mediante firewall


Cambiar la opción predeterminada a personalizada permitemodificar las reglas de firewall y modificar el nivel de seguridadconforme a las siguientes opciones:

■ Bajo

El nivel de seguridad bajo permite todo el tráfico IP entrantey saliente. Bajo es el nivel de seguridad predeterminado.

■ Medio

El nivel de seguridad medio impone el nivel de seguridad bajo.Además, bloquea tráfico TCP entrante y el tráfico entrante deestado UDP.

■ Alto

El nivel de seguridad elevada bloquea todo el tráfico IP entrantey saliente.

Opciónpredeterminada opersonalizada

Administración de protección mediante firewallCómo administrar la protección mediante firewall

228


Es posible modificar las reglas de firewall predeterminadas o crearnuevas reglas.

Las políticas de firewall se crean y se editan de forma similar aotros tipos de políticas. Puede asignar, quitar, reemplazar, copiar,exportar, importar o eliminar políticas de firewall.

Se asigna típicamente una política a varios grupos de su red deseguridad.

Reglas de firewall



Ver "Cómo el firewall usa la inspección de estado" en la página 234.


Creación de políticas de firewallSymantec Endpoint Protection Small Business Edition incluye una política defirewall predeterminada con las reglas de firewall predeterminadas para el entornode oficina. El entorno de la oficina está normalmente bajo protección de firewalls,de filtros de paquete de límites o de servidores antivirus corporativos. Por lo tanto,es normalmente más seguro que la mayoría de los ambientes familiares, donde laprotección reducida del límite está disponible.

Cuando se instala la consola por primera vez, se agrega una política de firewallpredeterminada a cada grupo automáticamente.

Cuando habilita la protección mediante firewall, la política permite todo el tráficode red entrante basado en IP y todo el tráfico de red saliente basado en IP, con lasexcepciones siguientes:

■ La protección predeterminada mediante firewall bloquea el tráfico IPv6entrante y saliente con todos los sistemas remotos.

Nota: IPv6 es un protocolo de capa de red que se usa en Internet. Si instala elcliente en los equipos que ejecutan Microsoft Vista, la lista Reglas incluyevarias reglas predeterminadas que bloquean el tipo de protocolo Ethernet IPv6.Si quita las reglas predeterminadas, deberá crear una regla que bloquee IPv6.

■ La protección predeterminada mediante firewall restringe las conexionesentrantes para algunos protocolos que suelen utilizarse en los ataques (porejemplo, el uso compartido de Windows).

229Administración de protección mediante firewallCreación de políticas de firewall

Las conexiones de red internas se permiten y las redes externas se bloquean.

La Tabla 15-3 describe las tareas que se pueden realizar para configurar una nuevapolítica de firewall. Es necesario agregar políticas de firewall primero, pero después,las tareas restantes son opcionales y puede completarlas en cualquier orden.

Tabla 15-3 Cómo crear una política de firewall

DescripciónTarea

Cuando cree una nueva política, otórguele un nombre y unadescripción. Además especifique los grupos a los que se aplicala política.

Una política de firewall se habilita automáticamente cuandousted la crea. Pero se puede deshabilitar si lo necesita.

Ver "Cómo habilitar y deshabilitar una política de firewall"en la página 231.

Agregar una política defirewall

Las reglas de firewall son los componentes de las políticas quecontrolan cómo el firewall protege equipos cliente deaplicaciones y tráfico entrante maliciosos. El firewall compruebaautomáticamente todos los paquetes entrantes y salientes encomparación con estas reglas. Permite o bloquea los paquetessegún la información que fue especificada en las reglas. Esposible modificar las reglas predeterminadas, crear nuevas reglaso deshabilitar las reglas predeterminadas.

Cuando crea una nueva política de firewall, Symantec EndpointProtection Small Business Edition proporciona reglas de firewallpredeterminadas.

Las reglas de firewall predeterminadas están habilitadas deforma predeterminada.


Crear reglas de firewall

Es posible especificar el nivel de seguridad de las reglas defirewall. El nivel de seguridad determina con qué rigurosidadlas reglas de firewall se aplican.

Ver "Ajuste del nivel de seguridad del firewall" en la página 231.

Ajustar el nivel deseguridad del firewall

Es posible enviar a los usuarios una notificación de que unaaplicación a la que quieren acceder está bloqueada.

Esta configuración está deshabilitada de forma predeterminada.

Ver "Cómo notificar a los usuarios que el acceso a una aplicaciónestá bloqueado" en la página 237.

Habilitar y personalizarlas notificaciones a losusuarios que acceden auna aplicación que estábloqueada


Administración de protección mediante firewallCreación de políticas de firewall

230


Cómo habilitar y deshabilitar una política de firewallLas políticas de firewall se habilitan automáticamente cuando usted las crea. Esposible deshabilitar una política de firewall según las necesidades y despuéshabilitarla de nuevo. Es necesario permitir una política de firewall para que estéactiva.

Es posible que desee deshabilitar el firewall por cualquiera de los siguientesmotivos:

■ Instala una aplicación que el firewall puede bloquear.

■ Una regla de firewall o una configuración de firewall bloquea una aplicacióndebido a un error del administrador.

■ El firewall causa problemas relacionados con la conectividad de red.

■ El firewall puede ralentizar el equipo cliente.

Es necesario habilitar al menos la protección del firewall predeterminada paramantener los equipos protegidos durante la instalación del cliente remoto.


Para habilitar o deshabilitar una política de firewall


2 En la página Políticas, seleccione Política de firewall y después haga clic conel botón derecho en Editar.

3 En la política, haga clic en Reglas de firewall.

4 En la política, seleccione Habilitar esta política de firewall para habilitar lapolítica; anule la selección para deshabilitarla.


Ver "Creación de políticas de firewall" en la página 229.


Ajuste del nivel de seguridad del firewallCuando se ajusta el nivel de seguridad del firewall, se selecciona qué tanestrictamente desea restringir el tráfico de red.

Los niveles de seguridad son los siguientes:

231Administración de protección mediante firewallCreación de políticas de firewall

El nivel de seguridad bajo permite todo el tráfico IP entrante y saliente.

Bajo es el nivel de seguridad predeterminado.

Bajo

El nivel de seguridad medio impone el nivel de seguridad bajo. Además,bloquea tráfico TCP entrante y el tráfico entrante de estado UDP.

Medio

El nivel de seguridad elevada bloquea todo el tráfico IP entrante ysaliente.

Alto

Para ajustar el nivel de seguridad del firewall


2 En la página Políticas, seleccione Política de firewall y después haga clic conel botón derecho en Editar.

3 En la política, haga clic en Reglas de firewall.

4 En la política, seleccione Habilitarestapolíticadefirewall y, a continuación,seleccione Personalizar las opciones predeterminadas.

5 En la política, seleccione la configuración de nivel de seguridad.




Acerca de las reglas de firewallLas reglas de firewall son componentes de políticas que controlan cómo el firewallprotege los equipos contra tráfico entrante y aplicaciones maliciosas. El firewallcomprueba todos los paquetes entrantes y paquetes salientes en función de lasreglas que usted habilita. Permite o bloquea los paquetes según las condicionesque se especifican en la regla de firewall.

Es posible habilitar y deshabilitar reglas de firewall. El firewall no examina lasreglas deshabilitadas.

Symantec Endpoint Protection Small Business Edition se instala con una políticade firewall predeterminada que contiene reglas predeterminadas. Cuando creauna nueva política de firewall, Symantec Endpoint Protection Small BusinessEdition proporciona reglas de firewall predeterminadas. Es posible modificarcualquiera de las reglas predeterminadas o crear nuevas reglas de firewall.

Es necesario tener por lo menos una regla en una política. Pero se pueden tenertantas reglas como sean necesarias. Es posible habilitar o deshabilitar reglas según

Administración de protección mediante firewallAcerca de las reglas de firewall

232

sea necesario. Por ejemplo, puede ser recomendable deshabilitar una regla pararealizar la solución de problemas y habilitarla cuando haya terminado.

La Tabla 15-4 describe qué debe saber sobre reglas de firewall.

Tabla 15-4 Acerca de las reglas de firewall

DescripciónAsunto

Symantec Endpoint Protection Small Business Edition usa la inspecciónde estado, que elimina la necesidad de crear reglas adicionales. Esposible aprender qué es la inspección de estado y cómo protege su redcontra amenazas.


Qué es lainspección deestado

Aprenda cómo los activadores del firewall pueden ayudar a protegersus clientes y servidores.

Cuando se comprende qué son estos activadores y cómo puede usarlosmejor, puede personalizar sus reglas de firewall como corresponda.

Ver "Acerca de las activaciones de la aplicación de reglas de firewall"en la página 235.

Ver "Acerca de las activaciones del host de la regla de firewall"en la página 238.

Ver "Acerca de las activaciones de los servicios de red de la regla defirewall" en la página 240.

Acerca de losactivadores de lasreglas de firewall



Acerca del orden de procesamiento de la regla de firewall, laconfiguración del firewall y la prevención de intrusiones

Las reglas de firewall se ordenan secuencialmente, desde la prioridad más altahasta la prioridad más baja, o desde arriba abajo en la lista de reglas. Si la primeraregla no especifica cómo administrar un paquete, el firewall examina la segundaregla. Este proceso continúa hasta que el firewall encuentre una coincidencia.Una vez que el firewall encuentra una coincidencia, el firewall toma medidas quela regla especifica. Las reglas subsecuentes de una prioridad más baja no seexaminan. Por ejemplo, si una regla que bloquea todo el tráfico se enumera primero,seguida por una regla que permita todo el tráfico, el cliente bloquea todo el tráfico.

Es posible ordenar las reglas según la exclusividad. Las reglas más restrictivas seevalúan primero, y las reglas más generales se evalúan al final. Por ejemplo, esnecesario poner las reglas que bloquean el tráfico cerca de la parte superior de la

233Administración de protección mediante firewallAcerca de las reglas de firewall

lista de reglas. Las reglas que aparecen más abajo en la lista pueden permitir eltráfico.

La lista Reglas contiene una línea divisoria azul. La línea divisoria establece laprioridad de reglas cuando un subgrupo hereda reglas de un grupo principal.

Ver "Cómo cambiar el orden de las reglas de firewall" en la página 234.


Ver "Cómo funciona la prevención de intrusiones" en la página 256.

Cómo cambiar el orden de las reglas de firewallEl firewall procesa la lista de reglas de firewall desde abajo hacia arriba. Es posibledeterminar cómo el firewall procesa las reglas de firewall modificando su orden.

Nota: Para una mejor protección, coloque las reglas más restrictivas primero ylas menos restrictivas al final.

Para modificar el orden de las reglas de firewall

1 En la consola, abra una política de firewall.

2 En la página Políticadefirewall, haga clic en Reglas y seleccione la regla quedesea mover.

3 Realice una de las siguientes tareas:

■ Para procesar esta regla antes que la regla anterior, haga clic en Subir.

■ Para procesar esta regla después de la que está debajo de ella, haga clicen Bajar.


Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracióndel firewall y la prevención de intrusiones" en la página 233.


Cómo el firewall usa la inspección de estadoLa protección mediante firewall usa la inspección de estado para realizar unseguimiento de las conexiones actuales. La inspección de estado realiza unseguimiento de las direcciones IP de origen y destino, los puertos, las aplicacionesy otra información de conexión. Antes de que el cliente examine las reglas defirewall, toma decisiones sobre el flujo de tráfico que se basan en la informaciónde conexión.


234

Por ejemplo, si una regla de firewall permite que un equipo se conecte a un servidorweb, el firewall registra información sobre la conexión. Cuando que el servidorcontesta, el firewall detecta que se espera una respuesta del servidor web al equipo.Permite que el tráfico del servidor web fluya al equipo de iniciación sin lainspección de la base de la regla. Una regla debe permitir el tráfico saliente inicialantes de que el firewall registre la conexión.

La inspección de estado elimina la necesidad de crear nuevas reglas. Para el tráficoque se inicia en una dirección, no es necesario crear las reglas que permiten eltráfico en ambas direcciones. El tráfico del cliente que se inicia en una direcciónincluye Telnet (puerto 23), HTTP (puerto 80) y HTTPS (puerto 443). Los equiposcliente inician este tráfico saliente; se crea una regla que permita el tráfico salientepara estos protocolos. La inspección de estado permite automáticamente el tráficode retorno que responde al tráfico saliente. Ya que el firewall tiene estadosincluidos, solo se deben crear las reglas que inician una conexión, no lascaracterísticas de un paquete determinado. Todos los paquetes que pertenecen auna conexión permitida se permiten implícitamente, como una parte integral deesa misma conexión.

La inspección de estado es compatible con todas las reglas que dirigen el tráficoTCP.

No es compatible con las reglas que filtran el tráfico ICMP. Para el tráfico ICMP,se deben crear reglas que permitan el tráfico en ambas direcciones. Por ejemplo,si desea que los clientes usen el comando ping y reciban respuestas, deberá crearuna regla que permita el tráfico ICMP en ambas direcciones.


Acerca de las activaciones de la aplicación de reglas de firewallCuando la aplicación es el único activador que usted define en una regla de permisode tráfico, el firewall permite que la aplicación realice cualquier operación de red.La aplicación es el valor significativo, no las operaciones de red que la aplicaciónrealiza. Por ejemplo: se permite Internet Explorer y no se define ningún otroactivador. Los usuarios podrán acceder a los sitios remotos que utilizan HTTP,HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador Web.Es posible definir activadores adicionales para describir los hosts y protocolos dered con los que se permite comunicación.

Las reglas basadas en la aplicación pueden ser difíciles de solucionar, porque unaaplicación puede utilizar varios protocolos. Por ejemplo, si el firewall procesa unaregla que permite Internet Explorer antes de una regla que bloquee el ftp, el usuariose puede comunicar con el ftp. El usuario puede escribir una URL basada en ftpen el navegador, tal como ftp://ftp.symantec.com.


Por ejemplo: se permite Internet Explorer y no se define ningún otro disparador.Los usuarios del equipo podrán acceder a los sitios remotos que utilizan HTTP,HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador web.Es posible definir activadores adicionales para describir los hosts y protocolos dered con los que se permite la comunicación.

No es necesario utilizar reglas de aplicaciones para controlar el tráfico en el nivelde red. Por ejemplo, una regla que bloquee o limite el uso de Internet Explorer notendría ningún efecto si el usuario utilizara otro navegador Web. El tráfico queel otro navegador Web genera sería comparado con el resto de las reglas, exceptocon la regla de Internet Explorer. Las reglas basadas en la aplicación son máseficaces cuando se configuran para bloquear las aplicaciones que envían y recibentráfico.

Ver "Definición de la información sobre aplicaciones" en la página 236.

Ver "Cómo notificar a los usuarios que el acceso a una aplicación está bloqueado"en la página 237.


Definición de la información sobre aplicacionesEs posible definir información sobre las aplicaciones que los clientes ejecutan eincluir esta información en una regla de firewall.

Para definir información sobre las aplicaciones


2 En la página Políticas de firewall, haga clic en Reglas.

3 En la ficha Reglas, en la lista Reglas, haga clic con el botón derecho en elcampo Aplicación y después haga clic en Editar.

4 En el cuadro de diálogo Lista de aplicaciones, haga clic en Agregar.

5 En el cuadro de diálogo Agregaraplicación, escriba uno o varios de los campossiguientes:

■ Ruta y nombre de archivo

■ Descripción

■ Tamaño, en bytes

■ Fecha en que la aplicación fue modificada por última vez

■ Huella digital de archivos




236




Cómo notificar a los usuarios que el acceso a una aplicaciónestá bloqueadoEs posible enviar a los usuarios una notificación de que una aplicación a la quequieren acceder está bloqueada. Esta notificación aparece en los equipos de losusuarios.

Nota: Habilitar demasiadas notificaciones puede no solo abrumar a sus usuarios,sino que puede además alarmarlos. Sea cuidadoso al habilitar notificaciones.

Para notificar a los usuarios que el acceso a una aplicación está bloqueado


2 En la página Políticas de firewall, haga clic en Reglas.

3 Habilite la protección mediante firewall personalizada.

4 En la ficha Notificaciones, seleccione las siguientes opciones que desee aplicar:

Una notificación aparece cuando el cliente bloquea unaaplicación.

Mostrar notificación en elequipo cuando el clientebloquea una aplicación

Haga clic en Establecer texto adicional y personalicela notificación.

Personalizar el texto de la notificación es opcional.

Agregar texto adicional a lanotificación



Ver "Cómo habilitar y deshabilitar una política de firewall" en la página 231.




Acerca de las activaciones del host de la regla de firewallSe especifica el host en ambos lados de la conexión de red descrita cuando sedefinen las activaciones del host.

Tradicionalmente, la manera de expresar la relación entre los hosts se denominael origen o destino de una conexión de red.

Es posible definir la relación del servicio de host de cualquiera de las siguientesmaneras:

El host de origen y el host de destino dependen de la direccióndel tráfico. En un caso, el equipo cliente local puede ser el origen,mientras que en otro caso el equipo remoto puede ser el origen.

La relación de origen y la relación de destino se utilizan máscomúnmente en firewalls basados en redes.

Origen y destino

El host local siempre es el equipo del cliente local y el hostremoto siempre es un equipo remoto ubicado en otra parte dela red. Esta expresión del vínculo del host es independiente dela dirección del tráfico.

La relación local y remota se utiliza más comúnmente enfirewalls basados en host, y es una manera más simple de mirarel tráfico.

Host local y remoto

Es posible definir varios hosts de origen y varios hosts de destino.

La Figura 15-1 ilustra la relación de origen y la relación de destino con respectoa la dirección del tráfico.


238

Figura 15-1 La relación entre el origen y los host de destino

`

Cliente deSEP

Symantec.com

HTTP

`

Otro cliente

`

Cliente deSEP

RDP

Origen Destino

OrigenDestino

La Figura 15-2 ilustra la relación del host local y el host remoto con respecto a ladirección del tráfico.

Figura 15-2 La relación entre el host local y el host remoto

`

Clientede SEP

Symantec.com

HTTP

`

Otro cliente

`

Clientede SEP

RDP

Local Remoto

RemotoLocal

Las relaciones son evaluadas por los siguientes tipos de instrucciones:

Instrucción ORLos hosts que se definen a cada lado de la conexión(entre el origen y el destino)

Instrucción ANDHosts seleccionados


Por ejemplo, considere una regla que defina un solo host local y varios hostremotos. Como el firewall examina los paquetes, el host local debe coincidir conla dirección IP relevante. Sin embargo, las caras de oposición de la dirección puedencoincidir con cualquier host remoto. Por ejemplo, es posible definir una regla parapermitir la comunicación HTTP entre el host local y Symantec.com, Yahoo.como Google.com. La regla es igual que tres reglas.

Ver "Cómo bloquear tráfico a o desde un servidor específico" en la página 245.


Acerca de las activaciones de los servicios de red de la regla de firewallLos servicios de red permiten que los equipos conectados envíen y recibanmensajes, compartan archivos e impriman. Un servicio de red utiliza uno o másprotocolos o puertos para transmitir un tipo de tráfico específico. Por ejemplo, elservicio HTTP utiliza los puertos 80 y 443 en el protocolo TCP. Es posible crearuna regla de firewall que permita o bloquee los servicios de red. Un activador deservicio de red identifica uno o más protocolos de red significativos en relacióncon el tráfico de red descrito.

Cuando usted define elementos que activan servicios basados en TCP o UDP,identifica los puertos en ambos lados de la conexión de red descrita.Tradicionalmente, los puertos se consideran el origen o el destino de una conexiónde red.

Ver "Permitir a clientes navegar en los archivos y las impresoras de la red"en la página 248.


Cómo configurar reglas de firewallLa Tabla 15-5 describe cómo configurar nuevas reglas de firewall.

Administración de protección mediante firewallCómo configurar reglas de firewall

240

Tabla 15-5 Cómo configurar reglas de firewall


Es posible agregar nuevas reglas de firewall a través de la consolausando varios métodos. Un método permite agregar una reglaen blanco que tenga la configuración predeterminada. El otrométodo ofrece un asistente que lo guía para crear una nuevaregla.

Ver "Adición de una nueva regla de firewall" en la página 241.

Puede ahorrar tiempo en la creación de una nueva regla defirewall copiando una regla existente que sea similar a la reglaque desea crear. A continuación, puede modificar la regla copiadapara cubrir sus necesidades.

Ver "Cómo copiar y pegar reglas de firewall" en la página 242.

Agregar unanueva regla defirewall

1

Una vez que crea una nueva regla o si desea personalizar unaregla predeterminada, puede modificar cualquiera de los criteriosde la regla de firewall.


(Opcional)Personalizarlos criterios dela regla defirewall

2


Ver "Ajuste del nivel de seguridad del firewall" en la página 231.

Adición de una nueva regla de firewallUse el asistente para Agregar regla de firewall para agregar nuevas reglas defirewall y configurar la regla según sea necesario. El asistente no configura nuevasreglas con varios criterios.

Es necesario especificar el tráfico entrante y saliente en la regla siempre que seaposible. No es necesario crear reglas de entrada para el tráfico tal como HTTP. Elcliente de Symantec Endpoint Protection Small Business Edition usa la inspecciónde estado para tráfico de TCP. Por lo tanto, no necesita una regla para filtrar eltráfico de retorno que inician los clientes.

Cuando crea una nueva regla de firewall, se habilita automáticamente. Puedeinhabilitar una regla de firewall si necesita permitir el acceso específico de unprograma o equipo. La regla también se deshabilita para todas las políticasheredadas.

Nota: Las reglas se deben activar para que el firewall las procese.

241Administración de protección mediante firewallCómo configurar reglas de firewall

Para agregar una nueva regla de firewall


2 En la página Política de firewall, haga clic en Reglas.

3 Marque Personalizar la configuración predeterminada.

4 En la ficha Reglas, en la lista Reglas, haga clic en Agregar regla.

5 En el Asistente para agregar reglas de firewall, haga clic en Siguiente.

6 En el panel Seleccionarel tipoderegla, seleccione uno de los tipos de reglas.


8 Escriba los datos en cada panel para crear el tipo de regla que seleccionó.

9 Para las aplicaciones y los hosts, haga clic en Agregar más para agregaraplicaciones y servicios adicionales.

10 Cuando haya terminado, haga clic en Finalizar.

11 Opcionalmente, puede personalizar los criterios de la regla de firewall segúnsea necesario.

12 Cuando haya terminado la configuración de esta regla, haga clic en Aceptar.





Cómo copiar y pegar reglas de firewallAhorre tiempo en la creación de una nueva regla de firewall copiando una reglaexistente que sea similar a la nueva regla que desea crear. A continuación, puedemodificar la regla copiada según sea necesario.

Puede copiar y pegar reglas de la misma política o de otra política.

Para copiar y pegar reglas de firewall



3 En la ficha Reglas, haga clic con el botón derecho en la regla que usted deseacopiar y, después, haga clic en Copiar regla.


242

4 Haga clic con el botón secundario en la fila donde usted desea pegar la reglay, después, haga clic en Pegar regla.





Cómo personalizar reglas de firewallCuando se crea una nueva política de firewall, la política incluye varias reglaspredeterminadas. Es posible modificar uno o varios componentes de la regla segúnsea necesario.

Los componentes de una regla de firewall son los siguientes:

Los parámetros de acción especifican qué medidas toma el firewall cuandouna regla coincide. Si la regla coincide y se selecciona en respuesta a unpaquete recibido, el firewall realiza todas las acciones. El firewall permiteo bloquea el paquete, y registra o no el paquete. Si el firewall permite eltráfico, permite que el tráfico especificado por la regla acceda a la red. Siel firewall bloquea el tráfico, bloquea el tráfico especificado por la reglapara que no acceda a la red.

Las acciones son las siguientes:

■ Permitir

El firewall permite la conexión de red.

■ Bloquear

El firewall bloquea la conexión de red.

Acciones


Cuando el firewall evalúa la regla, todos los activadores deben serverdaderos para que se produzca una coincidencia. Si algún activador noes verdadero en relación con el paquete actual, el firewall no podrá aplicarla regla. Es posible combinar las definiciones de activación para crearreglas más complejas, por ejemplo, para identificar un protocolodeterminado en lo referente a una dirección de destino específica.

Las activaciones son las siguientes:

■ Aplicación

Cuando la aplicación es el único activador que usted define en unaregla de permiso de tráfico, el firewall permite que la aplicación realicecualquier operación de red. La aplicación es el valor significativo, nolas operaciones de red que la aplicación realiza. Es posible definiractivadores adicionales para describir los hosts y protocolos de redcon los que se permite comunicación.


■ Host

Cuando se definen activadores de hosts, se especifica el host en amboslados de la conexión de red descrita.

Tradicionalmente, la manera de expresar la relación entre los hosts sedenomina el origen o destino de una conexión de red.

Ver "Acerca de las activaciones del host de la regla de firewall"en la página 238.

■ Servicios de red

Un activador de servicios de red identifica uno o más protocolos de redsignificativos en relación con el tráfico descrito.

El equipo host local maneja siempre el puerto local, y el equipo remotomaneja siempre el puerto remoto. Esta expresión del vínculo del puertoes independiente de la dirección del tráfico.

Ver "Acerca de las activaciones de los servicios de red de la regla defirewall" en la página 240.

Activadores

La configuración del registro permite especificar si el servidor debe crearuna entrada de registro o enviar un mensaje de correo electrónico cuandoun evento de tráfico coincide con los criterios establecidos para esta regla.

Notificaciones

Cómo personalizar reglas de firewall




244

3 En la ficha Reglas, en la lista Reglas, en el campo Habilitada, asegúrese deque el cuadro esté seleccionado para habilitar la regla; anule la selección delcuadro para deshabilitar la regla.

Symantec Endpoint Protection Small Business Edition procesa solamente lasreglas que se habilitan. Todas las reglas están habilitadas de formapredeterminada.

4 Haga doble clic en el campo Nombre y escriba un nombre único para la reglade firewall.

5 Haga clic con el botón derecho en el campo Acción y seleccione las medidasque desee que Symantec Endpoint Protection Small Business Edition tome sise activa la regla.

6 En el campo Aplicación, defina una aplicación.

Ver "Definición de la información sobre aplicaciones" en la página 236.

7 En el campo Host, especifique un activador de hosts.

Ver "Cómo bloquear tráfico a o desde un servidor específico" en la página 245.

8 Además de especificar un activador de hosts, se puede también especificar eltráfico que tiene permitido acceder a su subred local.

Ver "Permitir solamente el tráfico específico a la subred local" en la página 246.

9 En el campo Servicio, especifique un activador del servicio de red.

Ver "Cómo controlar si los equipos en red pueden compartir mensajes, archivosy la impresión" en la página 247.

10 En el campo Registro, especifique cuándo se desea que Symantec EndpointProtection Small Business Edition envíe un mensaje de correo electrónicocuando se infringe esta regla de firewall.

Ver "Configuración de las notificaciones para las infracciones de la regla defirewall" en la página 250.

11 Cuando haya terminado la configuración de esta regla, haga clic en Aceptar.



Cómo bloquear tráfico a o desde un servidor específicoPara bloquear tráfico hacia un servidor específico, o desde él, es posible bloquearel tráfico mediante la dirección IP en lugar de bloquearlo por nombre de dominioo nombre del host. Si no, el usuario puede acceder al equivalente de la direcciónIP del nombre de host.


Para bloquear tráfico a o desde un servidor específico



3 En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar,haga clic con el botón derecho en el campo Host y después haga clic en Editar.

4 En el cuadro de diálogo Listadehosts, realice una de las siguientes acciones:

■ Haga clic en Origen o destino.

■ Haga clic en Local o remoto.


Realice todas las siguientes tareas:

■ En las tablas Origen y destino o Local y remota, haga clicen Agregar.

■ En el cuadro de diálogo Host, seleccione un tipo de host dela lista desplegable Tipo y escriba la información apropiadapara cada tipo de host.

■ Haga clic en Aceptar.

El host que usted creó se habilita automáticamente.

Para seleccionar untipo de host de lalista desplegableTipo

En el cuadro de diálogo Lista de hosts, realice una de lassiguientes acciones:

■ Haga clic en Origen o destino.

■ Haga clic en Local o remoto.

A continuación en el cuadro de diálogo Listadehosts, seleccioneel cuadro en la columna Habilitado para cualquier grupo dehosts que se desee agregar a la regla.

Para seleccionar ungrupo de hosts

6 Agregue hosts adicionales, si es necesario.

7 Haga clic en Aceptar para volver a la lista Reglas.




Permitir solamente el tráfico específico a la subred localEs posible crear una regla de firewall que permita solamente el tráfico específicoa su subred local. Esta regla de firewall se aplica siempre a su dirección IP de lasubred local, sin importar cuál es la dirección. Por lo tanto, incluso si se cambia


246

su dirección IP de la subred local, nunca se tiene que modificar esta regla para lanueva dirección.

Por ejemplo, se puede crear esta regla para permitir el tráfico al puerto 80solamente en la subred local, sin importar cuál es la dirección IP de la subred local.

Para permitir solamente el tráfico específico a la subred local



3 En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar.

4 Haga clic en Personalizar la configuración predeterminada para acceder ala lista de configuración predeterminada.

5 En la tabla Reglasde firewall, en la columna Host, haga doble clic en la reglapara la cual desea crear una condición del tráfico de la subred local.

6 En el tipo de host para el cual esta regla se aplica (local o remoto), haga clicen Agregar.

7 Haga clic en la lista desplegable Tipodedirección y seleccione Subred local.

8 Haga clic en Aceptar y después haga clic en Aceptar de nuevo para cerrar ysalir del cuadro de diálogo Lista de hosts.




Cómo controlar si los equipos en red pueden compartirmensajes, archivos y la impresiónLos servicios de red permiten que los equipos conectados envíen y recibanmensajes, archivos compartidos e impresiones. Es posible crear una regla defirewall que permita o bloquee los servicios de red.

Es posible agregar un servicio de red personalizado mediante una regla de firewall.Sin embargo, el servicio de red no se agrega a la lista predeterminada. No es posibleacceder al servicio personalizado desde ninguna otra regla.

Para controlar si los equipos en red pueden compartir mensajes, archivos y laimpresión




3 En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar,haga clic con el botón derecho en el campo Servicio y después haga clic enEditar.

4 En el cuadro de diálogo Listadeservicios, seleccione la casilla al lado de cadaservicio que desee que active la regla.

5 Para agregar un servicio adicional solamente para la regla seleccionada, hagaclic en Agregar.

6 En el cuadro de diálogo Protocolo, seleccione un protocolo de la listadesplegable Protocolo.

7 Complete los campos apropiados.




Ver "Acerca de las activaciones de los servicios de red de la regla de firewall"en la página 240.




Permitir a clientes navegar en los archivos y las impresorasde la redEs posible activar el cliente para que comparta sus archivos o para que busquearchivos e impresoras compartidos en la red local. Para impedir ataques basadosen la red, se recomienda no deshabilitar el uso compartido de archivos e impresorasen la red.

Se activa el uso compartido de archivos e impresoras en la red agregando reglasde firewall. Las reglas de firewall permiten que el acceso a los puertos para buscary compartir archivos e impresoras. Se crea una regla de firewall de modo que elcliente pueda compartir sus archivos. Se crea una segunda regla de firewall demodo que el cliente pueda buscar otros archivos e impresoras.

La configuración funciona de manera diferente basada en el tipo de control quese especifica para el cliente, de la siguiente manera:

Los usuarios en el cliente pueden habilitar esta configuraciónautomáticamente configurándola en Protección contra amenazasde red.

Control de clientes ocontrol mixto


248

Una regla de firewall del servidor que especifica este tipo detráfico puede anular esta configuración.

Control mixto

Esta configuración no está disponible en el cliente.Control de servidores

Para permitir a clientes navegar en los archivos y las impresoras de la red



3 En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar,haga clic con el botón derecho en el campo Servicio y después haga clic enEditar.

4 En el cuadro de diálogo Lista de servicios, haga clic en Agregar.

5 En el cuadro de diálogo Protocolo, en la lista desplegable Protocolo, hagaclic en TCP y después haga clic en Local o remoto.


En la lista desplegable Puerto remoto, escriba 88, 135, 139,445.

Para permitir aclientes navegar enlos archivos y lasimpresoras de la red

En la lista desplegable Puerto local, escriba 88, 135, 139, 445.Para permitir queotros equiposbusquen archivos enel cliente


8 En el cuadro de diálogo Lista de servicios, haga clic en Agregar.

9 En el cuadro de diálogo Protocolo, en la lista desplegable Protocolo, hagaclic en UDP.



En la lista desplegable Puerto local, escriba 137, 138.

En la lista desplegable Puerto remoto, escriba 88.

Para permitir aclientes navegar enlos archivos y lasimpresoras de la red

En la lista desplegable Puerto local, escriba 88, 137, 138.Para permitir queotros equiposbusquen archivos enel cliente


12 En el cuadro de diálogo Listade servicios, asegúrese de que los dos serviciosestén habilitados y después haga clic en Aceptar.

13 En la ficha Reglas, asegúrese de que el campo Acción se configure comoPermitir.





Configuración de las notificaciones para las infracciones de laregla de firewallEs posible configurar Symantec Endpoint Protection Small Business Edition paraenviarle un mensaje de correo electrónico cada vez que el firewall detecta unainfracción de regla, un ataque o un evento. Por ejemplo, es posible saber cuándoun cliente bloquea el tráfico proveniente de una dirección IP determinada.

Para configurar las notificaciones para las infracciones de la regla de firewall



3 En la ficha Reglas, seleccione una regla, haga clic con el botón derecho en elcampo Registro y seleccione si desea registrar la infracción y si desea enviaralertas por correo electrónico.





250




252

Administración deprevención de intrusiones


■ Cómo administrar la prevención de intrusiones en sus equipos cliente

■ Cómo funciona la prevención de intrusiones

■ Acerca de firmas IPS de Symantec

■ Cómo habilitar o deshabilitar la prevención contra intrusiones del navegadoro de la red

■ Cómo crear las excepciones para las firmas IPS

Cómo administrar la prevención de intrusiones ensus equipos cliente

La configuración predeterminada de la prevención de intrusiones protege losequipos cliente contra una amplia variedad de amenazas. Es posible cambiar laconfiguración predeterminada para su red.

16Capítulo

Tabla 16-1 Cómo administrar la prevención de intrusiones

DescripciónTarea

Aprenda cómo la prevención de intrusionesdetecta y bloquea ataques de la red y delnavegador.

Ver "Cómo funciona la prevención de intrusiones"en la página 256.

Ver "Acerca de firmas IPS de Symantec"en la página 257.

Aprenda sobre la prevención deintrusiones

Puede ser recomendable deshabilitar laprevención de intrusiones para solucionarproblemas o si los equipos cliente detectan falsospositivos excesivos. Sin embargo, para mantenera sus equipos cliente protegidos, generalmente,usted no debe deshabilitar la prevención deintrusiones.

Es posible habilitar o deshabilitar los siguientestipos de prevención de intrusiones en la políticade Prevención de intrusiones:

■ Prevención contra intrusiones de red

■ Prevención contra intrusiones de navegador

Ver "Cómo habilitar o deshabilitar la prevencióncontra intrusiones del navegador o de la red"en la página 258.

Es posible también habilitar o deshabilitar ambostipos de prevención de intrusiones, así como elfirewall, cuando se ejecuta el comando Habilitarprotección contra amenazas de red o Deshab.protec. contra amen. red.

Ver "Ejecución de comandos en el equipo clientedesde la consola" en la página 121.

Habilite o deshabilite la prevención deintrusiones

Administración de prevención de intrusionesCómo administrar la prevención de intrusiones en sus equipos cliente

254

DescripciónTarea

Puede ser recomendable crear excepciones paracambiar el comportamiento predeterminado delas firmas predeterminadas de la prevención deintrusiones de red de Symantec. Algunas firmasbloquean el tráfico de forma predeterminada yotras firmas permiten el tráfico de formapredeterminada.

Nota: No es posible cambiar el comportamientode las firmas de la prevención contra intrusionesde navegador.

Puede ser recomendable cambiar elcomportamiento predeterminado de algunasfirmas de red por los siguientes motivos:

■ Reduzca el consumo en sus equipos cliente.

Por ejemplo, puede ser recomendable reducirel número de firmas que bloquean tráfico.Asegúrese de que, sin embargo, una firma deataques no plantee ninguna amenaza antes deque la excluya del bloqueo.

■ Permita algunas firmas de red que Symantecbloquea de forma predeterminada.

Por ejemplo, puede ser recomendable crearexcepciones para reducir falsos positivoscuando la actividad de red benigna coincidecon una firma de ataques. Si sabe que laactividad de red es segura, se puede crear unaexcepción.

■ Bloquee algunas firmas que Symantec permite.

Por ejemplo, Symantec incluye las firmas paralas aplicaciones de punto a punto y permite eltráfico de forma predeterminada. Es posiblecrear excepciones para bloquear el tráfico ensu lugar.

Ver "Cómo crear las excepciones para las firmasIPS" en la página 258.

Si desea bloquear los puertos que envían y recibentráfico de punto a punto, use una política defirewall.

Ver "Creación de políticas de firewall"en la página 229.

Cree las excepciones para cambiar elcomportamiento predeterminado de lasfirmas de la prevención de intrusionesde red de Symantec

255Administración de prevención de intrusionesCómo administrar la prevención de intrusiones en sus equipos cliente

DescripciónTarea

Es posible crear excepciones para excluir firmasdel navegador de la prevención contra intrusionesde navegador.

Puede ser recomendable omitir firmas delnavegador si la prevención contra intrusiones denavegador causa problemas con los navegadoresen su red.

Ver "Cómo crear las excepciones para las firmasIPS" en la página 258.

Cree las excepciones para omitir firmasdel navegador en los equipos cliente

Cómo funciona la prevención de intrusionesLa prevención de intrusiones es parte de Protección contra amenazas de red.

La prevención de intrusiones detecta y bloquea automáticamente ataques de redy ataques en los navegadores. La prevención de intrusiones es la segunda capa dedefensa después del firewall para proteger los equipos cliente. La prevención deintrusiones a veces se llama sistema de prevención de intrusiones (IPS).


La prevención de intrusiones intercepta datos en la capa de red. Usa firmas paraanalizar los paquetes o las secuencias de paquetes. Analiza cada paqueteindividualmente buscando los modelos que corresponden a los ataques de la redo del navegador. La prevención de intrusiones usa firmas para detectar ataquesen los componentes del sistema operativo y la capa de aplicación.

La prevención de intrusiones proporciona dos tipos de protección.

La prevención contra intrusiones de red usa firmaspara identificar ataques en los equipos cliente. Paralos ataques conocidos, la prevención de intrusionesdesecha automáticamente los paquetes que coincidencon las firmas.

Prevención contra intrusiones dered

Administración de prevención de intrusionesCómo funciona la prevención de intrusiones

256

La prevención contra intrusiones del navegadorsupervisa ataques en Internet Explorer y Firefox. Laprevención contra intrusiones del navegador no seadmite en ningún otro navegador.

Este tipo de prevención de intrusiones usa firmas deataques así como la heurística para identificar ataquesen los navegadores.

Para algunos ataques del navegador, la prevención deintrusiones necesita que el cliente cierre el navegador.Una notificación aparece en el equipo cliente.

Prevención contra intrusiones delnavegador

Acerca de firmas IPS de SymantecLas firmas de prevención de intrusiones de Symantec están instaladas en el clientede forma predeterminada.


La prevención de intrusiones usa las firmas de Symantec para supervisar paquetesindividuales o secuencias de paquetes. Para las secuencias de paquetes, laprevención de intrusiones puede recordar la lista de patrones o los patronesparciales de los paquetes anteriores. Puede entonces aplicar esta información alas inspecciones de paquetes subsiguientes.

Las firmas de Symantec incluyen las firmas para la prevención contra intrusionesde navegador y la prevención de intrusiones de red.

Las firmas de red coinciden con los patrones de un ataqueque puede bloquear aplicaciones o explotar los sistemasoperativos en sus equipos cliente.

Es posible cambiar si la firma de red de Symantec bloqueao permite tráfico. Es posible también cambiar si SymantecEndpoint Protection Small Business Edition registra unadetección de una firma en el registro de seguridad o no.

Firmas de la prevención deintrusiones de red

Las firmas del navegador coinciden con patrones de ataqueen los navegadores admitidos, tales como archivos de scriptque pueden bloquear el navegador.

No es posible personalizar la configuración de la acción oel registro para las firmas del navegador, pero se puedeexcluir una firma del navegador.

Firmas de la prevencióncontra intrusiones denavegador

Ver "Cómo crear las excepciones para las firmas IPS" en la página 258.

257Administración de prevención de intrusionesAcerca de firmas IPS de Symantec

El equipo de Symantec Security Response suministra las firmas de ataques. Elmotor de la prevención de intrusiones y el conjunto correspondiente de firmasestán instalados en el cliente de forma predeterminada. Las firmas son parte delcontenido que se actualiza en el cliente.

Es posible ver la información sobre firmas IPS en el sitio web de Symantec.

http://securityresponse.symantec.com/avcenter/attack_sigs/index.html

Cómo habilitar o deshabilitar la prevención contraintrusiones del navegador o de la red

Es posible habilitar o deshabilitar cualquier tipo de prevención de intrusiones.Generalmente, no es necesario deshabilitar ningún tipo de prevención deintrusiones.


Es posible también excluir equipos determinados de la prevención contraintrusiones por medio de la red.

Cómo habilitar o deshabilitar la prevención contra intrusiones del navegador o dela red

1 En la consola, abra una política de prevención de intrusiones.

2 En la página Política de prevención de intrusiones, haga clic enConfiguración.

3 Seleccionar o anular la selección de las siguientes opciones:

■ Habilitar Prevención contra intrusiones de red

■ Habilitar prevención contra intrusiones de navegador


Cómo crear las excepciones para las firmas IPSEs posible crear excepciones para realizar las acciones siguientes:

■ Cambie el comportamiento predeterminado de las firmas IPS de la red

■ Especifique las firmas del navegador que los equipos cliente deben omitir

Es posible modificar las medidas que el cliente toma cuando el IPS reconoce unafirma de red. Es posible también modificar si el cliente registra el evento en elregistro de seguridad.

Administración de prevención de intrusionesCómo habilitar o deshabilitar la prevención contra intrusiones del navegador o de la red

258

http://securityresponse.symantec.com/avcenter/attack_sigs/index.html

No es posible cambiar el comportamiento de las firmas del navegador de Symantec;a diferencia de las firmas de red, las firmas del navegador no permiten laconfiguración personalizada de la acción y del registro. Sin embargo, se puedecrear una excepción para una firma del navegador de modo que los clientes omitanla firma.

Nota: Cuando se agrega una excepción de la firma del navegador, SymantecEndpoint Protection Manager incluye la firma en la lista de excepciones y configuraautomáticamente la acción para Permitir y el registro para No bloquear. No esposible personalizar la configuración de la acción o del registro.


Nota:Para modificar el comportamiento de una firma IPS personalizada que ustedcree o importe, se edita la firma directamente.

Para modificar el comportamiento de firmas IPS de red Symantec

1 En la consola, abra una política de prevención de intrusiones.

2 En la página Políticadeprevencióndeintrusiones, haga clic en Excepcionesy después haga clic en Agregar.

3 En el cuadro de diálogo Agregar excepcionesdeprevenciónde intrusiones,realice una de las siguientes acciones para filtrar las firmas:

■ Para visualizar las firmas de una categoría determinada, seleccione unaopción de la lista desplegable Mostrar categoría.

■ Para visualizar las firmas clasificadas con una gravedad determinada,seleccione una opción de la lista desplegable Mostrar gravedad.

4 Seleccione una o más firmas.

Para hacer que el comportamiento de todas las firmas de red sea igual, hagaclic en Seleccionar todos.


6 En el cuadro de diálogo Accióndelafirma, configure la acción para Bloquearo Permitir.

Nota:El cuadro de diálogo Accióndela firma se aplica solamente a las firmasde red.

259Administración de prevención de intrusionesCómo crear las excepciones para las firmas IPS

7 Opcionalmente, configure la acción del registro para Registrar el tráfico oNo registrar el tráfico.


Si desea revertir el comportamiento de la firma original al comportamientooriginal, seleccione la firma y haga clic en Eliminar.

Si desea que los clientes usen la firma del navegador y que no la omitan,seleccione la firma y haga clic en Eliminar.


Administración de prevención de intrusionesCómo crear las excepciones para las firmas IPS

260

Administración deexcepciones


■ Acerca de excepciones para Symantec Endpoint Protection Small BusinessEdition

■ Cómo administrar las excepciones para Symantec Endpoint Protection SmallBusiness Edition

■ Cómo crear las excepciones para Symantec Endpoint Protection Small BusinessEdition

■ Restrinja los tipos de excepciones que los usuarios pueden configurar en losequipos cliente

■ Crear excepciones de eventos de registro en Symantec Endpoint ProtectionManager

Acerca de excepciones para Symantec EndpointProtection Small Business Edition

Las excepciones son típicamente elementos, tales como archivos o dominios web,que se desea excluir de análisis.

Symantec Endpoint Protection Small Business Edition excluye automáticamentealgunos archivos de análisis antivirus y antispyware.

Ver "Acerca de los archivos y las carpetas que Symantec Endpoint Protectionexcluye de los análisis antivirus y antispyware" en la página 157.

17Capítulo

Puede también usar excepciones para detectar una aplicación o para cambiar elcomportamiento predeterminado cuando Symantec Endpoint Protection SmallBusiness Edition detecta una aplicación.

Puede ser recomendable usar excepciones para reducir la cantidad de tiempo deejecución de los análisis. Por ejemplo, se pueden excluir los archivos, las carpetasy las extensiones de los análisis. Si reduce el tiempo del análisis, es posible queaumente el rendimiento del sistema en los equipos cliente.

Nota:No es posible crear las excepciones para un análisis antivirus y antispywareindividual. Por ejemplo, si se crea una excepción de archivo, Symantec EndpointProtection Small Business Edition aplica la excepción a todo el análisis antivirusy antispyware (Auto-Protect, Diagnóstico Insight de descargas y cualquier análisisdefinido por el administrador o definido por el usuario).

Las excepciones se aplican a un tipo de cliente determinado (Windows o Mac). Seconfiguran las excepciones por separado. Por ejemplo, si se configura unaexcepción de archivo, se aplica a los clientes que se ejecutan en equipos conWindows o a los clientes que se ejecutan en equipos Mac. Algunas excepciones noestán disponibles para los clientes de Mac.

Ver "Cómo administrar las excepciones para Symantec Endpoint Protection SmallBusiness Edition" en la página 263.

Tabla 17-1 Excepciones de análisis y tipo de cliente

ExcepciónTipo de cliente

Excepción de archivo o de carpetaClientes de Mac

Es posible configurar los siguientes tipos de excepciones:

■ Archivo

■ Carpeta

■ Riesgo conocido

■ Extensión

■ Dominio web de confianza

■ Aplicaciones para supervisar

■ Aplicación

■ Protección contra intervenciones

Clientes de Windows

Administración de excepcionesAcerca de excepciones para Symantec Endpoint Protection Small Business Edition

262

Cómo administrar las excepciones para SymantecEndpoint Protection Small Business Edition

Es posible administrar las excepciones para Symantec Endpoint Protection SmallBusiness Edition en la consola de Symantec Endpoint Protection Manager.

Tabla 17-2 Cómo administrar excepciones

DescripciónTarea

Se usan excepciones para excluir elementos delanálisis y la protección en sus equipos cliente.

Ver "Acerca de excepciones para SymantecEndpoint Protection Small Business Edition"en la página 261.

Aprenda sobre excepciones

Symantec Endpoint Protection Small BusinessEdition crea automáticamente excepciones oexclusiones, para ciertas aplicaciones de otrofabricante y algunos productos de Symantec.

Es posible también configurar análisisindividuales para analizar solamente ciertasextensiones y para omitir cualquier otraextensión.

Ver "Acerca de los archivos y las carpetas queSymantec Endpoint Protection excluye de losanálisis antivirus y antispyware" en la página 157.

Revise los tipos de archivos y decarpetas que Symantec EndpointProtection Small Business Editionexcluye automáticamente de análisis

Se agregan excepciones en una política deexcepciones directamente. O se pueden agregarexcepciones de eventos de registro en la páginaSupervisión.

Ver "Cómo crear las excepciones para SymantecEndpoint Protection Small Business Edition"en la página 264.

Ver "Crear excepciones de eventos de registro enSymantec Endpoint Protection Manager"en la página 275.

Cree excepciones para los análisis

263Administración de excepcionesCómo administrar las excepciones para Symantec Endpoint Protection Small Business Edition

DescripciónTarea

De forma predeterminada, los usuarios en losequipos cliente tienen derechos de configuraciónlimitados para las excepciones. Es posiblerestringir a usuarios aún más de modo que nopuedan crear las excepciones para los análisis devirus y spyware o para SONAR.

Los usuarios nunca pueden forzar una detecciónde aplicaciones y nunca tienen permiso para crearlas excepciones de Protección contraintervenciones.

Ver "Restrinja los tipos de excepciones que losusuarios pueden configurar en los equipos cliente"en la página 275.

Restrinja los tipos de excepciones quelos usuarios pueden configurar en losequipos cliente

Una vez que Symantec Endpoint Protection SmallBusiness Edition hace una detección, se puedecrear una excepción para la detección del eventode registro.

Por ejemplo, puede ser recomendable crear unaexcepción para un archivo que los análisisdetectan, pero que los usuarios solicitarondescargar.

Ver "Crear excepciones de eventos de registro enSymantec Endpoint Protection Manager"en la página 275.

Compruebe si en los registros haydetecciones para las cuales puede serrecomendable crear excepciones

Es posible especificar las excepciones para laprevención de intrusiones.

Las excepciones de la prevención de intrusionesse configuran en una política de prevención deintrusiones.


Configure las excepciones de laprevención de intrusiones

Cómo crear las excepciones para Symantec EndpointProtection Small Business Edition

Es posible crear diferentes tipos de excepciones para Symantec Endpoint ProtectionSmall Business Edition.

Administración de excepcionesCómo crear las excepciones para Symantec Endpoint Protection Small Business Edition

264

Cualquier excepción que se cree toma precedencia sobre cualquier excepción queun usuario pueda definir. En equipos cliente, los usuarios no pueden ver lasexcepciones que se crean. Un usuario puede ver solamente las excepciones queel usuario crea.



Tabla 17-3 Cómo crear las excepciones para Symantec Endpoint ProtectionSmall Business Edition

DescripciónTarea

Admitido en clientes de Windows y Mac.

Excluye un archivo de análisis antivirus yantispyware.

Ver "Exclusión de un archivo o una carpeta deanálisis" en la página 269.

Nota: Las excepciones de archivos no se aplicana SONAR. Para excluir un archivo de SONAR, useuna excepción de aplicación.

Excluya un archivo de análisis antivirusy antispyware

Admitido en clientes de Windows y Mac.

Excluye una carpeta de los análisis antivirus yantispyware, SONAR o todos los análisis enclientes de Windows. Es posible también excluiruna carpeta de análisis antivirus y antispywareen clientes de Mac.

Ver "Exclusión de un archivo o una carpeta deanálisis" en la página 269.

Excluya una carpeta de análisis

265Administración de excepcionesCómo crear las excepciones para Symantec Endpoint Protection Small Business Edition

DescripciónTarea

Admitido en clientes con Windows.

Excluye un riesgo conocido de los análisisantivirus y antispyware Los análisis omiten elriesgo, pero se puede configurar la excepción demodo que los análisis registren la detección. Encualquier caso, el software de cliente no notificaa los usuarios cuando detecta los riesgosespecificados.

Si un usuario configura las accionespersonalizadas para un riesgo conocido que seconfigura para omitir, Symantec EndpointProtection Small Business Edition omite lasacciones personalizadas.

Ver "Exclusión de riesgos conocidos de análisisantivirus y antispyware" en la página 270.

Las excepciones de riesgos para la seguridad nose aplican a SONAR.

Excluya un riesgo conocido de losanálisis antivirus y antispyware


Excluye cualquier archivo con las extensionesespecificadas de los análisis antivirus yantispyware.

Ver "Exclusión de extensiones de archivo deanálisis antivirus y antispyware" en la página 271.

Las excepciones de extensión no se aplican aSONAR.

Excluya extensiones de archivo deanálisis antivirus y antispyware


Use la excepción Aplicaciones para supervisarpara forzar los análisis antivirus y antispyware oSONAR para detectar una aplicación. Cuando losclientes detectan la aplicación, se puede crear unaexcepción para permitir o para bloquear laaplicación.

Ver "Cómo forzar análisis para detectar unaaplicación" en la página 272.

Fuerce una detección de aplicaciones


266

DescripciónTarea


Especifica cómo Symantec Endpoint ProtectionSmall Business Edition controla una aplicaciónque es detectada por el análisis antivirus yantispyware (incluido el Diagnóstico Insight dedescargas), SONAR, Protección contraintervenciones o aprendizaje de aplicaciones. Esposible usar la excepción para especificar cómoel Diagnóstico Insight de descargas controla unaaplicación que sus usuarios intentan descargar.

Es posible forzar Symantec Endpoint ProtectionSmall Business Edition para detectar unaaplicación especificando una excepciónAplicacionesparasupervisar. A continuación sepuede crear una excepción Aplicación paraespecificar cómo los análisis controlan laaplicación.

La excepción de aplicación es una excepciónbasada en hash SHA-2. Las excepciones deversiones anteriores para los análisis de amenazasproactivos TruScan aparecen como excepcionesbasadas en hash SHA-1. Los clientes de versionesanteriores admiten excepciones SHA-1 solamente.La huella digital de archivos en la lista deexcepciones es precedida por un 2 o un 1respectivamente para indicar el tipo de hash delarchivo.

Ver "Especificar cómo Symantec EndpointProtection Small Business Edition controla unaaplicación que los análisis detectan o que losusuarios descargan" en la página 272.

Especifique cómo los análisis controlanlas aplicaciones detectadas o descargas


DescripciónTarea


El Diagnóstico Insight de descargas analiza losarchivos que los usuarios intentan descargar desitios web y de otros portales. El DiagnósticoInsight de descargas se ejecuta como parte de unanálisis antivirus y antispyware. Es posibleconfigurar una excepción para un dominio webespecífico que se sabe que es seguro.

El Diagnóstico Insight de descargas debehabilitarse para que la excepción surta algúnefecto.

Nota: Si sus equipos cliente usan un proxy conla autenticación, deberá especificar lasexcepciones de dominio web de confianza paralas direcciones URL de Symantec. Las excepcionespermiten a sus equipos cliente comunicarse conSymantec Insight y otros sitios importantes deSymantec.

Para obtener información sobre las excepcionesrecomendadas, consulte el artículo relacionadode la base de conocimientos del soporte técnicode Symantec Technical Support Knowledge Basearticle.

Ver "Exclusión de un dominio web de confianzade análisis" en la página 273.

Excluya un dominio web de análisis


268



DescripciónTarea


La protección contra intervenciones protege losequipos cliente de los procesos que intervienenen los procesos de Symantec y los objetosinternos. Cuando la protección contraintervenciones detecta un proceso que puedemodificar las opciones de configuración deSymantec o los valores del registro de Windows,bloquea el proceso. Es posible que deba permitirque una aplicación modifique la configuración deSymantec. Es posible que desee detener laprotección contra intervenciones para ciertasáreas del registro o para ciertos archivos delequipo cliente.

En algunos casos, la protección contraintervenciones puede bloquear un programa delectura de pantalla u otra aplicación de tecnologíade asistencia. Es posible crear una excepción demodo que la aplicación pueda ejecutarse en losequipos cliente.

Ver "Cómo crear una excepción de Proteccióncontra intervenciones" en la página 274.

Cree excepciones para la Proteccióncontra intervenciones

Exclusión de un archivo o una carpeta de análisisSe agregan las excepciones para los archivos o las carpetas individualmente. Sidesea crear excepciones para más de un archivo, repita el procedimiento.

SONAR admite las excepciones de carpetas; SONAR no admite excepciones dearchivos. Use una excepción de aplicación si desea excluir un archivo de SONAR.

Ver "Cómo crear las excepciones para Symantec Endpoint Protection SmallBusiness Edition" en la página 264.

Para excluir un archivo o una carpeta del análisis en clientes de Windows

1 En la página Política de excepciones, haga clic en Excepciones.


■ En Excepciones, haga clic en Agregar > Excepciones para Windows >Carpeta

■ En Excepciones, haga clic en Agregar > Excepciones para Windows >Archivo


3 En el cuadro desplegable Variabledeprefijo, seleccione una carpeta común.

Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo.

Cuando se selecciona un prefijo, la excepción se puede usar en diversossistemas operativos de Windows.

4 En el cuadro de texto Archivo o Carpeta, escriba el nombre de archivo o dela carpeta.

Si selecciona una variable de prefijo, la ruta debe estar relacionada con elprefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta.

Nota: Las rutas se deben denotar usando una barra invertida.

5 Para una excepción de carpeta, seleccione el tipo de análisis ( Riesgo para laseguridad, SONAR o Todos ) al lado de Especifique el tipo de análisis queexcluye esta carpeta.

Riesgo para la seguridad es la opción predeterminada.


Para excluir un archivo o una carpeta en clientes de Mac


2 En Excepciones, haga clic en Agregar > Excepciones para Mac > Archivo ocarpeta.

3 En Excepción de archivos o carpetas de riesgos para la seguridad, en elcuadro desplegable Variable de prefijo, seleccione una carpeta común.

Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo.

4 En el cuadro de texto Carpeta, escriba el nombre del archivo.

Si selecciona una variable de prefijo, la ruta debe estar relacionada con elprefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta.

Nota: Las rutas de carpetas se deben denotar usando una barra diagonal.


Exclusión de riesgos conocidos de análisis antivirus y antispywareLos riesgos para la seguridad que el software de cliente detecta aparecen en elcuadro de diálogo Excepciones de riesgos para la seguridad conocidos.


270

La lista de los riesgos para la seguridad conocidos incluye la información sobrela gravedad del riesgo.


Para excluir riesgos conocidos de análisis antivirus y antispyware


2 En Excepciones, haga clic en Agregar>ExcepcionesparaWindows>Riesgosconocidos.

3 En el cuadro de diálogo Excepcionesderiesgospara laseguridadconocidos,seleccione uno o más riesgos para la seguridad que desee excluir de los análisisantivirus y antispyware.

4 Seleccione Registrar la detección del riesgo para la seguridad si desearegistrar la detección.

Si no activa esta opción, el cliente ignora el riesgo cuando detecta los riesgosseleccionados. Por lo tanto, el cliente no registra la detección.



Exclusión de extensiones de archivo de análisis antivirus y antispywareEs posible agregar varias extensiones de archivo a una excepción. Después decrear la excepción, no es posible crear otra excepción de extensiones para la mismapolítica. Es necesario editar la excepción existente.

Es posible agregar solamente una extensión por vez. Si escribe varios nombresde extensión en el cuadro de texto Agregar, la política trata la entrada como unsolo nombre de extensión.


Para excluir extensiones de archivo de análisis antivirus y antispyware


2 En Excepciones, haga clic en Agregar > Windows y excepciones integradas> Extensiones.

3 En el cuadro de texto, escriba la extensión que desea excluir y después hagaclic en Agregar.

4 Agregue cualquier otra extensión a la excepción.



Cómo forzar análisis para detectar una aplicaciónEs posible configurar una excepción para forzar Symantec Endpoint ProtectionSmall Business Edition para detectar una aplicación. Es posible que tenga queconfigurar este tipo de excepciones cuando los análisis no detectan actualmenteuna aplicación determinada.

Una vez que los futuros análisis se ejecuten y detecten la aplicación especificada,se puede crear una excepción de la aplicación. La aplicación detectada aparece enel cuadro de diálogo Excepción de aplicación en la política de excepciones. Laaplicación detectada además aparece en el registro relevante y se puede crear unaexcepción del registro.


Ver "Especificar cómo Symantec Endpoint Protection Small Business Editioncontrola una aplicación que los análisis detectan o que los usuarios descargan"en la página 272.


Para configurar una excepción para forzar una detección de aplicaciones


2 Haga clic en Agregar > Excepciones para Windows > Aplicaciones parasupervisar.

3 En el cuadro de diálogo, escriba el nombre de la aplicación.

Por ejemplo, es posible que tenga que escribir el nombre de un archivoejecutable de la siguiente forma:

foo.exe



Especificar cómo Symantec Endpoint Protection Small Business Editioncontrola una aplicación que los análisis detectan o que los usuariosdescargan

Es posible forzar Symantec Endpoint Protection Small Business Edition paradetectar una aplicación determinada. Cuando Symantec Endpoint Protection SmallBusiness Edition detecta la aplicación y la consola de administración recibe elevento, la aplicación aparece en la lista de aplicaciones. La lista de aplicacionesaparece vacía si los equipos cliente de su red aún no han hecho ninguna detección.


272

La lista de las aplicaciones incluye cualquier detección hecha por análisis antivirusy antispyware, SONAR, aprendizaje de aplicaciones o Protección contraintervenciones. Además incluye cualquier detección hecha por el DiagnósticoInsight de descargas.

Ver "Cómo forzar análisis para detectar una aplicación" en la página 272.


Paraespecificar cómoSymantecEndpointProtectionSmall BusinessEdition controlauna aplicación que los análisis detectan o que los usuarios descargan


2 Haga clic en Agregar > Excepciones para Windows > Aplicación.

3 En la lista desplegable Vista, seleccione Todo, Aplicaciones miradas oAplicaciones permitidas por el usuario.

4 Seleccione las aplicaciones para las cuales desee crear una excepción.

5 En el cuadro desplegable Acción, seleccione Omitir, Terminar, Cuarentenao Registrar.


Exclusión de un dominio web de confianza de análisisEs posible excluir un dominio web de los análisis antivirus y antispyware y SONAR.

Es posible especificar solamente un dominio web por vez. Es necesario especificaruna URL válida. Las URL de HTTPS o FTP no se admiten. No es posible usar unnúmero de puerto.

Nota: Si se deshabilita el Diagnóstico Insight de descargas o Auto-Protect, lasexcepciones de dominio web de confianza se deshabilitan también.


Para especificar una excepción para un dominio web de confianza

1 En la página Política de excepciones, haga clic en Agregar > Excepcionespara Windows > Dominio web de confianza.

2 En el cuadro de diálogo Excepción de dominio web de confianza, escriba eldominio web que desee excluir de las detecciones del Diagnóstico Insight dedescargas.



4 Repita el procedimiento para agregar más excepciones de dominio web.

Cómo crear una excepción de Protección contra intervencionesEs posible crear las excepciones para la Protección contra intervenciones. Puedeser recomendable crear una excepción de Protección contra intervenciones si laProtección contra intervenciones interfiere en una aplicación segura conocida ensus equipos cliente. Por ejemplo, la protección contra intervenciones puedebloquear una aplicación de tecnología de asistencia, tal como un programa delectura de pantalla.

Es necesario saber el nombre del archivo asociado a la aplicación de tecnologíade asistencia. A continuación, es posible crear una excepción para permitir laejecución de la aplicación.


Para crear una excepción para la Protección contra intervenciones


2 Haga clic en Agregar>ExcepcionesdeWindows>Excepcióndeproteccióncontra intervenciones.

3 En el cuadro de diálogo Agregar excepción de protección contraintervenciones, en el cuadro desplegable Variabledeprefijo, seleccione unacarpeta común.

Cuando se selecciona un prefijo, la excepción se puede usar en diversossistemas operativos de Windows.

Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo.

4 En el cuadro de texto Archivo, escriba el nombre del archivo.

Si seleccionó un prefijo, la ruta debe estar relacionada con el prefijo. Siseleccionó [NINGUNO] para el prefijo, escriba el nombre de ruta completo.




274

Restrinja los tipos de excepciones que los usuariospueden configurar en los equipos cliente

Es posible configurar restricciones de modo que los usuarios en los equipos clienteno puedan crear las excepciones para los análisis antivirus y antispyware o paraSONAR. De forma predeterminada, los usuarios pueden configurar excepciones.


Los usuarios de los equipos cliente nunca pueden crear las excepciones para laprotección contra intervenciones, sin importar la configuración de la restricción.

Para restringir los tipos de excepciones que los usuarios pueden configurar en losequipos cliente

1 En la página Política de excepciones, haga clic en Restricciones del cliente.

2 En Restricciones del cliente, anule la selección de cualquier excepción quesea necesario evitar que los usuarios en los equipos cliente configuren.


Crear excepcionesdeeventosde registroenSymantecEndpoint Protection Manager

Es posible crear excepciones de los eventos de registro para los análisis antivirusy antispyware, SONAR y la Protección contra intervenciones.

Tabla 17-4 Tipos de registros y excepciones

Tipo de registroTipo de excepción

Registro de riesgosArchivo

Registro de riesgos

Registro de SONAR

Carpeta

Registro de riesgosRiesgo conocido

Registro de riesgosExtensión

Registro de riesgos

Registro de SONAR

Aplicación

275Administración de excepcionesRestrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente

Tipo de registroTipo de excepción

Registro de riesgos

Registro de SONAR

Dominio web de confianza

Registro de control de aplicacionesProtección contra intervenciones


Symantec Endpoint Protection Small Business Edition debe haber detectado yael elemento para el cual desee crear una excepción. Cuando se usa un evento deregistro para crear una excepción, se especifica la política de excepciones quedebe incluir la excepción.



Para crear excepciones de eventos de registro en Symantec Endpoint ProtectionManager

1 En la ficha Supervisión, haga clic en la ficha Registros.

2 En la lista desplegable Tipo de registro, seleccione el registro de riesgos, elregistro de SONAR o el registro de control de aplicaciones y dispositivos.


4 Al lado de Intervalode tiempo, seleccione el intervalo de tiempo para filtrarel registro.

5 Seleccione la entrada o las entradas para las cuales desee crear una excepción.

6 Al lado de Acción, seleccione el tipo de excepción que desee crear.

El tipo de excepción que se selecciona debe ser válido para el elemento o loselementos que usted seleccionó.

7 Haga clic en Aplicar.

8 En el cuadro de diálogo, elimine cualquier elemento que usted no desee incluiren la excepción.

9 Para los riesgos para la seguridad, seleccione Registrarladeteccióndelriesgoparalaseguridad si desea que Symantec Endpoint Protection Small BusinessEdition registre la detección.

10 Seleccione todas las políticas de las excepciones que deban usar la excepción.


Administración de excepcionesCrear excepciones de eventos de registro en Symantec Endpoint Protection Manager

276

Configuración deactualizaciones yactualizaciones deprotección del equipocliente


■ Cómo administrar actualizaciones de contenido

■ Configurar la programación de descarga de LiveUpdate para Symantec EndpointProtection Manager

■ Descarga de contenido de LiveUpdate manual a Symantec Endpoint ProtectionManager

■ Visualización de descargas de LiveUpdate

■ Cómo comprobar la actividad del servidor de LiveUpdate

■ Configurar Symantec Endpoint Protection Manager para conectarse a unservidor proxy para acceder a Internet

■ Cómo habilitar y deshabilitar la programación de LiveUpdate para equiposcliente

■ Configurar la programación de descarga de LiveUpdate para equipos cliente

18Capítulo

Cómo administrar actualizaciones de contenidoLos productos de Symantec dependen de la información actual para proteger losequipos contra amenazas con la última tecnología de protección contra amenazas.Los servidores y los equipos cliente necesitan recibir actualizaciones periódicasde contenido de protección, como definiciones de virus y spyware, firmas delsistema de protección contra intrusiones y software del producto. LiveUpdateproporciona estas actualizaciones a través de una conexión a Internet. Symantecfirma las actualizaciones y el cliente LiveUpdate las verifica para asegurarse deque provienen de Symantec y no han sido manipuladas.

Una configuración avanzada está disponible para permitir a los usuarios el iniciomanual de LiveUpdate desde sus equipos cliente. Esta opción está desactivada deforma predeterminada. Si activa esta configuración, los usuarios pueden iniciarLiveUpdate y descargar las últimas definiciones del virus de contenido, lasactualizaciones de componentes y las actualizaciones del producto. Según eltamaño de la población de usuarios, es posible que no desee permitir que losusuarios descarguen todo el contenido sin probarlo antes. Además, pueden surgirproblemas si se ejecutan dos sesiones de LiveUpdate simultáneamente en losequipos cliente. De forma predeterminada, a los usuarios no se les permitedescargar actualizaciones de producto de un servidor de LiveUpdate. Es posiblecambiar esta configuración en el panel Configuración avanzada de la política deLiveUpdate.

Los usuarios siempre pueden ejecutar LiveUpdate en clientes Mac. Es posiblerestringir la ejecución de LiveUpdate solamente en los clientes Windows. Lasactualizaciones de producto de un servidor de LiveUpdate, sin embargo, puedenser restringidas tanto en clientes Mac como en Windows. Si restringe lasactualizaciones de producto de LiveUpdate en un cliente Mac, se debenproporcionar manualmente. Los clientes Mac no pueden obtener actualizacionesdel servidor de administración.

La Tabla 18-1 describe algunas de las tareas importantes que se pueden realizarpara administrar actualizaciones de contenido. Puesto que puede usar los valorespredeterminados para la actualización, las tareas son opcionales.

Configuración de actualizaciones y actualizaciones de protección del equipo clienteCómo administrar actualizaciones de contenido

278

Tabla 18-1 Tareas para administrar actualizaciones de contenido

DescripciónTarea

Después de instalar Symantec Endpoint Protection Manager, se configura para actualizarperiódicamente el contenido de forma automática. Sin embargo, puede ejecutar LiveUpdatede forma inmediata o en cualquier punto para descargar las últimas actualizaciones deseguridad y de productos.

Ver "Descarga de contenido de LiveUpdate manual a Symantec Endpoint ProtectionManager" en la página 282.

Ejecutar LiveUpdatedespués de lainstalación

Revise las descargas de LiveUpdate y la programación predeterminada que el servidor deadministración usa para obtener actualizaciones de contenido. Es posible ajustar laprogramación.

Ver "Configurar la programación de descarga de LiveUpdate para Symantec EndpointProtection Manager" en la página 281.

Ver "Visualización de descargas de LiveUpdate" en la página 283.

Ver "Cómo comprobar la actividad del servidor de LiveUpdate" en la página 283.

Revisar o cambiar laprogramación deLiveUpdate para elservidor deadministración

Los equipos cliente descargan automáticamente definiciones de virus y otras actualizacionesde contenido de producto de Symantec Endpoint Protection Manager. Es posible tambiénpermitir que usen LiveUpdate por medio de Internet para descargar definiciones de seguridady otras actualizaciones de producto directamente desde un servidor de Symantec LiveUpdate.

Nota: Los equipos cliente Mac obtienen actualizaciones solamente desde el servidor deSymantec LiveUpdate por medio de Internet.

Ver "Cómo los equipos cliente reciben actualizaciones de contenido" en la página 279.

Ver "Configurar la programación de descarga de LiveUpdate para equipos cliente"en la página 285.

Decidir cómo losequipos clienteobtienenactualizaciones

Cómo los equipos cliente reciben actualizaciones de contenidoSus equipos cliente descargan automáticamente definiciones de virus y otrasactualizaciones de contenido de seguridad de Symantec Endpoint ProtectionManager. Es posible también permitir que usen LiveUpdate por medio de Internetpara descargar definiciones de seguridad y otras actualizaciones de productodirectamente del servidor Symantec LiveUpdate cuando no tienen acceso alservidor Symantec Endpoint Protection Manager. La habilitación de un equipopara usar LiveUpdate por medio de Internet es especialmente útil si existenusuarios que viajan con equipos portátiles. Si los equipos se conectanintermitentemente o no se conectan a la red, actualícelos directamente desde unservidor de Symantec LiveUpdate por medio de Internet. Los equipos clientecontinúan obteniendo el contenido directamente desde Symantec Endpoint

279Configuración de actualizaciones y actualizaciones de protección del equipo clienteCómo administrar actualizaciones de contenido

Protection Manager cuando están en la red de la empresa. Este es el método deentrega más eficiente y conserva el ancho de banda de la red de la empresa.

Nota: Los equipos del cliente Mac obtienen actualizaciones solamente de unservidor externo de LiveUpdate. Solamente los equipos del cliente Windows puedenobtener actualizaciones del servidor de administración.

La configuración de la programación de Symantec Endpoint Protection ManagerLiveUpdate se define en Propiedades del servidor en la página Administrador.La configuración de la programación del equipo cliente LiveUpdate se define enla política de LiveUpdate.


Tabla 18-2 Métodos de distribución de contenido y cuándo se deben usar

Cuándo se lo debe utilizarDescripciónMétodo

Este método se configura de formapredeterminada después de la instalacióndel servidor de administración.

Nota: Solamente los equipos del clienteWindows pueden obtener actualizacionesdel servidor de administración. Los equiposcliente de Mac deben obtener actualmentelas actualizaciones desde un servidor deSymantec LiveUpdate o manualmente.

El servidor de administración puedeactualizar los equipos cliente queadministra.

Symantec EndpointProtection Manager paraequipos cliente

(Valor predeterminado)

Utilice un servidor externo de SymantecLiveUpdate para los equipos cliente que nose conectan siempre a la red corporativa.

Symantec Endpoint Protection Manager yLiveUpdate programado se habilitan deforma predeterminada, al igual que lasopciones para ejecutar solamenteLiveUpdate programado cuando se pierdela conexión a Symantec Endpoint ProtectionManager y las definiciones de virus yspyware son anteriores a cierta antigüedad.Con la configuración predeterminada, losclientes obtienen siempre actualizacionesde Symantec Endpoint Protection Manager,excepto cuando Symantec EndpointProtection Manager no responde por unlargo período.

Los equipos cliente pueden recibiractualizaciones directamente desde unservidor de Symantec LiveUpdate.

Nota: Los equipos cliente de Mac deben usareste método.

Servidor de SymantecLiveUpdate para equiposcliente por medio deInternet

Configuración de actualizaciones y actualizaciones de protección del equipo clienteCómo administrar actualizaciones de contenido

280

Un equipo cliente recibe las actualizaciones de contenido de LiveUpdate en lassituaciones siguientes:

■ La programación de LiveUpdate está habilitada para el equipo cliente.

■ Las definiciones de virus del equipo cliente son anteriores y el equipo clienteno puede comunicarse con Symantec Endpoint Protection Manager.

■ El equipo no ha podido comunicarse con Symantec Endpoint ProtectionManager en varias ocasiones.Es posible que un equipo portátil no pueda comunicarse con el servidor porqueestá sin conexión de la red. El equipo no recibe las actualizaciones de contenidode LiveUpdate cuando las definiciones de virus son actuales y el equipo puedecomunicarse con Symantec Endpoint Protection Manager.

Nota:La descarga de definiciones no necesita un reinicio informático. La descargade las actualizaciones del producto es posible que requiera el reinicio del equipo.

Configurar la programación de descarga deLiveUpdate para Symantec Endpoint ProtectionManager

Es posible ajustar la programación que Symantec Endpoint Protection Managerusa para descargar actualizaciones de contenido de LiveUpdate al servidor deadministración. Por ejemplo, se puede cambiar la frecuencia predeterminada dela programación del servidor de por hora a diaria para ahorrar ancho de banda.

La Tabla 18-3 enumera la configuración predeterminada que Symantec EndpointProtection Manager usa para descargar actualizaciones de contenido deLiveUpdate.

Tabla 18-3 Configuración predeterminada de la programación del servidor


Con qué frecuencia el servidor de administración descargael nuevo contenido. Symantec Endpoint Protection Managerobtiene actualizaciones de contenido de LiveUpdate cadacuatro horas.

Si selecciona una descarga Diariamente o Semanalmente,se puede seleccionar un intervalo para cuando la descargase inicia.

Frecuencia

Seleccionar intervalo deinicio de la descarga

281Configuración de actualizaciones y actualizaciones de protección del equipo clienteConfigurar la programación de descarga de LiveUpdate para Symantec Endpoint Protection Manager


El intervalo de reintento determina cuántas veces el servidorde administración intenta conectarse al servidor deLiveUpdate. El intervalo de reintento determina cuántotiempo el servidor de administración continúa intentandocuando la conexión genera errores.

Symantec Endpoint Protection Manager no puede conectarsea LiveUpdate; vuelve a intentarlo cada 15 minutos duranteuna hora.

Intervalo de reintento

Intervalo de reintento

Para configurar la programación para las descargas de LiveUpdate a SymantecEndpoint Protection Manager


2 En la página Administrador, haga clic en Sistema.

3 En la página Administrador, en Tareas, haga clic en Editar propiedades deservidor.

4 En el cuadro de diálogo Propiedades del servidor, en la ficha LiveUpdate,haga clic en Editar programación.

5 Cambie la frecuencia y cualquier otra configuración que se desee cambiar.



Descarga de contenido de LiveUpdate manual aSymantec Endpoint Protection Manager

No es necesario esperar las descargas programadas de LiveUpdate. Es posibledescargar manualmente actualizaciones de contenido a Symantec EndpointProtection Manager. Es posible usar cualquiera de los siguientes procedimientos.

Para descargar manualmente actualizaciones de contenido a Symantec EndpointProtection Manager

1 En la Páginaprincipal, seleccione Tareascomunes y a continuación seleccioneEjecutar LiveUpdate.

2 Haga clic en Descarga.

Configuración de actualizaciones y actualizaciones de protección del equipo clienteDescarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager

282

Para descargar manualmente actualizaciones de contenido a Symantec EndpointProtection Manager



3 Haga clic en Descargar contenido de LiveUpdate.

4 En el cuadro de diálogo Descargar contenido de LiveUpdate, haga clic enDescargar.


Visualización de descargas de LiveUpdateEs posible enumerar las descargas recientes de contenido de LiveUpdate.

Para ver las descargas de LiveUpdate



3 En la página Administrador, haga clic en MostrardescargasdeLiveUpdate.

4 Haga clic en Cerrar.


Cómo comprobar la actividad del servidor deLiveUpdate

Es posible enumerar los eventos relacionados con Symantec Endpoint ProtectionManager y LiveUpdate. Desde estos eventos, se puede determinar cuándo seactualizó el contenido.

Para comprobar la actividad del servidor de LiveUpdate


2 En la página Administrador, en Tareas, haga clic en Sistema.

3 Haga clic en Mostrar estado de LiveUpdate.

4 Haga clic en Cerrar.


283Configuración de actualizaciones y actualizaciones de protección del equipo clienteVisualización de descargas de LiveUpdate

Configurar Symantec Endpoint Protection Managerpara conectarse a un servidor proxy para acceder aInternet

Si desea que Symantec Endpoint Protection Manager pase a través de un servidorproxy para conectarse a Internet, es necesario configurar Symantec EndpointProtection Manager para conectarse al servidor proxy. Un servidor proxy puedeagregar una capa de seguridad porque solamente el servidor proxy está conectadodirectamente a Internet.

Para configurar Symantec Endpoint Protection Manager para conectarse a unservidor proxy para acceder a Internet y para descargar el contenido de SymantecLiveUpdate

1 En la consola, haga clic en Administrador y, luego, haga clic en Sistema.

2 En Servidores, seleccione el servidor de administración al cual desee conectarun servidor proxy.

3 En Tareas, haga clic en Editar propiedades de servidor.

4 En la ficha Servidorproxy, en ConfiguracióndeproxyHTTP, para Utilizacióndel proxy, seleccione Utilizar configuración de proxy personalizada.

5 Escriba la configuración de proxy.

Para obtener más información sobre esta configuración, haga clic en Ayuda.



Cómo habilitar y deshabilitar la programación deLiveUpdate para equipos cliente

Si habilita LiveUpdate para los equipos cliente, los equipos obtienen lasactualizaciones de contenido de LiveUpdate, según la programaciónpredeterminada o una programación que se especifique.

Si deshabilita LiveUpdate para los equipos cliente, los equipos no consiguenactualizaciones de contenido directamente del servidor de Symantec LiveUpdate.

Para habilitar la programación de LiveUpdate para equipos cliente


2 En Políticas, haga clic en LiveUpdate.

3 Haga clic con el botón derecho en la política que desee y haga clic en Editar.

Configuración de actualizaciones y actualizaciones de protección del equipo clienteConfigurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet

284

4 En Configuración de Windows, haga clic en Programación.

5 Seleccione Habilitar programación de LiveUpdate.

6 Especifique la frecuencia y el intervalo de reintento.


Para deshabilitar la programación de LiveUpdate para equipos cliente


2 En Políticas, haga clic en LiveUpdate.

3 Haga clic con el botón derecho en la política que desee y haga clic en Editar.


5 Anule la selección de Habilitar programación de LiveUpdate.



Configurar la programación de descarga deLiveUpdate para equipos cliente

La configuración de la programación del cliente de LiveUpdate se define en lapolítica de LiveUpdate.

Para ahorrar ancho de banda, los clientes de Symantec Endpoint Protection SmallBusiness Edition ejecutan solamente descargas programadas de LiveUpdate desdeel servidor de Symantec LiveUpdate si se cumple una de las siguientes condiciones:

■ Las definiciones de virus y spyware en el equipo cliente tienen más de dos díasde antigüedad.

■ Un equipo cliente está desconectado de Symantec Endpoint Protection Managerpor más de ocho horas.

Para configurar la programación para las descargas de LiveUpdate a equipos clienteWindows

1 Haga clic en Políticas y, a continuación, haga clic en LiveUpdate.

2 Haga clic con el botón derecho en la política de LiveUpdate que desee y, acontinuación, haga clic en Editar.


4 Seleccione Habilitar programación de LiveUpdate.

285Configuración de actualizaciones y actualizaciones de protección del equipo clienteConfigurar la programación de descarga de LiveUpdate para equipos cliente

5 Especifique la frecuencia.

Si selecciona Diariamente, configure también la hora del día en que debeejecutarse. Si selecciona Semanalmente, configure también la hora del día yel día de la semana en que debe ejecutarse.

6 Si selecciona cualquier frecuencia que no sea Continuamente, especifique elIntervalo de reintento.

El Intervalo de reintento es la cantidad de horas o días que el equipo clienteintenta ejecutar LiveUpdate si el LiveUpdate programado falla por algunarazón.

7 Configure las opciones adicionales, si lo desea:


Para configurar la programación para las descargas de LiveUpdate a equipos clienteMac

1 Haga clic en Políticas y, a continuación, haga clic en LiveUpdate.

2 Haga clic con el botón derecho en la política que desee y, a continuación, hagaclic en Editar.

3 En Configuración de Mac, haga clic en Programación.

4 Especifique la frecuencia.

Si selecciona Diariamente, configure también la hora del día en que debeejecutarse. Si selecciona Semanalmente, configure también la hora del día yel día de la semana en que debe ejecutarse.

5 Haga clic en Aceptar cuando termine.


Configuración de actualizaciones y actualizaciones de protección del equipo clienteConfigurar la programación de descarga de LiveUpdate para equipos cliente

286

Supervisión de proteccióncon los informes y losregistros


■ Supervisión de protección de endpoints

■ Configurar preferencias de la elaboración de informes

■ Acerca de los tipos de informes

■ Ejecución y personalización de informes rápidos

■ Guardado y eliminación de informes personalizados

■ Creación de informes programados

■ Cómo editar el filtro usado para un informe programado

■ Imprimir y guardar una copia de un informe

■ Ver registros

■ Ejecución de comandos en el equipo cliente desde los registros

Supervisión de protección de endpointsSymantec Endpoint Protection Small Business Edition recopila información sobrelos eventos de seguridad en su red. Es posible usar el registro y los informes paraver estos eventos, y se pueden usar notificaciones para permanecer informadosobre los eventos a medida que ocurren.

19Capítulo

Es posible usar los informes y los registros para determinar las respuestas a lasclases siguientes de preguntas:

■ ¿Qué equipos están infectados?

■ ¿Qué equipos necesitan análisis?

■ ¿Qué riesgos se detectaron en la red?

Nota: Symantec Endpoint Protection Small Business Edition extrae los eventosque aparecen en los informes de los registros de eventos de sus servidores deadministración. Los registros de eventos contienen marcas de horacorrespondientes la zona horaria de los equipos cliente. Cuando el servidor deadministración recibe los eventos, convierte los grupos fecha/hora del evento aHora del meridiano de Greenwich (GMT) para la inserción en la base de datos. Alcrear informes, el software de informes muestra información sobre eventos en lahora local del equipo en el que se ven los informes.

Supervisión de protección con los informes y los registrosSupervisión de protección de endpoints

288

Tabla 19-1 Tareas para supervisar la protección de puntos finales

DescripciónTarea

La lista siguiente describe algunas de las tareas que se pueden realizar para supervisar elestado de seguridad de sus equipos cliente.

■ Obtener un recuento de virus y de otros riesgos para la seguridad detectados, y verdetalles de cada virus y riesgo para la seguridad.

Ver "Visualización de riesgos" en la página 292.

■ Obtener un recuento de equipos desprotegidos en su red y ver los detalles de cada uno.

Ver "Ver el sistema de protección" en la página 291.

■ Ver el número de equipos con definiciones actualizadas de virus y de spyware.


■ Consultar el estado operativo en tiempo real de sus equipos cliente.

Ver "Visualizar el estado de protección de los clientes y equipos cliente" en la página 115.

■ Ver el número de equipos que están desconectados.

Ver "Cómo encontrar equipos sin conexión" en la página 291.

■ Revisar los procesos que se ejecutan en su red.

Ver "Supervisión de los resultados de la detección de SONAR para comprobar laexistencia de falsos positivos" en la página 217.

■ Localizar qué equipos están asignados a cada grupo.

Ver "Visualización de equipos asignados" en la página 111.

■ Localizar qué políticas están asignadas a cada grupo.


■ Consultar la información de licencias en los equipos cliente, que incluye el número depuestos válidos, de puestos sobre-implementados, de puestos caducados y de fecha decaducidad.



Ver "Visualización de un informe de estado diario o semanal" en la página 290.

Revise el estado deseguridad de su red

Es posible realizar las siguientes tareas para ver o buscar qué equipos necesitan protecciónadicional:

■ Ver el número de equipos que tienen Symantec Endpoint Protection Small BusinessEdition deshabilitado.


■ Ver el número de equipos con definiciones desactualizadas de virus y de spyware.


■ Buscar los equipos que no se han analizado recientemente.

Ver "Cómo encontrar equipos no analizados" en la página 292.

■ Ver destinos y fuentes de ataque.

Ver "Visualización de destinos y fuentes de ataque" en la página 294.

Localizar qué equiposcliente necesitanprotección

289Supervisión de protección con los informes y los registrosSupervisión de protección de endpoints

DescripciónTarea

Es posible ejecutar comandos desde la consola para proteger los equipos cliente.

Ver "Ejecución de comandos en el equipo cliente desde los registros" en la página 308.

Por ejemplo, se pueden eliminar riesgos para la seguridad en los equipos cliente.

Ver "Cómo comprobar la acción de análisis y volver a analizar los equipos identificados"en la página 146.

Proteger sus equiposcliente

Los eventos son las actividades informativas, notables y críticas correspondientes a suSymantec Endpoint Protection Manager y a los equipos cliente. La información en losregistros de eventos complementa la información es que contienen los informes.

Ver "Acerca de los registros" en la página 304.


Revisar eventos en losregistros

Es posible crear y configurar las notificaciones para que se activen cuando ocurren ciertoseventos relacionados con la seguridad. Por ejemplo, se puede configurar una notificaciónpara que ocurra cuando un intento de intrusión ocurre en un equipo cliente.


Configurarnotificaciones paraalertarlo cuandoocurren los eventos deseguridad

Es posible crear y generar informes rápidos personalizados y se pueden programar informespersonalizados para ejecutarlos regularmente con la información que desee ver.



Ver "Guardado y eliminación de informes personalizados" en la página 299.

Ver "Configurar preferencias de la elaboración de informes" en la página 295.

Crear informes rápidospersonalizados einformes programadospara la supervisióncontinuada

Visualización de un informe de estado diario o semanalEl informe de estado diario proporciona la siguiente información:

■ La cantidad de detecciones de virus de acciones borradas, sospechosas,bloqueadas, en cuarentena y eliminadas

■ La cronología de definiciones de virus de la distribución

■ Los principales diez riesgos e infecciones

El informe de estado semanal proporciona la siguiente información:

■ Estado del equipo

■ La detección de virus

■ La instantánea del estado de protección


290

■ La cronología de definiciones de virus de la distribución

■ La distribución de riesgos por día

■ Los principales diez riesgos e infecciones


Para ver el informe de estado diario


2 En la página Inicio, en el panel Informesfavoritos, haga clic en Estadodiariode Symantec Endpoint Protection o Est. semanal Symantec EndpointProtection Small Business Edition.

Ver el sistema de protecciónLa protección del sistema abarca la siguiente información:

■ El número de equipos con definiciones de virus actualizadas.

■ El número de equipos con definiciones de virus desactualizadas.

■ El número de equipos sin conexión.

■ El número de equipos deshabilitados.


Para ver la protección del sistema


La protección del sistema se muestra en el panel Estado del endpoint.

2 En el panel Estado del endpoint, haga clic en Ver detalles para ver másinformación de la protección del sistema.

Cómo encontrar equipos sin conexiónEs posible enumerar los equipos que están sin conexión.

Un cliente puede estar desconectado por varios motivos. Es posible identificar losequipos que están desconectados y reparar estos problemas de varias maneras.

Ver "Cómo solucionar problemas de comunicación entre el servidor deadministración y el cliente" en la página 348.


Para encontrar equipos sin conexión


2 En la Páginaprincipal, en el panel Estadodelendpoint, haga clic en el vínculoque representa el número de equipos sin conexión.

3 Para obtener más información sobre los equipos sin conexión, haga clic enel vínculo Ver detalles.

Para ejecutar un informe sobre los equipos cliente desconectados


2 En la ficha Registros, del cuadro de lista Tipoderegistro, haga clic en Estadodel equipo.

3 Haga clic en Opciones avanzadas.

4 En el cuadro de lista Estado de conexión, haga clic en Desconectado.


De forma predeterminada, aparece una lista de los equipos que han estadodesconectados durante las últimas 24 horas. La lista incluye el nombre decada equipo, la dirección IP y la última vez que se registró con su servidor.Es posible ajustar el intervalo de tiempo para visualizar los equiposdesconectados para cualquier intervalo que desee ver.

Cómo encontrar equipos no analizadosEs posible enumerar los equipos que se deben analizar.


Para encontrar los equipos no analizados


2 En la ficha Informes rápidos, especifique la siguiente información:

Se selecciona el Análisis.Tipo de informe

Se seleccionan los Equipos no analizados.Informe seleccionado

3 Haga clic en Crear informe.

Visualización de riesgosEs posible conseguir información sobre los riesgos en su red.



292

Para ver los equipos infectados y en peligro



Seleccione Riesgo.Tipo de informe

Seleccione Equipos infectados y en riesgo.Informe seleccionado


Para ver riesgos recientemente detectados




Seleccione Nuevos riesgos detectados en la red.Informe seleccionado


Para ver un informe de riesgo completo




Seleccione Informe completo de riesgos.Seleccionar un informe


Visualización del inventario de clientesEs posible confirmar el estado de los equipos cliente implementados.



Para ver el inventario de clientes



Estado del equipo.Tipo de informe

Detalles del inventario de clientes.Seleccionar un informe


Visualización de destinos y fuentes de ataqueEs posible ver los destinos y las fuentes de ataque.


Para ver los principales destinos que fueron atacados



Se selecciona Protección contra amenazas de red.Tipo de informe

Se selecciona Principales destinos atacados.Seleccionar un informe


Para ver las principales fuentes de ataque




Se selecciona Principales fuentes de ataque.Seleccionar un informe


Un informe detallado contiene las estadísticas siguientes:

■ Principales tipos de ataque

■ Principales destinos de ataque

■ Principales fuentes de ataque

■ Principales notificaciones de tráfico


294

Para ver un informe detallado de los destinos y la fuentes de ataque




Se selecciona Informe completo.Seleccionar un informe

Es posible seleccionar opcionalmente los informes que sedeben incluir en el informe detallado.

Opción Configurar


Configurar preferencias de la elaboraciónde informesEs posible configurar las preferencias siguientes de elaboración de informes:

■ Las opciones de visualización de la página Supervisión y de la Páginaprincipal

■ Los umbrales de Estado de seguridad

■ Las opciones de visualización que se utilizan para los registros y los informes,así como la carga de la versión anterior del archivo de registro

Para obtener información sobre las opciones de preferencia que puede configurar,haga clic en Ayuda en cada ficha, en el cuadro de diálogo Preferencias.

Para configurar preferencias de elaboración de informes

1 En la consola, en la Página principal, haga clic en Preferencias.

2 Haga clic en una de las siguientes fichas, según el tipo de preferencias quedesee configurar:

■ Inicio y supervisión

■ Estado de seguridad

■ Registros e informes

3 Configure los valores para las opciones que desee modificar.


Acerca de los tipos de informesLas categorías siguientes de informes están disponibles:

■ Informes rápidos, que se ejecutan según sea necesario.

295Supervisión de protección con los informes y los registrosConfigurar preferencias de la elaboración de informes

■ Informes programados, que se ejecutan de forma automática en función de laprogramación que configure.

Los informes incluyen los datos de eventos que se recopilan de los servidores deadministración y de los equipos cliente que se comunican con esos servidores. Esposible personalizar los informes para proporcionar la información que deseaver.

Se predefinen los informes rápidos, pero puede personalizarlos y guardar losfiltros que usaba para crear informes personalizados. Es posible usar los filtrospersonalizados para crear informes programados personalizados. Cuandoprograma un informe para ejecutar, puede configurarlo para enviarlo por correoelectrónico a uno o más destinatarios.


De forma predeterminada, siempre se ejecuta un informe programado. Puedemodificar la configuración de cualquier informe programado que aún no hayaejecutado. También puede eliminar uno o todos los informes programados.


Es posible también imprimir y guardar informes.

Ver "Imprimir y guardar una copia de un informe" en la página 302.

Tabla 19-2 describe los tipos de informes que están disponibles.

Tabla 19-2 Tipos de informes disponibles como informes rápidos e informesprogramados

DescripciónTipo de informe

Muestra información sobre el estado operativo de losequipos de la red, como qué equipos tienen funciones deseguridad desactivadas. Estos informes incluyeninformación sobre versiones, sobre los clientes que se hanregistrado en el servidor, el inventario de clientes y el estadoen línea.

estado del equipo

Muestra información sobre prevención de intrusiones,ataques en el firewall y tráfico y paquetes del firewall.

Los informes de la protección contra amenazas de redpermiten realizar un seguimiento de la actividad del equipoy de su interacción con otros equipos y otras redes. Registraninformación sobre el tráfico que intenta ingresar en losequipos o salir de ellos mediante sus conexiones de red.

Protección contra amenazasde red

Supervisión de protección con los informes y los registrosAcerca de los tipos de informes

296

DescripciónTipo de informe

Muestra información sobre eventos de riesgo en losservidores de administración y sus clientes. Incluyeinformación sobre el análisis de amenazas proactivoTruScan.

Riesgo

Muestra la información sobre la actividad de análisis despyware y virus.

Analizar


Ejecución y personalización de informes rápidosLos informes rápidos son informes personalizables y predefinidos. Estos informesincluyen los datos de eventos recopilados de sus servidores de administración asícomo de los equipos cliente que se comunican con esos servidores. Los informesrápidos proporcionan la información sobre los eventos que se especificó en laconfiguración que se estableció para el informe. Es posible guardar la configuracióndel informe de modo que se pueda ejecutar el mismo informe en una fechaposterior, y es posible imprimir y guardar informes.

Los informes rápidos son estáticos; proporcionan información específica delcalendario que se especificó para el informe. Alternativamente, se puedensupervisar eventos en tiempo real usando los registros.

Para ejecutar un informe rápido


2 En la ficha Informesrápidos, en el cuadro de lista Tipodeinforme, seleccioneel tipo de informe que desea ejecutar.

3 En el cuadro de lista Seleccionaruninforme, seleccione el nombre del informeque desea ejecutar.


Para personalizar un informe rápido


2 En la ficha Informesrápidos, en el cuadro de lista Tipodeinforme, seleccioneel tipo de informe que desea personalizar.

297Supervisión de protección con los informes y los registrosEjecución y personalización de informes rápidos

3 En el cuadro de lista Seleccionaruninforme, seleccione el nombre de informeque desea personalizar.

Para el informe Estado de cumplimiento de la red y el informe Estado decumplimiento, en el cuadro de lista Estado, seleccione una configuración defiltros guardada que se desee usar o deje el filtro predeterminado.

Para el informe Correlación principal de detecciones de riesgos, se puedenseleccionar los valores para los cuadros de lista Eje X y Eje Y a fin deespecificar cómo desea ver el informe.

Para el informe Histogramadeestadísticasdeanálisis, se pueden seleccionarlos valores para Amplitud de clases y Número de contenedores.

Para algunos informes, se puede especificar cómo agrupar los resultados delinforme en el cuadro de lista Grupo. Para otros informes, se puede seleccionarun destino en el campo Destino en el cual se filtren los resultados del informe.

4 En el cuadro de lista Utilizar filtro guardado, seleccione una configuraciónde filtro guardada que desee utilizar o deje el filtro predeterminado.

5 En ¿Qué configuración de filtros desea utilizar?, en el cuadro de listaIntervalo de tiempo, seleccione el intervalo de tiempo para el informe.

6 Si selecciona Definir fechas específicas, después use los cuadros de listaFechadeinicio y Fechadefinalización. Estas opciones configuran el intervalode tiempo sobre el cual se desea ver información.

Cuando genera un informe de estado del equipo y selecciona Definir fechasespecíficas, especifica que desea ver todas las entradas que impliquen unequipo que no se ha registrado en su servidor desde la hora que especificó enel campo de fecha y hora.

7 Si desea configurar las opciones adicionales para el informe, haga clic enConfiguración avanzada y configure las opciones que desee.

Es posible hacer clic en Más información para ver las descripciones de lasopciones del filtro en la ayuda contextual.

Nota:Los cuadros de texto de opción del filtro que aceptan caracteres comodíny buscan coincidencias no diferencian entre mayúsculas y minúsculas. Elcarácter del asterisco ASCII es el único carácter de asterisco que se puedeutilizar como carácter comodín.

Es posible guardar las opciones de configuración del informe si piensa quequerrá ejecutar este informe de nuevo en el futuro.


Supervisión de protección con los informes y los registrosEjecución y personalización de informes rápidos

298

Ver "Guardado y eliminación de informes personalizados" en la página 299.

Ver "Imprimir y guardar una copia de un informe" en la página 302.


Guardado y eliminación de informes personalizadosPuede guardar la configuración de informes personalizados en un filtro, de modoque se pueda volver a generar el informe en una fecha posterior. Cuando guardala configuración, se guarda en la base de datos. El nombre que se le asigna al filtroaparece en el cuadro de lista Usar un filtro guardado para ese tipo de registros einformes.

Nota: Las opciones de configuración del filtro que guarda están disponibles parala cuenta del inicio de sesión del usuario solamente. Otros usuarios con privilegiosde elaboración de informes no tienen acceso a la configuración guardada.

Ver "Cómo editar el filtro usado para un informe programado" en la página 301.

Puede eliminar las configuraciones de informe que usted crea. Si se elimina unaconfiguración, el informe ya no estará disponible. El nombre de la configuraciónde informe predeterminado aparece en el cuadro de lista Utilizar informeguardado, y la pantalla vuelve a completarse con las opciones de configuraciónpredeterminadas.

Nota: Si elimina un administrador del servidor de administración, tiene la opciónde guardar los informes que creó el administrador eliminado. La propiedad de losinformes se cambia, así como los nombres del informe. El nuevo nombre delinforme tiene el formato "OriginalName('AdminName')". Por ejemplo, un informecreado por el administrador JSmith llamado Monday_risk_reports, se cambiaríasu nombre a Monday_risk_reports(JSmith).

Para guardar un informe personalizado


2 En la ficha Informes rápidos, seleccione un tipo de informe del cuadro delista.

3 Modifique cualquier configuración básica o configuración avanzada para elinforme.

4 Haga clic en Guardar filtro.

299Supervisión de protección con los informes y los registrosGuardado y eliminación de informes personalizados

5 En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo paraeste filtro de informes. Solo se muestran los primeros 32 caracteres del nombrecuando el filtro se agrega a la lista Usar un filtro guardado.


7 Cuando aparezca el cuadro de diálogo de confirmación, haga clic en Aceptar.

Después de que se guarda un filtro, aparece en el cuadro de lista Usarunfiltroguardado para los informes y los registros relacionados.

Para eliminar un informe personalizado


2 En la ficha Informes rápidos, seleccione un tipo de informe.

3 En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de laconfiguración del filtro que desea eliminar.

4 Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usarun filtroguardado.

5 Cuando aparezca el cuadro de diálogo de confirmación, haga clic en Sí.

Creación de informes programadosLos informes programados son los informes que se ejecutan automáticamentebasados en la programación que se configura. Los informes programados se envíanpor correo electrónico a los destinatarios, así que es necesario incluir la direcciónde correo electrónico de por lo menos un recipiente. Después de que un informese ejecuta, el informe se envía por correo electrónico a los destinatarios que seconfiguran como archivo adjunto .mht.

Los datos que aparecen en los informes programados se actualizan en la base dedatos cada hora. Cuando el servidor de administración envía por correo electrónicoun informe programado, los datos en el informe se actualizan en una hora.

Para crear un informe programado


2 En la ficha Informes programados, haga clic en Agregar.

3 En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y,opcionalmente, escriba una descripción más larga.

Aunque se puedan pegar más de 255 caracteres en el cuadro de texto de ladescripción, solo 255 caracteres se guardan en la descripción.

4 Si no desea que se ejecute este informe, anule la selección de la casilla deverificación Activar este informe programado.

Supervisión de protección con los informes y los registrosCreación de informes programados

300

5 Seleccione el tipo de informe que desee programar del cuadro de lista.

6 Seleccione el nombre del informe específico que desee programar del cuadrode lista.

7 Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista.

8 En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en elcual desea que el informe sea enviado por correo electrónico a los destinatarios(horas, días, semanas o meses). A continuación, escriba el valor para elintervalo de tiempo que usted seleccionó. Por ejemplo, si desea que el informele sea enviado día por medio, seleccione días y después escriba 2.

9 En el cuadro de texto Iniciar después de, escriba la fecha en que desea queel informe se inicie o haga clic en el icono del calendario y seleccione la fecha.A continuación, seleccione la hora y los minutos de los cuadros de lista.

10 En Destinatarios del informe, escriba una o más direcciones de correoelectrónico separadas por comas.

Es necesario haber configurado las propiedades del servidor de correo paraque las notificaciones de correo electrónico funcionen.

11 Haga clic en Aceptar para guardar la configuración del informe programado.

Cómo editar el filtro usado para un informeprogramado

Es posible modificar la configuración para cualquier informe que se hayaprogramado. La próxima vez que el informe se ejecuta utiliza la nuevaconfiguración del filtro. Es posible además crear informes programados adicionales,que es posible asociar a un filtro de informes previamente guardado.

Nota: Cuando se asocia un filtro guardado a un informe programado, asegúresede que el filtro no contenga fechas personalizadas. Si el filtro especifica una fechapersonalizada, usted obtendrá el mismo informe cada vez que se ejecute el informe.


Para editar el filtro utilizado para un informe programado


2 Haga clic en Informes programados.

3 En la lista de informes, haga clic en el informe programado que desee editar.

4 Haga clic en Editar filtro.

301Supervisión de protección con los informes y los registrosCómo editar el filtro usado para un informe programado

5 Realice los cambios del filtro que desee.


Si desea conservar el filtro de informes original, dé a este filtro editado unnuevo nombre.



Imprimir y guardar una copia de un informeEs posible imprimir un informe o guardar una copia de un informe rápido. No esposible imprimir informes programados. Un archivo guardado o un informeimpreso proporcionan una instantánea de los datos actuales de la base de datosde elaboración de informes, de modo que se pueda conservar un registro delhistorial.

Nota:De forma predeterminada, Internet Explorer no imprime las imágenes y loscolores de fondo. Si esta opción de impresión está deshabilitada, el informe impresose verá diferente del informe creado por el usuario. Puede cambiar la configuraciónen el navegador para imprimir las imágenes y los colores de fondo.


Para imprimir una copia de un informe

1 En la ventana de informes, haga clic en Imprimir.

2 En el cuadro de diálogo Imprimir, seleccione la impresora que desee, si esnecesario, y haga clic en Imprimir.

Cuando se guarda un informe, se guarda una captura de pantalla del entorno deseguridad que corresponde a los datos actuales de la base de datos de informes.Si ejecuta el mismo informe más adelante, a partir de la misma configuración defiltro, el nuevo informe mostrará datos diferentes.

Para guardar una copia de un informe

1 En la ventana de informes, haga clic en Guardar.

2 En el cuadro de diálogo Descarga del archivo, haga clic en Guardar.

3 En el cuadro de diálogo Guardar como, en el cuadro de diálogo de selecciónGuardar en, vaya a la ubicación donde desea guardar el archivo.

4 En el cuadro de lista Nombre de archivo, modifique el nombre de archivopredeterminado, si lo desea.

Supervisión de protección con los informes y los registrosImprimir y guardar una copia de un informe

302

5 Haga clic en Guardar.

El informe se guarda en formato de archivo de página web MHTML en laubicación que seleccionó.

6 En el cuadro de diálogo Descarga finalizada, haga clic en Cerrar.

Ver registrosPuede generar una lista de eventos para ver desde los registros que se basan enun conjunto de opciones de filtro seleccionadas. Cada tipo de registro y decontenido tiene una configuración de filtro predeterminada que puede utilizarsecomo está o modificarse. Es posible además crear y guardar nuevas configuracionesde filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en unfiltro existente que usted creó previamente. Si guarda la configuración del filtro,puede generar la misma vista de registro en una fecha posterior sin tener quevolver a configurar las opciones. Es posible eliminar las configuraciones de filtropersonalizadas si ya no las necesita.

Debido a que los registros contienen cierta información que se recopila a intervalos,es posible actualizar las vistas de los registros. Para configurar la frecuencia deactualización del registro, visualice el registro y selecciónelo del cuadro de listaActualizaciónautomática en la parte superior derecha de la vista de ese registro.

Nota: Si ve datos de registro usando fechas específicas, los datos permaneceniguales cuando se hace clic en Actualización automática.

Los informes y los registros siempre muestran el idioma en el que se instaló elservidor de administración.

Ver "Acerca de los registros" en la página 304.

Ver "Guardado y eliminación de registros personalizados con filtros"en la página 306.

Para ver un registro

1 En la ventana principal, haga clic en Supervisión.

2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipode registro que desea ver.

3 En algunos tipos de registros, aparece un cuadro de lista Contenido delregistro. Si aparece, seleccione el contenido del registro que desea ver.

4 En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardadoo deje el valor Predeterminado.

303Supervisión de protección con los informes y los registrosVer registros

5 Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje el valorpredeterminado. Si selecciona Definir fechas específicas, defina la fecha olas fechas y la hora para las cuales desea visualizar entradas.

6 Haga clic en Configuración avanzada para limitar la cantidad de entradasque se visualizan.

Es posible además configurar cualquier otra Configuración avanzadadisponible para el tipo de registro que seleccionó.

Nota:Los campos de opción del filtro que aceptan caracteres comodín y buscancoincidencias no diferencian entre mayúsculas y minúsculas. El carácter delasterisco ASCII es el único carácter de asterisco que se puede utilizar comocarácter comodín.

7 Después de tener la configuración de vista que desea, haga clic en Verregistro.

La vista de registro aparece en la misma ventana.

Acerca de los registrosLos registros contienen registros sobre cambios en la configuración de los clientes,actividades relacionadas con la seguridad y errores. Estos registros se llamaneventos. Los registros muestran estos eventos con cualquier información adicionalrelevante. Las actividades relacionadas con la seguridad incluyen informaciónsobre detecciones de virus, el estado del equipo, y el tráfico entrante o salientedel equipo cliente.

Los registros son un método importante para conocer la actividad del equipo decada cliente y su interacción con otros equipos y redes. Es posible usar estos datospara analizar el estado general de seguridad de la red y para modificar la protecciónen los equipos cliente. Es posible realizar un seguimiento de las tendencias quese relacionan con virus, riesgos para la seguridad y ataques. Si varias personasutilizan el mismo equipo, es posible que pueda identificar quién introduce riesgos,y ayudar a esa persona a tomar mayores precauciones.

Es posible ver los datos de registro en la ficha Registros de la página Supervisión.

El servidor de administración carga regularmente la información en los registrosde los clientes al servidor de administración. Es posible ver esta información enlos registros o en informes. Dado que los informes son estáticos y no incluyentantos detalles como los registros, es posible que prefiera supervisar la redprincipalmente con registros.

Supervisión de protección con los informes y los registrosVer registros

304

Es posible ver la información sobre las notificaciones creadas en la fichaNotificaciones y la información sobre el estado de los comandos en la ficha Estadodel comando.

Es posible además ejecutar comandos desde algunos registros.


La Tabla 19-3 describe los distintos tipos de contenido que es posible ver y lasacciones que pueden efectuarse desde cada registro.

Tabla 19-3 Tipos de registros

Contenido y accionesTipo de registro

La aplicación y el control de dispositivos no se admite en Symantec EndpointProtection Small Business Edition, pero el registro Control de aplicaciones contieneinformación sobre eventos de Protección contra intervenciones. Aunque también sepuede seleccionar el registro Control de dispositivos para ver, siempre está vacío.

La información disponible incluye la hora en que ocurrió el evento, las medidastomadas, el dominio y el equipo que estaban implicados, el usuario que estabaimplicado, la gravedad, la regla que estaba implicada, el proceso de llamada y eldestino.

Es posible crear una excepción de Protección contra intervenciones del registroControl de aplicaciones.

Control de aplicaciones ydispositivos

Los registros de estado del equipo contienen información sobre el estado operacionalde los equipos cliente de la red en tiempo real.

La información disponible incluye el nombre del equipo, la dirección IP, el estadoinfectado, las tecnologías de protección, el estado Auto-Protect, las versiones, la fechade las definiciones, el usuario, la hora del último registro, la política, el grupo, eldominio y el estado que indica que debe reiniciar.

Es posible además borrar el estado infectado de los equipos desde este registro.

estado del equipo

Los registros de protección contra amenazas de red contienen información sobreataques en el firewall y en la prevención de intrusiones. Existe información disponiblesobre ataques de negación de servicio, análisis de puertos y los cambios que fueronrealizados a los archivos ejecutables. Además contienen la información sobre lasconexiones que se hacen a través del firewall (tráfico) y los paquetes de datos quepasan a través de él. Estos registros además contienen algunos de los cambiosoperacionales que se realizan en los equipos, como detectar aplicaciones de red yconfigurar software.

No hay ninguna acción asociada a estos registros.

Proteccióncontraamenazasde red


Contenido y accionesTipo de registro

El El registro de SONAR contiene información sobre las amenazas que se han detectadodurante el análisis de amenazas de SONAR. Estos son los análisis en tiempo real quedetectan aplicaciones potencialmente maliciosas cuando se ejecutan en sus equiposcliente.

La información disponible incluye elementos, como la hora de la incidencia, la acciónreal del evento, el nombre de usuario, el equipo o el dominio, la aplicación o el tipode aplicación, el recuento y el archivo o la ruta.


SONAR

El registro de riesgos contiene información sobre eventos de riesgo. La informacióndisponible incluye la hora del evento, la acción real del evento, el nombre de usuario,el equipo o el dominio, el nombre del riesgo o el origen, el recuento y el archivo o laruta.

Riesgo

El Registro de análisis contiene información sobre la actividad de análisis de virus yspyware.

La información disponible incluye elementos, tales como el inicio del análisis, elequipo, la dirección IP, el estado, la duración, las detecciones, los elementos analizados,los elementos omitidos y el dominio.


Analizar

Los registros de sistema contienen información sobre eventos tales como cuándo seinician y se detienen los servicios.


Sistema

Guardado y eliminación de registros personalizados con filtrosEs posible crear filtros personalizados con Configuraciónbásica y Configuraciónavanzada para modificar la información que se desea ver. Es posible guardar laconfiguración del filtro en la base de datos de modo que se pueda volver a generarla misma vista en el futuro. Cuando guarda la configuración, se guarda en la basede datos. El nombre que se da al filtro aparece en el cuadro de lista Usar un filtroguardado para ese tipo de registros y de informes.

Supervisión de protección con los informes y los registrosVer registros

306

Nota: Si seleccionó Últimas 24 horas como el intervalo de tiempo para un filtrode registro, el intervalo de tiempo de 24 horas se inicia al seleccionar el filtro porprimera vez. Si se actualiza la página, no se restablece el inicio del intervalo de24 horas. Si selecciona el filtro y espera para crear un registro, el intervalo detiempo se inicia al seleccionar el filtro. No se inicia cuando ve el registro.

Para asegurarse de que el intervalo de las últimas 24 horas comience en estemomento, seleccione un intervalo de tiempo diferente y vuelva a seleccionarÚltimas 24 horas.

Para guardar un registro personalizado con un filtro

1 En la ventana principal, haga clic en Supervisión.

2 En la ficha Registros, seleccione el tipo de vista de registro para la que deseaconfigurar un filtro, desde el cuadro de lista Tipo de registro.

3 En algunos tipos de registros, aparece un cuadro de lista Contenido delregistro. Si aparece, seleccione el contenido del registro para el que deseaconfigurar un filtro.

4 En el cuadro de lista Usarunfiltroguardado, seleccione el filtro desde el cualdesea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado.

5 En la sección Qué configuración de filtros desea utilizar, haga clic enConfiguración avanzada.

6 Modifique cualquiera de las opciones.


8 En el cuadro de diálogo que aparece, en el cuadro Nombre del filtro, escribael nombre que desee utilizar para esta configuración de filtro de registro. Solose muestran los primeros 32 caracteres del nombre cuando el filtro guardadose agrega a la lista de filtros.

9 Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de listaUsar un filtro guardado.


Para eliminar un filtro guardado

1 En el cuadro de lista Usar un filtro guardado, seleccione el nombre de laconfiguración del filtro que desea eliminar.

2 Al lado del cuadro de lista Usar un filtro guardado, haga clic en el iconoEliminar.

3 Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en Sí.


Ejecución de comandos en el equipo cliente desdelos registros

Desde el registro Estado del equipo, es posible ejecutar varios comandos en losequipos cliente.

Es posible también hacer clic con el botón derecho en un grupo directamente desdela página Equipos de la consola de Symantec Endpoint Protection Manager paraejecutar comandos.



Desde la ficha Estado del comando, es posible ver el estado de los comandos quese han ejecutado desde la consola y sus detalles. Es posible además cancelar unanálisis específico desde esta ficha si el análisis está en curso.

Es posible ver el estado de los comandos que se han ejecutado desde la consola ysus detalles. Es posible además cancelar un análisis específico desde esta ficha siel análisis está en curso.

Es posible cancelar todos los análisis en curso y en cola para los clientesseleccionados. Si confirma el comando, la tabla se actualiza y se ve que el comandode cancelación se agrega a la tabla de estado del comando.

Nota: Si ejecuta un comando de análisis y selecciona un Análisis personalizado,el análisis utiliza la configuración del análisis de comando que usted configuróen la página Análisis definido por el administrador. El comando usa laconfiguración que está en la política de protección antivirus y antispyware quese aplica a los equipos cliente seleccionados.

Si ejecuta un comando Reiniciar equipo cliente, el comando se envíainmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre elreinicio, de acuerdo con las opciones que el administrador haya configurado paraese cliente.


Desde el registro de Riesgos, es posible además eliminar los archivos deCuarentena.

Ver "Cómo usar el registro de riesgos para eliminar los archivos en cuarentenaen sus equipos cliente" en la página 190.

Supervisión de protección con los informes y los registrosEjecución de comandos en el equipo cliente desde los registros

308

Para ejecutar un comando desde el registro Estado del equipo


2 En la ficha Registros, del cuadro de lista Tipode registro, seleccione Estadodel equipo.


4 Seleccione un comando del cuadro de lista Acción.


Si hay opciones de configuración para el comando que usted seleccionó,aparecerá una nueva página donde es posible configurar las opcionesapropiadas.

6 Cuando haya finalizado la configuración, haga clic en Sí o Aceptar.

7 En el cuadro de mensaje de confirmación del comando que aparece, haga clicen Sí.

8 En el cuadro de diálogo Mensaje, haga clic en Aceptar.

Si el comando no se pone en cola correctamente, es posible que se deba repetireste procedimiento. Se puede verificar si el servidor no funciona. Si la consolaha perdido conectividad con el servidor, es posible finalizar la sesión en laconsola y a continuación volver a iniciarla para ver si ayuda.

Para ver los detalles del estado del comando


2 En la ficha Estado del comando, seleccione un comando de la lista y acontinuación haga clic en Detalles.

Para cancelar un análisis específico que está en curso


2 En la ficha Estadodel comando, haga clic en el icono Cancelar análisis de lacolumna Comando del comando de análisis que desee cancelar.

3 Cuando aparece una confirmación de que el comando se puso en colacorrectamente, haga clic en Aceptar.

Para cancelar todos los análisis en curso y puestos en cola


2 En la ficha Registros, del cuadro de lista Tipode registro, seleccione Estadodel equipo.


309Supervisión de protección con los informes y los registrosEjecución de comandos en el equipo cliente desde los registros

4 Seleccione uno o más equipos de la lista y a continuación active Cancelartodos los análisis de la lista de comandos.


6 Cuando aparezca el cuadro de diálogo de confirmación, haga clic en Sí paracancelar todos los análisis en curso y puestos en cola de los equiposseleccionados.

7 Cuando aparece una confirmación de que el comando se puso en colacorrectamente, haga clic en Aceptar.

Supervisión de protección con los informes y los registrosEjecución de comandos en el equipo cliente desde los registros

310

Administración denotificaciones


■ Cómo administrar notificaciones

■ Establecimiento de la comunicación entre el servidor de administración y losservidores de correo electrónico

■ Visualización y reconocimiento de notificaciones

■ Cómo guardar y eliminar los filtros de notificaciones administrativas

■ Cómo configurar notificaciones de administrador

■ Cómo las actualizaciones de otra versión afectan las condiciones de lasnotificaciones

Cómo administrar notificacionesLas notificaciones advierten a los administradores y usuarios del equipo sobreproblemas de seguridad potenciales.

Algunos tipos de notificación contienen valores predeterminados cuando se losconfigura. Estas pautas proporcionan puntos de partida razonables según eltamaño de su entorno, pero es posible que deban ser ajustados. Tal vez seanecesario utilizar prueba y error para encontrar el equilibrio correcto entredemasiadas y demasiadas pocas notificaciones para su entorno. Configure elumbral en un límite inicial y espere algunos días. Después de algunos días, sepuede ajustar la configuración de las notificaciones.

Para la detección de virus, riesgos para la seguridad y eventos de firewall, supongaque tiene menos de 100 equipos en una red. Un punto de partida razonable en

20Capítulo

esta red es configurar una notificación cuando dos eventos de riesgo se detectanen el plazo de un minuto. Si tiene 100 a 1000 equipos, detectar cinco eventos deriesgo en el plazo de un minuto puede ser un punto de partida más útil.

Las notificaciones se administran en la página Supervisión. Es posible usar laPágina principal para determinar el número de notificaciones no reconocidasque necesitan atención.

La Tabla 20-1 enumera las tareas que se pueden realizar para administrarnotificaciones.

Tabla 20-1 Administración de notificaciones

DescripciónTarea

Aprenda cómo las notificaciones funcionan.

Ver "Cómo funcionan las notificaciones" en la página 313.

Aprenda sobrenotificaciones

Las notificaciones enviadas por correo electrónico necesitanque Symantec Endpoint Protection Manager y el servidor decorreo electrónico estén correctamente configurados.

Ver "Establecimiento de la comunicación entre el servidor deadministración y los servidores de correo electrónico"en la página 317.

Confirme que se configuróel servidor de correoelectrónico para habilitarnotificaciones por correoelectrónico

Revise las notificaciones configuradas previamenteproporcionadas por Symantec Endpoint Protection SmallBusiness Edition.

Revise las notificacionesconfiguradas previamente

Consulte las notificaciones no reconocidas y respóndalas.

Ver "Visualización y reconocimiento de notificaciones"en la página 318.

Consulte las notificacionesno reconocidas

Cree opcionalmente notificaciones para que les recuerden alusuario y a otros administradores sobre problemasimportantes.

Ver "Cómo configurar notificaciones de administrador"en la página 320.

Configure las nuevasnotificaciones

Cree opcionalmente los filtros para expandir o para limitarsu vista de todas las notificaciones que se han activado.

Ver "Cómo guardar y eliminar los filtros de notificacionesadministrativas" en la página 319.

Cree filtros de notificación

Administración de notificacionesCómo administrar notificaciones

312

Cómo funcionan las notificacionesLas notificaciones alertan a los administradores y los usuarios sobre problemasde seguridad potenciales. Por ejemplo, una notificación puede alertar a losadministradores sobre una licencia caducada o una infección por virus.

Los eventos activan una notificación. Un nuevo riesgo para la seguridad, un cambiode hardware en un equipo cliente o la caducidad de una licencia de software deprueba pueden activar una notificación. Puede tomar medidas el sistema una vezque se activa una notificación. Una acción puede registrar la notificación en unregistro o ejecutar un archivo por lotes o un archivo ejecutable o enviar un correoelectrónico.

Nota: Las notificaciones por correo electrónico necesitan que las comunicacionesentre Symantec Endpoint Protection Manager y el servidor de correo electrónicoestén configuradas correctamente.

Es posible configurar un período de reducción para las notificaciones. El períodode reducción especifica el tiempo que debe pasar antes de que la condición denotificación sea comprobada en busca de nuevos datos. Cuando una condición denotificación tiene un período de reducción, la notificación se emite solamente enla primera incidencia de activación de la condición en ese período. Por ejemplo,suponga que ocurre un ataque de virus grande y que hay una condición denotificación configurada para enviar un correo electrónico siempre que los virusinfecten cinco equipos en la red. Si configura un período de reducción de un horapara esa condición de notificación, el servidor envía solamente un correoelectrónico de notificación por hora durante el ataque.


Ver "Establecimiento de la comunicación entre el servidor de administración ylos servidores de correo electrónico" en la página 317.




Acerca de las notificaciones con configuración previaSymantec Endpoint Protection Manager proporciona las condiciones denotificación configuradas previamente para los administradores. Es posiblepersonalizar estas notificaciones configuradas previamente para cumplir con susnecesidades determinadas. Por ejemplo, puede agregar filtros para limitar una

313Administración de notificacionesCómo administrar notificaciones

condición de activación solamente para equipos específicos. O puede configurarnotificaciones para tomar medidas específicas cuando se activan.

De forma predeterminada, algunas de estas condiciones se habilitan cuando seinstala Symantec Endpoint Protection Manager. Las condiciones de notificaciónque se habilitan de forma predeterminada se configuran para registrar el servidory para enviar correos electrónicos a los administradores del sistema.


Ver "Cómo las actualizaciones de otra versión afectan las condiciones de lasnotificaciones" en la página 322.

Tabla 20-2 Notificaciones configuradas previamente

DescripciónNotificación

Las notificaciones se activan cuando hay un cambio enla lista de clientes existente. Esta condición denotificación se habilita de forma predeterminada.

Los cambios de la lista de clientes pueden incluir losiguiente:

■ La incorporación de un cliente

■ Un cambio en el grupo de un cliente

■ Un cambio en el nombre de un cliente

■ La eliminación de un cliente

■ Un cambio en el hardware de un cliente

Lista de clientes modificada

Esta notificación se activa en función de cualquiera delos siguientes eventos de seguridad:

■ Eventos de protección contra amenazas de red

■ Eventos de tráfico

Es posible modificar esta notificación para especificarel tipo, la gravedad y la frecuencia de las condicionesque activan el período de la notificación dentro del cualocurren estos eventos.

Algunos de estos tipos de incidencia necesitan queademás active el registro en la política asociada.

Alerta de seguridad de cliente

Alerta a los administradores con respecto al contenidode la protección de descarga desactualizado. Es posibleespecificar la antigüedad en la cual las definicionesactivan la notificación.

Contenido de protección dedescargas desactualizado


314


Alerta a los administradores con respecto a las firmasIPS desactualizadas. Es posible especificar laantigüedad en la cual las definiciones activan lanotificación.

Firmas IPS desactualizadas

Esta notificación alerta a administradores y,opcionalmente, a partners con respecto a licenciaspagadas que han caducado o que están a punto decaducar.

Esta condición de notificación se habilita de formapredeterminada.

Emisión de licencia paga

Esta notificación alerta a administradores y,opcionalmente, a partners con respecto a licenciaspagas sobreimplementadas.


Problema de implementaciónexcesiva

La notificación alerta a los administradores conrespecto a las licencias de prueba caducadas.

Esta notificación está habilitada de formapredeterminada.

Caducidad de licencia de prueba

Esta notificación se activa siempre que se detecta unnuevo riesgo por análisis de spyware y virus.

Nuevo riesgo detectado

Esta notificación se activa cuando descarga un nuevopaquete de software u ocurre lo siguiente:

■ Un paquete cliente se descarga medianteLiveUpdate.

■ Se actualiza el servidor de administración.

■ Los paquetes cliente se importan manualmentemediante la consola.

Es posible especificar si la notificación se activasolamente ante nuevas definiciones de seguridad,nuevos paquetes cliente o ambas opciones. De formapredeterminada, se habilita la opción de configuraciónPaquetes de cliente y la opción Definiciones deseguridad se deshabilita para esta condición.


Nuevo paquete de software

315Administración de notificacionesCómo administrar notificaciones


La notificación alerta a los administradores conrespecto a ataques de riesgos para la seguridad.Configure el número y el tipo de incidencias de losnuevos riesgos y del período dentro del cual debeocurrir para activar la notificación. Los tipos incluyeninstancias en cualquier equipo, instancias en un soloequipo o instancias en equipos distintos.

Esta condición de notificación se habilita de formapredeterminada

Ataque de riesgo

Los problemas de estado del servidor activan lanotificación. La notificación detalla el nombre delservidor, el estado, el motivo y el estado en línea/sinconexión más actualizado.


Estado del servidor

Esta notificación se activa ante la detección de un únicoevento de riesgo y proporciona los detalles sobre elriesgo. Los detalles incluyen el usuario y el equipoimplicados, y las medidas tomadas por el servidor deadministración.

Evento de riesgo simple

Alerta a los administradores con respecto a definicionesde SONAR desactualizadas. Es posible especificar laantigüedad en la cual las definiciones activan lanotificación.

Definición de SONARdesactualizada

Esta notificación se activa ante ciertos eventos delsistema y proporciona el número de eventos que sedetectaron.

Los eventos del sistema incluyen los eventos siguientes:

■ Actividades del servidor

■ Eventos de restauración y copia de seguridad

■ Errores del sistema

Evento del sistema

Alerta a los administradores con respecto a definicionesde virus desactualizadas. Es posible especificar laantigüedad en la cual las definiciones activan lanotificación.

Definiciones de virusdesactualizadas


316

Acerca de las notificaciones del partnerCuando el servidor de administración detecta que los clientes han pagado laslicencias que están a punto de caducar o que han caducado, pueden enviar unanotificación al administrador del sistema. Del mismo modo, el servidor deadministración puede enviar una notificación al administrador cuando detectaque las licencias están sobreimplementadas.

Sin embargo, en ambos casos, la resolución del problema puede requerir laadquisición de nuevas licencias o renovaciones. En muchas instalaciones, es posibleque el administrador del servidor tenga la autoridad para efectuar dichasadquisiciones, sino que por el contrario, depende de un partner de Symantec pararealizar esta tarea.

El servidor de administración proporciona la capacidad de mantener la informaciónde contacto para el partner. Esta información se puede proporcionar cuando elservidor está instalado. El administrador del sistema también puede suministraro editar la información del partner en cualquier momento después de la instalaciónen el panel Licencias de la consola.

Cuando la información de contacto del partner está disponible en el servidor deadministración, las notificaciones relacionadas con licencias pagas y con licenciassobreimplementadas se envían automáticamente al administrador y al partner.


Establecimiento de la comunicación entre el servidorde administración y los servidores de correoelectrónico

Para que el servidor de administración envíe notificaciones automáticas por correoelectrónico, debe configurar la conexión entre el servidor de administración y elservidor de correo electrónico.


Para establecer la comunicación entre el servidor de administración y los servidoresde correo electrónico

1 En la consola, haga clic en Administrador y en Sistema.

2 En Servidor, seleccione el servidor de administración.

3 En Tareas, haga clic en Editar propiedades de servidor.

4 En el cuadro de diálogo Propiedades del servidor, haga clic en la fichaServidor de correo electrónico.

317Administración de notificacionesEstablecimiento de la comunicación entre el servidor de administración y los servidores de correo electrónico

5 Especifique la configuración del servidor de correo electrónico.

Para obtener información acerca de las opciones de configuración en estecuadro de diálogo, haga clic en Ayuda.


Visualización y reconocimiento de notificacionesEs posible ver las notificaciones no reconocidas o todas las notificaciones. Esposible reconocer una notificación no reconocida. Es posible ver todas lascondiciones de notificación que están configuradas actualmente en la consola.

El panel Estado de seguridad en la Página principal indica el número denotificaciones no reconocidas que han ocurrido durante las últimas 24 horas.


Para ver las notificaciones no reconocidas recientes


2 En la Página principal, en el panel Estado de seguridad, haga clic en Vernotificaciones.

Una lista de notificaciones no reconocidas recientes aparece en la fichaNotificaciones.

3 Opcionalmente, en la lista de notificaciones, en la columna Informe, hagaclic en el icono de documento si existe.

El informe de la notificación aparece en otra ventana de navegador. Si no hayicono de documento, toda la información de la notificación aparece en lacolumna Mensaje en la lista de notificaciones.

Para ver todas las notificaciones

1 En la consola, haga clic en Supervisión y, a continuación, en la fichaNotificaciones.

2 Opcionalmente, en la ficha Notificaciones, del menú Usarunfiltroguardado,seleccione un filtro guardado.

Ver "Cómo guardar y eliminar los filtros de notificaciones administrativas"en la página 319.

3 Opcionalmente, en la ficha Notificaciones, del menú Intervalo de tiempo,seleccione un intervalo de tiempo.

4 En la ficha Notificaciones, haga clic en Ver notificaciones.

Administración de notificacionesVisualización y reconocimiento de notificaciones

318

Para reconocer una notificación

1 Vea las notificaciones.

Ver "Para ver las notificaciones no reconocidas recientes" en la página 318.

Ver "Para ver todas las notificaciones" en la página 318.

2 En la ficha Notificaciones, en la lista de notificaciones, en la columna Rec.,haga clic en el icono rojo para reconocer la notificación.

Para ver todas las condiciones de notificación configuradas


2 En la página Supervisión, en la ficha Notificaciones, haga clic en Condicionesde notificación.

Se muestran todas las condiciones de notificación que están configuradas enla consola. Es posible filtrar la lista seleccionando un tipo de notificación delmenú Mostrar tipo de notificación.

Cómo guardar y eliminar los filtros de notificacionesadministrativas

Es posible usar los filtros para expandir o para limitar su vista de notificacionesadministrativas en la consola. Es posible guardar los filtros nuevos y se puedeneliminar los filtros previamente guardados.



Es posible crear un filtro guardado que use cualquier combinación de los criteriossiguientes:

■ Intervalo de tiempo

■ Estado de reconocimiento

■ Tipo de notificación

■ Creado por

■ Nombre de la notificación

Por ejemplo, se puede crear un filtro que muestre solamente las notificaciones deataques de riesgo no reconocidos publicadas durante las últimas 24 horas.

319Administración de notificacionesCómo guardar y eliminar los filtros de notificaciones administrativas

Para agregar un filtro de notificación


2 En la página Supervisión, en la ficha Notificaciones, haga clic enConfiguración avanzada.

3 En el encabezado ¿Qué configuración de filtros desea utilizar?, configurelos criterios para el filtro.


5 En la ficha Notificaciones, en el cuadro Nombredel filtro, escriba el nombrede un filtro y, a continuación , haga clic en Aceptar.

Para eliminar un filtro de notificación guardado


2 En la página Supervisión, en la ficha Notificaciones, en el menú Usar unfiltro guardado, elija un filtro.

3 A la derecha del menú Usar un filtro guardado, haga clic en el icono X.

4 En el cuadro de diálogo Eliminar filtro, haga clic en Sí.

Cómo configurar notificaciones de administradorEs posible configurar notificaciones para alertarle a usted y a otros administradorescuando ocurren clases determinadas de eventos. Es posible también agregar lascondiciones que activan las notificaciones que le recuerdan realizar tareasimportantes. Por ejemplo, se puede agregar una condición de notificación parainformarle cuando una licencia ha caducado o cuando se ha detectado un riesgopara la seguridad.

Cuando se activa, una notificación puede realizar acciones específicas, tales comolas siguientes:

■ Registrar la notificación en la base de datos.

■ Enviar un mensaje de correo electrónico a uno o más individuos.

■ Ejecutar un archivo por lotes.

Nota: Para enviar notificaciones por correo electrónico, es necesario configurarun servidor de correo electrónico para comunicarse con el servidor deadministración.

Ver "Establecimiento de la comunicación entre el servidor de administración ylos servidores de correo electrónico" en la página 317.

Administración de notificacionesCómo configurar notificaciones de administrador

320

Se elige la condición de notificación de una lista de tipos de notificacióndisponibles.

Una vez que se elige el tipo de notificación, configúrela de la siguiente manera:

■ Especifique los filtros.No todos los tipos de notificaciones proporcionan filtros. Cuando lo hacen, sepueden usar los filtros para limitar las condiciones que activan la notificación.Por ejemplo, se puede restringir una notificación para que se active solamentecuando los equipos en un grupo específico se afectan.

■ Especifique la configuración.Todos los tipos de notificaciones proporcionan configuración, pero laconfiguración específica varía de tipo a tipo. Por ejemplo, una notificación deriesgo puede permitirle especificar qué tipo de análisis activa la notificación.

■ Especifique las acciones.Todos los tipos de notificaciones proporcionan acciones que se puedenespecificar.

Para configurar una notificación de administrador


2 En la página Supervisión, en la ficha Notificaciones, haga clic en Condicionesde notificación.

3 En la ficha Notificaciones, haga clic en Agregar y después haga clic en untipo de notificación.

4 En el cuadro de diálogo Agregar condición de notificación, proporcione lasiguiente información:

■ En el cuadro de texto Nombrede lanotificación, escriba un nombre paraetiquetar la condición de notificación.

■ En el área ¿Quéconfiguraciónde filtrosdeseautilizar?, si está presente,especifique la configuración del filtro para la condición de notificación.

■ En el área ¿Quéconfiguracióndeseaparaestanotificación?, especifiquelas condiciones que activan la notificación.

■ En el área ¿Qué debe ocurrir cuando se active esta notificación?,especifique las medidas que se deben tomar cuando se activa lanotificación.




321Administración de notificacionesCómo configurar notificaciones de administrador

Cómo las actualizaciones de otra versión afectan lascondiciones de las notificaciones

Cuando Symantec Endpoint Protection Small Business Edition está instalado enun nuevo servidor, muchas de las condiciones configuradas previamente denotificación se habilitan de forma predeterminada. Una actualización a SymantecEndpoint Protection Small Business Edition de una versión previa, sin embargo,puede afectar qué condiciones de notificación se habilitan de formapredeterminada. Puede además afectar su configuración predeterminada.

Las condiciones siguientes de notificación se habilitan de forma predeterminadaen una nueva instalación de Symantec Endpoint Protection Small Business Edition:

■ Lista de clientes modificada

■ Nuevo software de cliente

■ Emisión de implementación en exceso

■ Emisión de licencia paga

■ Ataque de riesgo

■ Estado del servidor

■ Caducidad de la licencia del software de prueba

■ Definiciones de virus desactualizadas

Cuando un administrador actualiza el software de una versión anterior, todas lascondiciones existentes de notificación de la versión anterior se conservan. Sinembargo, las condiciones existentes de notificación Nuevo paquete de softwarese convierten en condiciones de notificación Nuevo software de cliente. Lacondición Nuevo software de cliente tiene dos opciones de configuración que noestán presentes en la condición Nuevo paquete de software : Paquete cliente yDefiniciones de seguridad. Cuando se actualiza el software, se habilita laconfiguración de Paquetecliente y la configuración de Definicionesdeseguridadse deshabilita para esta condición de notificación.

Nota: Cuando la configuración Definiciones de seguridad en la condición denotificación Nuevo software de cliente se habilita, puede hacer que un grannúmero de notificaciones se envíen. Esta situación puede ocurrir cuando haymuchos clientes o cuando hay actualizaciones de definiciones de seguridadfrecuentemente programadas. Si no desea recibir notificaciones frecuentes sobreactualizaciones de definiciones de seguridad, se puede editar la condición denotificación para deshabilitar la configuración Definiciones de seguridad

Administración de notificacionesCómo las actualizaciones de otra versión afectan las condiciones de las notificaciones

322

El valor de la configuración Enviar correo electrónico a administradores delsistema se conserva en la actualización para todas las condiciones de notificaciónque tengan esta configuración.

Cuando un tipo predeterminado de condición de notificación no se ha agregadoen una instalación anterior, esa condición de notificación se agrega en lainstalación actualizada. Sin embargo, el proceso de actualización no puededeterminar qué condiciones predeterminadas de notificación puede habereliminado deliberadamente el administrador en la instalación anterior. Con unaexcepción, por lo tanto, toda la configuración de acciones siguiente se deshabilitaen cada condición predeterminada de notificación en una instalación actualizada:Enviar correo electrónico a administradores del sistema, Registrar lanotificación, Ejecutarelarchivoporlotes y Enviarcorreoelectrónicoa. Cuandose deshabilitan estas cuatro acciones, la condición de notificación no se procesa,aunque la condición misma está presente. Los administradores pueden editar lascondiciones de notificación para habilitar alguna o todas estas opciones deconfiguración.

Tenga en cuenta que la condición de notificación Nuevo software de cliente esuna excepción: puede producir notificaciones de forma predeterminada cuandose agrega durante el proceso de actualización. A diferencia de las otras condicionesde notificación predeterminadas, la configuración de las acciones Registrar lanotificación y Enviar correo electrónico a administradores del sistema sehabilitan para esta condición.

Si una licencia de software de prueba está en vigencia a la hora de la actualización,se habilita una condición de notificación Caducidad de la licencia del softwarede prueba.

Algunos tipos de condición de notificación no están disponibles en las versionesprevias del software. Esas condiciones de notificación se habilitan de formapredeterminada cuando se actualiza el software.


323Administración de notificacionesCómo las actualizaciones de otra versión afectan las condiciones de las notificaciones

Administración de notificacionesCómo las actualizaciones de otra versión afectan las condiciones de las notificaciones

324

Administración de cuentasde administrador


■ Cómo administrar cuentas de administrador

■ Acerca de las cuentas de administrador

■ Agregar una cuenta de administrador

■ Acerca de los derechos de acceso

■ Configurar los derechos de acceso para un administrador limitado

■ Cómo cambiar una contraseña de administrador

■ Permitir que los administradores guarden las credenciales de inicio de sesión

■ Cómo permitir a los administradores restablecer contraseñas olvidadas

■ Restablecer una contraseña olvidada

■ Restablecimiento de la contraseña y el nombre de usuario del administradora admin

Cómo administrar cuentas de administradorSe administran cuentas de administrador en la página Administrador.

21Capítulo

Tabla 21-1 Administración de cuentas

DescripciónTarea

Decida quién necesita acceder a Symantec Endpoint ProtectionManager. Decida si el acceso debe estar restringido o sinrestricción.


Decidir quién necesitauna cuenta

Cree una cuenta para los administradores y los usuarios quenecesitan acceso a Symantec Endpoint Protection Manager.

Ver "Agregar una cuenta de administrador" en la página 327.

Crear cuentas

Obtenga información sobre los tipos de derechos de acceso y delas tareas que los administradores pueden realizar cuando seconceden los derechos de acceso.

Ver "Acerca de los derechos de acceso" en la página 328.

Ver "Configurar los derechos de acceso para un administradorlimitado" en la página 329.

Conceder derechos deacceso

Es posible permitir que el administrador restablezca la contraseñaolvidada de otro administrador.

Ver "Cómo permitir a los administradores restablecer contraseñasolvidadas" en la página 331.

Restablecer lascontraseñas

Acerca de las cuentas de administradorLas cuentas de administrador proporcionan acceso seguro a la consola de SymantecEndpoint Protection Manager.

Los roles se asignan a las cuentas de administrador. Un rol determina qué funcionespuede realizar un administrador en la consola.

Tabla 21-2 Roles de la cuenta de administrador

DescripciónRol

Los administradores con el rol de administrador del sistemapueden iniciar sesión en la consola de Symantec EndpointProtection Manager con acceso completo, sin restricción a todaslas funciones y tareas.

Administrador delsistema

Administración de cuentas de administradorAcerca de las cuentas de administrador

326

DescripciónRol

Los administradores con el rol de Administrador limitado puedeniniciar sesión en la consola de Symantec Endpoint ProtectionManager con el acceso restringido. Un administrador con el rolde administrador del sistema determina las restricciones.

Las restricciones pueden afectar los puntos siguientes:

■ Informes

Es posible limitar el acceso de un administrador a equiposcliente específicos.

■ Grupos

Es posible limitar el acceso de un administrador a gruposespecíficos.

■ Cómo ejecutar comandos en los equipos cliente

Es posible limitar el acceso de un administrador a comandosespecíficos.

■ Políticas

Es posible limitar el acceso de un administrador a políticasespecíficas.

■ Licencias

El rol de administrador limitado no tiene acceso a lainformación de la licencia, incluso informes y notificaciones.

Ver "Configurar los derechos de acceso para un administradorlimitado" en la página 329.

Administradorlimitado


Agregar una cuenta de administradorComo administrador del sistema, es posible agregar otro administrador del sistemao administrador limitado.



Para agregar una cuenta de administrador


2 En la página Administrador, haga clic en Administradores.

3 En Tareas, haga clic en Agregar un administrador.

Una vez que agrega una cuenta de administrador, puede cambiar el nombrede usuario haciendo clic en Editar el administrador.

327Administración de cuentas de administradorAgregar una cuenta de administrador

4 En el cuadro de diálogo Agregar administrador, en las fichas General yDerechos de acceso, especifique la información de la cuenta.

Haga clic en Ayuda para obtener más información.


Acerca de los derechos de accesoDe forma predeterminada, los administradores tienen acceso a todas las funcionesde un dominio. Es decir, el administrador puede ver y ejecutar informes,administrar grupos, ejecutar remotamente comandos, administrar paquetes deinstalación y administrar políticas para ese dominio. Además, el administradorpuede ejecutar informes en todos los grupos del dominio, a excepción de los gruposque migraron desde Symantec AntiVirus 10.x. Es necesario configurarexplícitamente los derechos de informes para estos grupos migrados.

De forma predeterminada, los administradores limitados no tienen derechos deacceso. Es necesario configurar explícitamente los derechos de informes, losderechos de grupo, los derechos de comando y los derechos de políticas de estetipo de administrador.

Nota: Las partes de la interfaz de usuario no están disponibles para losadministradores limitados cuando se restringen los derechos de acceso.

Ver "Configurar los derechos de acceso para un administrador limitado"en la página 329.

Tabla 21-3 Tipos de derechos de acceso

DescripciónTipodederechosde acceso

Para los administradores limitados, se especifican todos los equiposde los cuales el administrador puede ejecutar informes. Además, seespecifican los grupos de servidores que ejecutan Symantec AntiVirus10.x de los cuales el administrador puede ver informes.

Derechos deinformes

Solamente para los administradores limitados, se especifica qué grupospuede ver y administrar el administrador limitado (acceso completo),ver solamente (acceso de solo lectura) o no puede ver (sin acceso).

Derechos de grupo

Administración de cuentas de administradorAcerca de los derechos de acceso

328

DescripciónTipodederechosde acceso

Solamente para los administradores limitados, se especifica quécomandos puede ejecutar el administrador limitado en los equiposcliente. El administrador limitado solamente puede ejecutar estoscomandos en los clientes y los grupos a los cuales tienen accesocompleto.

Los derechos de comando están solamente disponibles si los derechosde informes están configurados para el administrador limitado.

Derechos decomando

Solamente para los administradores limitados, se especifica quépolíticas y qué configuración relacionada con las políticas puedeadministrar el administrador.

Derechos de lapolítica

Configurar los derechos de acceso para unadministrador limitado

Si agrega una cuenta para un administrador limitado, se deben además especificarlos derechos de acceso del administrador. Las cuentas de administrador limitadoque no cuentan con ningún derecho de acceso se crean en un estado deshabilitadoy el administrador limitado no podrá iniciar sesión en el servidor deadministración.


Para configurar los derechos de acceso para un administrador limitado



3 Seleccione el administrador limitado.

Es posible también configurar los derechos de acceso cuando se crea unacuenta de administrador limitado.

Ver "Agregar una cuenta de administrador" en la página 327.

4 En Tareas, haga clic en Editar administrador.

5 En la ficha Derechosdeacceso, seleccione una opción y después haga clic enel botón correspondiente para configurar los derechos de acceso. Haga clicen Ayuda para obtener más información.


329Administración de cuentas de administradorConfigurar los derechos de acceso para un administrador limitado

Cómo cambiar una contraseña de administradorPor motivos de seguridad, es posible que sea necesario modificar la contraseñade un administrador.

Las reglas siguientes se aplican para cambiar contraseñas:

■ Los administradores del sistema pueden cambiar la contraseña para todos losadministradores.

■ Los administradores limitados pueden cambiar sus propias contraseñassolamente.

Nota:Cuando configura el servidor de administración, se configura una contraseñade cifrado. Esta contraseña es igual a la contraseña que se crea en el Asistentepara la configuración del servidor de administración. Si cambia una contraseñade administrador, la contraseña de cifrado no cambia.

Para modificar la contraseña de un administrador



3 En Administradores, seleccione la cuenta de administrador a la cual deseacambiarle la contraseña y haga clic en Editar el administrador.

4 Escriba la contraseña para la cuenta de administrador en cuya sesión estáactualmente.

5 Escriba y confirme la nueva contraseña de la cuenta a la cual desea cambiarlela contraseña.

La contraseña debe tener seis o más caracteres de largo. Se permiten todoslos caracteres.


Permitir que los administradores guarden lascredenciales de inicio de sesión

Es posible permitir que sus administradores guarden sus credenciales cuandoinicien sesión en la consola de Symantec Endpoint Protection Manager.

Administración de cuentas de administradorCómo cambiar una contraseña de administrador

330

Para permitir que los usuarios guarden las credenciales de inicio de sesión



3 En Servidores, haga clic en Editar propiedades de servidor.

4 En la ficha Contraseñas, seleccione Permitir a los usuarios guardarcredenciales al iniciar sesión.


Cómo permitir a los administradores restablecercontraseñas olvidadas

Si tiene derechos de acceso de administrador del sistema para un sitio, puedepermitir a los administradores restablecer sus contraseñas. Si habilita esta función,los administradores pueden hacer clic en el vínculo ¿Olvidó su contraseña? enel panel de inicio de sesión para solicitar una contraseña temporal.

Ver "Restablecer una contraseña olvidada" en la página 331.

Para permitir a los administradores restablecer contraseñas olvidadas



3 En la página Administrador, haga clic en Editar propiedades.

4 En el cuadro de diálogo Propiedades del servidor, en la ficha Seguridad,seleccione Permitir que se creen contraseñas nuevas para las contraseñasde administrador olvidadas.


Restablecer una contraseña olvidadaSi tiene derechos de acceso de administrador del sistema para un sitio, puedepermitir a los administradores restablecer sus contraseñas. Una contraseña esrestablecida enviando un mensaje de correo electrónico que contenga un vínculopara activar una contraseña temporal.

Ver "Cómo permitir a los administradores restablecer contraseñas olvidadas"en la página 331.

331Administración de cuentas de administradorCómo permitir a los administradores restablecer contraseñas olvidadas

Nota: Una contraseña temporal se puede solicitar solamente una vez por minutode una única consola de Symantec Endpoint Protection Manager.

Nota: Por razones de seguridad, las entradas no se verifican en el servidor. Paracomprobar si la restauración de la contraseña fue correcta, es necesario revisarel correo electrónico del administrador.

Si hay configurado un servidor de correo, se usa el servidor de correo para enviarel mensaje de correo electrónico. Si el mensaje de correo electrónico no se puedeenviar por ningún motivo, se usa el servicio SMTP para enviar el mensaje de correoelectrónico. Recomendamos configurar un servidor de correo.

Para restablecer una contraseña olvidada

1 En el equipo del servidor de administración, haga clic en Inicio > Todos losprogramas > SymantecEndpointProtectionManager > SymantecEndpointProtection Manager.

2 En la pantalla Inicio de sesión, haga clic en ¿Olvidó su contraseña?.

3 En el cuadro de diálogo Olvidó su contraseña, escriba el nombre de usuariopara la cuenta cuya contraseña desea restablecer.

4 Haga clic en Contraseña temporal.

Un mensaje de correo electrónico que contiene un vínculo para activar lacontraseña temporal se envía al administrador.

Como precaución de seguridad, el administrador debe cambiar la contraseñatemporal inmediatamente después de iniciar sesión.

Restablecimiento de la contraseña y el nombre deusuario del administrador a admin

Es posible usar la herramienta resetpass.bat para restablecer la contraseña y elnombre de usuario para la cuenta que usa para iniciar sesión en Symantec EndpointProtection Manager. Si el nombre de usuario o la contraseña no esadmin, al ejecutarresetpass.bat ambos se restablecen y pasan a ser admin.

Para restablecer la contraseña de administrador

1 Abra el Explorador de Windows en el equipo que ejecuta Symantec EndpointProtection Manager.

2 Localice la carpeta Unidad:\Archivos de programa\Symantec\SymantecEndpoint Protection Manager\Tools.

Administración de cuentas de administradorRestablecimiento de la contraseña y el nombre de usuario del administrador a admin

332

3 Haga doble clic en resetpass.bat.

El nombre de usuario y la contraseña se restablecen a admin.

4 Inicie sesión en Symantec Endpoint Protection Manager usando admin tantopara el nombre de usuario como para la contraseña y modifique la contraseña.

333Administración de cuentas de administradorRestablecimiento de la contraseña y el nombre de usuario del administrador a admin

Administración de cuentas de administradorRestablecimiento de la contraseña y el nombre de usuario del administrador a admin

334

Mantenimiento del entornode seguridad

■ Capítulo 22. Preparación para la recuperación después de un desastre

3Sección

336

Preparación para larecuperación después de undesastre


■ Preparación para la recuperación después de un desastre

■ Hacer copia de seguridad de la base de datos y los registros

Preparación para la recuperación después de undesastre

En el caso de un error de hardware o de daños en la base de datos, se debe prepararpara la recuperación después de un desastre haciendo copia de seguridad de lainformación que se recopiló mientras se instalaba Symantec Endpoint ProtectionManager. A continuación, copie estos archivos a otro equipo.

22Capítulo

Tabla 22-1 Pasos de alto nivel necesarios para prepararse para la recuperacióndespués de un desastre


Haga copia de seguridad de la base de datos de formaregular, preferiblemente por semana.

La carpeta de copias de seguridad de la base de datos seguarda en Unidad: \\ProgramFiles\Symantec\Symantec Endpoint Protection

Manager\data\backup.

El archivo de copia de seguridad se denomina fecha_marcade hora.zip.

Ver "Hacer copia de seguridad de la base de datos y losregistros" en la página 339.

Hacer copia de seguridad de la base de datosPaso 1

El archivo de recuperación incluye la contraseña de cifrado,el Id. de dominio de los archivos del almacén de claves, losarchivos de certificado, los archivos de licencia y losnúmeros de puerto.

Una vez que instale el servidor de administración, copie elarchivo de recuperación comprimido a otro equipo. De formapredeterminada, el archivo se encuentra en el siguientedirectorio:

Unidad:\\Program Files\Symantec\ Symantec

Endpoint Protection Manager\Server Private

Key Backup\recovery_marca de hora.zip

Hacer copia de seguridad del archivo derecuperación después de un desastre.

Paso 2

Si se produce un error de hardware catastrófico, deberáreinstalar el servidor de administración y usar la direcciónIP y el nombre del host del servidor de administraciónoriginal.

Agregue la dirección IP y el nombre del host a un archivode texto que se llame Backup.txt.

Guarde la dirección IP y el nombre del hostdel servidor de administración en un archivode texto (opcional).

Paso 3

Copie los archivos incluidos en copias de seguridad en unequipo en una ubicación segura.

Copie los archivos de los que usted hizo copiade seguridad de en los pasos anteriores enotro equipo.

Paso 4


Ver "Hacer copias de seguridad de los archivos de licencia" en la página 70.

Preparación para la recuperación después de un desastrePreparación para la recuperación después de un desastre

338

Consulte el artículo de la base de conocimientos llamado Prácticas recomendadaspara la recuperación después de un desastre con Symantec Endpoint ProtectionManager.

Hacer copia de seguridad de la base de datos y losregistros

Symantec recomienda que se haga una copia de seguridad de la base de datos porlo menos semanalmente. Es necesario almacenar el archivo de copia de seguridaden otro equipo.

El archivo de copia de seguridad se guarda en la carpeta siguiente, de formapredeterminada: Unidad:\Program Files\Symantec\Symantec Endpoint

Protection Manager\data\backup.

Las copias de seguridad se colocan en un archivo .zip. De forma predeterminada,el archivo de la base de datos de copias de seguridad se denomina fecha_marcade hora .zip, la fecha en la cual se hace la copia de seguridad.

Nota:Evite guardar el archivo de copia de seguridad en el directorio de instalacióndel producto. De lo contrario, se elimina el archivo de copia de seguridad cuandose desinstala el producto.

No se hace copia de seguridad de los datos de registro a menos que se configureSymantec Endpoint Protection Manager para hacerlo. Si no hace copia de seguridadde los registros, sólo se guardan las opciones de configuración del registro en lacopia de seguridad. Puede utilizar la copia de seguridad para restaurar la base dedatos, pero los registros de la base de datos están vacíos de datos cuando serestauran.

La copia de seguridad de la base de datos puede tardar varios minutos paracompletarse. Es posible comprobar el Registro del sistema y la carpeta de copiasde seguridad para conocer el estado durante la copia de seguridad y después deella.


339Preparación para la recuperación después de un desastreHacer copia de seguridad de la base de datos y los registros

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=bp_recovery



Para hacer copia de seguridad de la base de datos y los registros

1 En el equipo que ejecuta Symantec Endpoint Protection Manager, en el menúInicio, haga clic en Todos los programas > Symantec Endpoint ProtectionManager>SymantecEndpointProtectionManagerTools>DatabaseBackUp and Restore.

2 En el cuadro de diálogo Database Back Up and Restore, haga clic en Copiade seguridad.

3 En el cuadro de diálogo Hacer copia de seguridad de la base de datos,seleccione la opción Registrosdecopiasdeseguridad y después haga clic enSí.


5 Cuando finalice la copia de seguridad de la base de datos, haga clic en Salir.

6 Copie el archivo de la base de datos de copias de seguridad a otro equipo.

Preparación para la recuperación después de un desastreHacer copia de seguridad de la base de datos y los registros

340

Solución de problemas deSymantec EndpointProtection

■ Capítulo 23. Ejecución de recuperación después de un desastre

■ Capítulo 24. Resolución de problemas de instalación y de comunicación

■ Capítulo 25. Solución de problemas de elaboración de informes

4Sección

342

Ejecución de recuperacióndespués de un desastre


■ Ejecución de recuperación después de un desastre

■ Cómo restaurar la base de datos

■ Reinstalar o reconfigurar Symantec Endpoint Protection Manager

Ejecución de recuperación después de un desastreTabla 23-1 detalla los pasos para recuperar el entorno Symantec EndpointProtection Small Business Edition en caso de que se produzcan errores en elhardware o daños en la base de datos.

Nota: Este tema asume que se ha preparado para la recuperación después de undesastre y ha creado copias de seguridad y archivos de recuperación.

Tabla 23-1 Proceso para realizar la recuperación después de un desastre

AcciónPaso

Reinstale Symantec Endpoint Protection Manager con un archivo derecuperación después de un desastre.

La reinstalación del servidor de administración permite recuperar los archivosque se guardaron después de la instalación inicial.

Ver "Reinstalar o reconfigurar Symantec Endpoint Protection Manager"en la página 345.

Paso 1

23Capítulo

AcciónPaso

Restaure la base de datos.

Ver "Cómo restaurar la base de datos" en la página 344.

Paso 2


Consulte el artículo de la base de conocimientos: Realizar una recuperación despuésde un desastre cuando el proceso de restauración o copia de seguridad de la basede datos genera un error al usar el "Asistente de restauración/copia de seguridadde base de datos" para una base de datos integrada.

Cómo restaurar la base de datosSi la base de datos se daña o es necesario realizar la recuperación después de undesastre, se puede restaurar la base de datos. Para restaurar la base de datos,primero, es necesario hacer copia de seguridad de ella.

Ver "Hacer copia de seguridad de la base de datos y los registros" en la página 339.

Es necesario restaurar la base de datos usando la misma versión de SymantecEndpoint Protection Manager que se usó para hacer copia de seguridad de la basede datos. Es posible restaurar la base de datos en el mismo equipo en el cual fueinstalada originalmente o en otro equipo.

La restauración de la base de datos puede tardar varios minutos para completarse.

Para restaurar la base de datos

1 Detenga el servicio del servidor de administración.

Ver "Cómo detener e iniciar el servicio del servidor de administración"en la página 96.

2 En el menú Inicio, haga clic en Todos los programas > Symantec EndpointProtection Manager > Symantec Endpoint Protection Manager Tools >Database Back Up and Restore.

3 En el cuadro de diálogo Database Back Up and Restore, haga clic enRestaurar.

4 Haga clic en Sí para confirmar la restauración de la base de datos.

Ejecución de recuperación después de un desastreCómo restaurar la base de datos

344

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=edb_manual_recovery




5 En el cuadro de diálogo Restaurar sitio, seleccione el archivo de la base dedatos de copia de seguridad y después haga clic en Aceptar.

Localice la copia del archivo de la base de datos de copias de seguridad queusted hizo cuando hizo copia de seguridad de la base de datos. De formapredeterminada, el archivo de copia de seguridad de la base de datos sedenomina fecha_marca de hora.zip.


7 Haga clic en Salir.

8 Reinicie el servicio del servidor de administración.

Reinstalar o reconfigurar Symantec EndpointProtection Manager

Si es necesario reinstalar o reconfigurar el servidor de administración, se puedeimportar toda la configuración usando un archivo de recuperación después de undesastre. Es posible reinstalar el software en el mismo equipo, en el mismodirectorio de instalación.

Symantec Endpoint Protection Manager crea un archivo de recuperación durantela instalación. El archivo de recuperación está seleccionado de formapredeterminada durante el proceso de reinstalación.


Para reinstalar o reconfigurar el servidor de administración

1 En el equipo del servidor de administración, realice una de las siguientestareas:

■ Para reinstalar el servidor de administración, desinstale el servidor deadministración y reinstale el servidor de administración usando el discodel producto.Ver "Cómo desinstalar Symantec Endpoint Protection Manager"en la página 52.Ver "Cómo instalar el servidor de administración y la consola"en la página 49.

■ Para reconfigurar el servidor de administración, haga clic en Inicio >Todos los programas > Symantec Endpoint Protection Manager >

345Ejecución de recuperación después de un desastreReinstalar o reconfigurar Symantec Endpoint Protection Manager

Herramientas de Symantec Endpoint Protection Manager > Asistentepara la configuración del servidor de administración.

2 En el panel Bienvenido, asegúrese de que Volveraconfigurarel servidordeadministración utilizando un archivo de recuperación esté seleccionado ydespués haga clic en Siguiente.

3 En el campo de texto Carpeta de datos del servidor, localice el archivo derecuperación.

De forma predeterminada, el archivo de recuperación se encuentra en:Unidad:\Program Files\Symantec\Symantec Endpoint Protection

Manager\Server Private Key Backup. El archivo de recuperación es undirectorio comprimido cuyo nombre es una marca de fecha. Por ejemplo,recuperación_2011-04-19-15-23.ZIP

4 Siga las instrucciones en cada panel.

Ejecución de recuperación después de un desastreReinstalar o reconfigurar Symantec Endpoint Protection Manager

346

Resolución de problemas deinstalación y decomunicación


■ Descargar la herramienta de soporte de Symantec Endpoint Protection parasolucionar problemas del equipo

■ Identificación del punto de falla de una instalación

■ Cómo solucionar problemas de comunicación entre el servidor deadministración y el cliente

■ Solucionar problemas de comunicación entre el servidor de administración yla consola o la base de datos

Descargar la herramienta de soporte de SymantecEndpoint Protection para solucionar problemas delequipo

Es posible descargar una utilidad para diagnosticar problemas comunes que seencuentran con la instalación y el uso de Symantec Endpoint Protection Managero el cliente de Symantec Endpoint Protection Small Business Edition.

Para descargar la herramienta de Symantec Endpoint Protection


■ Consulte el artículo de la base de conocimientos, Herramienta de soportede Symantec Endpoint Protection.

24Capítulo

http://www.symantec.com/business/support/index?page=content&id=TECH105414&locale=en_US

http://www.symantec.com/business/support/index?page=content&id=TECH105414&locale=en_US

■ En la consola, haga clic en Ayuda > Descargar herramienta de soporte.

■ En el cliente, haga clic en Ayuda y soporte > Descargar herramienta desoporte

2 Siga las instrucciones en pantalla.

Identificación del punto de falla de una instalaciónWindows Installer y el Asistente de implementación mediante transferencia creanarchivos de registro que se pueden utilizar para verificar si una instalación serealizó correctamente. En los archivos de registro se enumeran los componentesque se instalaron correctamente y se brindan detalles relacionados con el paquetede instalación. Puede utilizar el archivo de registro como ayuda para identificarel componente o la acción que hace que falle una instalación. Si no es posibledeterminar el motivo del error, es necesario conservar el archivo de registro.Proporcione el archivo al soporte técnico de Symantec, si se le solicita.

Nota: Cada vez que se ejecuta el paquete de instalación, se sobrescribe el archivode registro.

Para identificar el punto de falla de una instalación

1 En un programa de edición de texto, abra el archivo de registro que generóla instalación.

2 Para encontrar errores, busque la entrada siguiente:

Value 3

Lo más probable es que la acción que haya tenido lugar antes de la línea quecontenga esta entrada sea la que haya causado la falla. Las líneas que aparecendespués de esta entrada corresponden a los componentes cuya instalaciónse ha revertido debido a que ha fallado el proceso.

Cómo solucionar problemas de comunicación entreel servidor de administración y el cliente

Si tiene problemas con la comunicación entre el cliente y el servidor, primeroasegúrese de que no haya ningún problema de red. Se debe además comprobar laconectividad de red antes de contactar con el soporte técnico de Symantec.

Es posible probar la comunicación entre el cliente y el servidor de administraciónde varias maneras.

Resolución de problemas de instalación y de comunicaciónIdentificación del punto de falla de una instalación

348

Tabla 24-1 Comprobar la conexión entre el cliente y el servidor deadministración

SoluciónQué comprobar

Es posible descargar y ver el archivo de la solución deproblemas en el cliente para verificar la configuración decomunicación.

Ver "Cómo determinar si el cliente está conectado yprotegido" en la página 350.

Ver "Visualización del estado de conexión del cliente en elcliente" en la página 350.

Ver "Investigación de problemas de protección usando elarchivo de la solución de problemas en el cliente"en la página 351.

Buscar el cliente para ver sise conecta al servidor deadministración

Es posible realizar varias tareas de comprobar laconectividad entre el cliente y el servidor de administración.

■ Establezca una comunicación ping con el servidor deadministración desde el equipo cliente.

Ver "Usar el comando ping para probar la conectividadcon el servidor de administración" en la página 352.

■ Utilice un navegador Web en el equipo cliente paraconectarse al servidor de administración.

Probar la conectividad entreel cliente y el servidor deadministración

Es necesario verificar que no haya problemas de red; paraello compruebe los puntos siguientes:

■ Primero, pruebe la conectividad entre el cliente y elservidor de administración. Si el equipo cliente no puedeestablecer una comunicación ping o telnet con el servidorde administración, verifique las conexiones de red y losservicios para el cliente.

■ Compruebe la ruta de enrutamiento del cliente.

■ Compruebe que el servidor de administración no tengaproblemas de red.

■ Compruebe que el firewall de Symantec EndpointProtection (o cualquier firewall de otro fabricante) nocause ningún problema de red.

Comprobar la existencia decualquier problema de red

349Resolución de problemas de instalación y de comunicaciónCómo solucionar problemas de comunicación entre el servidor de administración y el cliente

SoluciónQué comprobar

Es posible utilizar el registro de depuración en el clientepara determinar si el cliente tiene problemas decomunicación.

Ver "Comprobar los registros de depuración en el equipocliente" en la página 353.

Ver "Comprobar los registros de la bandeja de entrada en elservidor de administración" en la página 353.

Comprobar los registros dedepuración en el cliente

Si los clientes han perdido la comunicación con un servidorde administración, se puede usar una herramienta pararecuperar el archivo de comunicación.

Ver "Cómo recuperar la configuración de comunicación delos clientes usando la herramienta SylinkDrop"en la página 354.

Recuperar la comunicaciónperdida con el cliente

Si Symantec Endpoint Protection Manager muestra errores de registro o códigosde error HTTP, consulte el artículo de la base de conocimientos siguiente: SymantecEndpoint Protection Manager resolución de problemas de comunicación.

Visualización del estado de conexión del cliente en el clienteEs posible comprobar varios valores de datos de conexión importantes en el cliente.Las fechas, las horas, la dirección del servidor y los números de puerto estándisponibles para solucionar problemas de conexión.


Para comprobar valores de datos de estado de conexión en el cliente

1 En el cliente, en el panel de programa, haga clic en Ayuda > Solución deproblemas.

2 En la columna izquierda, seleccione Estado de conexión.

Consulte los valores de datos de estado de conexión.

Cómo determinar si el cliente está conectado y protegidoEl cliente utiliza un icono de área de notificación para indicar si el cliente estáconectado o sin conexión y si el equipo cliente está protegido adecuadamente. Esposible hacer clic con el botón derecho en este icono para visualizar comandosutilizados frecuentemente. El icono se encuentra en la esquina inferior derechadel escritorio del equipo cliente.

Resolución de problemas de instalación y de comunicaciónCómo solucionar problemas de comunicación entre el servidor de administración y el cliente

350

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=troubleshoot_comm

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=troubleshoot_comm

Tabla 24-2 Iconos de estado de clientes de Symantec Endpoint Protection SmallBusiness Edition

DescripciónIcono

El cliente se ejecuta sin problemas. Está desconectado o no administrado.Los clientes no administrados no están conectados a un servidor deadministración. El icono es un escudo amarillo plano.

El cliente se ejecuta sin problemas. Está conectado y se comunica con elservidor. Todos los componentes de la política de seguridad protegen elequipo. El icono es un escudo amarillo con un punto verde.

El cliente tiene un problema menor. Por ejemplo, las definiciones de viruspueden estar desactualizadas. El icono es un escudo amarillo y un puntoamarillo claro que contiene una marca de exclamación negra.

El cliente no se ejecuta, tiene un problema grave o tiene por lo menos unatecnología de protección deshabilitada. Por ejemplo, la Protección contraamenazas de red puede estar deshabilitada. El icono es un escudo amarillocon un punto blanco delineado en rojo y una línea roja a través del punto.

Investigación de problemas de protección usando el archivo de lasolución de problemas en el cliente

Para investigar problemas de clientes, se puede examinar el archivoTroubleshooting.txt. El archivo Troubleshooting.txt contiene información sobrepolíticas, definiciones de virus y otros datos del cliente.


Para exportar el archivo de la solución de problemas del cliente

1 En el equipo cliente, abra el cliente.

2 En el cliente, haga clic en Ayuda y después haga clic en Solución deproblemas.

3 En el cliente, en Datospara la solucióndeproblemas, haga clic en Exportar.


4 En el cuadro de diálogo Guardar como, acepte el nombre de archivopredeterminado o escriba un nuevo nombre de archivo y después haga clicen Guardar.

Es posible guardar el archivo en el escritorio o en una carpeta de su opción.

5 Con un programa de edición de texto, abra Troubleshooting.txt para examinarel contenido.

Contáctese con el soporte técnico de Symantec para obtener ayuda. El soportetécnico de Symantec puede solicitarle que envía por correo electrónico elarchivo Troubleshooting.txt.

Detención e inicio del Servidor Web ApacheCuando instala Symantec Endpoint Protection Manager, se instala el ServidorWeb Apache. El servidor Web Apache se ejecuta como un servicio automático. Esposible que deba detener y reiniciar el servidor web para habilitar el registro deacceso al servidor de HTTP de Apache.

Para detener el Servidor Web Apache


net stop semwebsrv

Para iniciar el Servidor Web Apache


net start semwebsrv

Usar el comando ping para probar la conectividad con el servidor deadministración

Es posible intentar establecer una comunicación ping con el servidor deadministración desde el equipo cliente para probar la conectividad.



352

Usar el comandoping para probar la conectividad con el servidor de administración

1 En el cliente, abra una línea de comandos.

2 Escriba el comando ping. Por ejemplo:

ping nombre

donde nombre es el nombre del equipo del servidor de administración. Esposible utilizar la dirección IP del servidor en lugar del nombre del equipo.En cualquier caso, el comando debe devolver la dirección IP correcta delservidor.

Si el comando ping no devuelve la dirección correcta, verifique las conexionesde red y que los servicios de red estén en ejecución en el equipo cliente.

Comprobar los registros de depuración en el equipo clienteEs posible comprobar el registro de depuración en el cliente. Si el cliente tieneproblemas de comunicación con el servidor de administración, los mensajes deestado sobre el problema de conexión aparecen en el registro.


Para comprobar los registros de depuración en el cliente

1 En el cliente, haga clic en Ayuda > Solución de problemas

2 En el cuadro de diálogo Solución de problemas, en la columna a la izquierda,seleccione Registros de depuración.

3 En el panel Registros de depuración, haga clic en Editar configuración delregistro de depuración

4 Escriba un nombre para el registro de depuración y después haga clic enAceptar.

Luego, es posible hacer clic en Ver registro para ver los archivos de registro.

Comprobar los registros de la bandeja de entrada en el servidor deadministración

Es posible utilizar una clave de registro de Windows para generar registros sobrela actividad en la bandeja de entrada del servidor de administración. Cuando semodifica la clave de registro de Windows, el servidor de administración generalos registros (ersecreg.log y exsecars.log). Es posible ver estos registros parasolucionar problemas con la comunicación entre el cliente y el servidor.



Ver "Comprobar los registros de depuración en el equipo cliente" en la página 353.

Para comprobar los registros de la bandeja de entrada en el servidor deadministración

1 En el servidor de administración, enHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection Small Business Edition\SEPM, establezca el valor DebugLevel en3.

Típicamente, la bandeja de entrada aparece en la ubicación siguiente en elequipo del servidor de administración:

\Program Files\Symantec\Symantec Endpoint Protection Manager\data\

inbox\log

2 Abra el registro con el Bloc de notas.

Cómo recuperar la configuración de comunicación de los clientesusando la herramienta SylinkDrop

El archivo Sylink.xml incluye la configuración de comunicación entre el clientey un servidor de Symantec Endpoint Protection Manager. Si los clientes hanperdido comunicación con un servidor de administración, es necesario reemplazarel archivo Sylink.xml anterior con un nuevo archivo. La herramienta SylinkDropreemplaza automáticamente el archivo Sylink.xml en el equipo cliente con unnuevo archivo Sylink.xml.

Cuando se ejecuta la herramienta SylinkDrop, esta puede además realizar lassiguientes tareas:

■ Restaurar las rupturas de comunicación al cliente que no pueden ser corregidasen el servidor de administración.

■ Convertir un cliente no administrado en un cliente administrado.

■ Convertir un cliente administrado en un cliente no administrado.

Es posible escribir un script con la herramienta para modificar la configuraciónde comunicación para una gran cantidad de clientes.




354

Para recuperar la configuración de comunicación de los clientes usando laherramienta SylinkDrop

1 En la consola, exporte el archivo de comunicación del grupo que se conectaal servidor de administración al cual desea que el equipo cliente se conecte.


2 Distribuya el archivo de comunicación al equipo cliente.

3 En el disco del producto, localice la carpeta \Tools\NoSupport\SylinkDrop yabra SylinkDrop.exe.

Es posible ejecutar la herramienta remotamente o guardarla y despuésejecutarla en el equipo cliente. Si usa la herramienta en la línea de comandos,lea el archivo SylinkDrop.txt para obtener una lista de los parámetros decomando de la herramienta.

4 En el cuadro de diálogo desplegable Sylink, haga clic en Examinar y localiceel archivo .xml que se distribuyó en el paso 2 al equipo cliente.

5 Haga clic en Actualizar Sylink.

6 Si ve un cuadro de diálogo de confirmación, haga clic en Aceptar.

7 En el cuadro de diálogo desplegable Sylink, haga clic en Salir.

Solucionar problemas de comunicación entre elservidor de administración y la consola o la base dedatos

Si tiene problemas de conexión con la consola o la base de datos, puede ver unode los siguientes síntomas:

■ El servicio del servidor de administración (semsrv) se detiene.

■ El servicio del servidor de administración no permanece en estado iniciado.

■ Las páginas Página principal, Supervisión e Informes muestran un error deHTTP.

■ Las páginas Página principal, Supervisión e Informes están en blanco.

■ Las páginas Página principal, Supervisión e Informes muestran una barra deprogreso que carga continuamente, sin mostrar ningún contenido.

Todos estos problemas muestran el error Java -1 en el registro de eventos deWindows. Para encontrar la causa específica del error Java -1, consulte el registro

355Resolución de problemas de instalación y de comunicaciónSolucionar problemas de comunicación entre el servidor de administración y la consola o la base de datos

scm-server. El registro scm-server está situado típicamente en la ubicaciónsiguiente:

C:\Program Files\Symantec\Symantec Endpoint ProtectionManager\tomcat\logs\scm-server-0.log

Tabla 24-3 Cómo comprobar la comunicación con la consola o la base de datos

DescripciónQué comprobar

Es posible verificar que el servidor de administración y labase de datos se comuniquen correctamente.

Ver "Cómo verificar la conexión con la base de datos"en la página 356.

Pruebe la conectividad entrela base de datos y el servidorde administración.

Es posible que sea necesario ajustar el tamaño del montónque sea apropiado para el sistema operativo del servidor deadministración. Si no se puede iniciar sesión en la consolaremota del servidor de administración o si se ve un mensajede memoria insuficiente en el registro smc-server, es posibleque sea necesario aumentar el tamaño del montón. El tamañodel montón predeterminado de Symantec Endpoint ProtectionManager es 256 MB.

Compruebe que el tamañodel montón del servidor deadministración sea correcto.

Es posible comprobar si el cliente y el servidor deadministración ejecutan los requisitos del sistemarecomendados o los mínimos.


Compruebe los requisitosdel sistema.

Cómo verificar la conexión con la base de datosEs posible que el servidor de administración y la base de datos no se comuniquencorrectamente. Es necesario verificar que la base de datos se ejecute y despuésprobar la conexión entre el servidor y la base de datos.

Realice los pasos siguientes:

■ Verifique que el servicio de la base de datos integrada de Symantec se ejecutey que el proceso dbsrv9.exe escuche el puerto TCP 2638.

■ Pruebe la conexión de ODBC.

Para verificar la comunicación con la base de datos integrada

1 En el servidor de administración, haga clic en Inicio > Panel de control >Herramientas administrativas.

2 En el cuadro de diálogo Herramientas administrativas, haga doble clic enOrígenes de datos (ODBC).

Resolución de problemas de instalación y de comunicaciónSolucionar problemas de comunicación entre el servidor de administración y la consola o la base de datos

356

3 En el cuadro de diálogo Administrador de orígenes de datos ODBC, haga clicen DSN de sistema.

4 En la ficha DSN de sistema, haga doble clic enSymantecEndpointSecurityDSN.

5 En la ficha ODBC, verifique que la lista desplegable Nombre del origen dedatos sea SymantecEndpointSecurityDSN y escriba una descripción opcional.

6 Haga clic en Inicio de sesión.

7 En la ficha Inicio de sesión, en el cuadro de texto ID de usuario, escriba dba.

8 En el cuadro de texto Contraseña, escriba la contraseña para la base de datos.

Esta contraseña es la que usted introdujo para la base de datos cuando instalóel servidor de administración.

9 Haga clic en Base de datos.

10 En la ficha Base de datos, en el cuadro de texto Nombre del servidor, escriba<\\nombre del servidor\nombre de instancia>.

Si usa la versión en inglés de Symantec Endpoint Protection Manager, escribala opción predeterminada, sem5. Si no, deje el espacio en blanco del cuadrode texto Nombre del servidor.

11 En la ficha ODBC, haga clic en Probar conexión y verifique que funcione.



357Resolución de problemas de instalación y de comunicaciónSolucionar problemas de comunicación entre el servidor de administración y la consola o la base de datos

Resolución de problemas de instalación y de comunicaciónSolucionar problemas de comunicación entre el servidor de administración y la consola o la base de datos

358

Solución de problemas deelaboración de informes


■ Solución de problemas de elaboración de informes

■ Ayuda contextual de solución de problemas de la consola de elaboración deinformes

■ Cómo cambiar a letras de la elaboración de informes para mostrar idiomasasiáticos

■ Acceder a las páginas de elaboración de informes cuando el uso de lasdirecciones de loopback están deshabilitadas

■ Acerca de recuperar un registro del sistema de cliente dañado en equipos de64 bits

Solución de problemas de elaboración de informesDebe tener en cuenta la siguiente información cuando se utilizan informes:

■ Las marcas de fecha, incluyendo los horarios de análisis de equipos cliente, delos informes y registros se dan en la hora local del usuario. La base de datosde informes contiene eventos especificados según la hora del meridiano deGreenwich (GMT). Al crear un informe, estos valores de horario se conviertenen la hora local del equipo en el que se ven los informes.

■ Si los clientes administrados están en una zona horaria diferente a la delservidor de administración y se usa la opción de filtro Definir fechasespecíficas, se pueden ver resultados inesperados. La exactitud de los datos yla hora en el equipo cliente y en el servidor de administración pueden verseafectados.

25Capítulo

■ Si modifica la zona horaria en el servidor, cierre sesión en la consola y vuelvaa iniciar sesión para ver los horarios exactos en registros e informes.

■ En algunos casos, los datos del informe no tienen una correspondencia directacon lo que aparece en los productos de seguridad. Esta falta de correspondenciase produce porque el software de elaboración de informes agrega eventos deseguridad.

■ Si no utiliza el puerto predeterminado cuando se instalan las páginas de ayudapara informes, no es posible acceder a la ayuda contextual en pantalla. Paraacceder a la ayuda contextual cuando se utiliza un puerto no predeterminado,es necesario agregar una variable al archivo Reporter.php.Ver "Ayuda contextual de solución de problemas de la consola de elaboraciónde informes" en la página 361.

■ Es posible utilizar SSL con las funciones de la elaboración de informes parauna mayor seguridad. El SSL proporciona confidencialidad, integridad parasus datos y autenticación entre el cliente y el servidor.Consulte el artículo de la base de conocimientos: Configuración de SecureSockets Layer (SSL) para trabajar con las funciones de elaboración de informesde Symantec Endpoint Protection en Windows Server 2003.

■ La información sobre categorías de riesgos que se incluye en los informes seobtiene del sitio web de Symantec Security Response. Hasta que la consola deSymantec Endpoint Protection Manager pueda recuperar esta información,cualquier informe que se genere indica Desconocido en los campos de lacategoría de riesgo.

■ Los informes que se generan brindan un cuadro exacto de los equipos en peligrode su red. Los informes se basan en los datos de registro, no en los datos deregistro de Windows.

■ Las páginas de informes y las páginas del registro siempre se muestran en elidioma con el que se instaló el servidor de administración. Para ver estaspáginas cuando utiliza una consola o un navegador del equipo remoto, la fuenteapropiada debe estar instalada en el equipo.Ver "Cómo cambiar a letras de la elaboración de informes para mostrar idiomasasiáticos" en la página 362.

■ Si se muestran errores CGI o de terminación de procesos, puede ser necesariocambiar otros parámetros de tiempo de espera.Para obtener más información, consulte el documento siguiente en el artículode la base de conocimientos: El servidor de informes de SAV o la elaboraciónde informes de SEPM no responde ni muestra un mensaje de error del tiempode espera al consultar una gran cantidad de datos.

Solución de problemas de elaboración de informesSolución de problemas de elaboración de informes

360

http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=Conf_SSL_for_SEP_W2K3



http://entced.symantec.com/entt?product=SEP&version=12.1&language=english&module=doc&error=SAV_Rep_Serv_not_responding



■ Si ha deshabilitado el uso de direcciones de loopback en el equipo, las páginasde informes no se visualizan.Ver "Acceder a las páginas de elaboración de informes cuando el uso de lasdirecciones de loopback están deshabilitadas" en la página 363.

■ Si el registro de Sistema llega a dañarse en un cliente de 64 bits, se puede verun mensaje de error no especificado en los registros de Sistema en la consolade Symantec Endpoint Protection Manager.Ver "Acerca de recuperar un registro del sistema de cliente dañado en equiposde 64 bits" en la página 363.

Es importante tener en cuenta la siguiente información si algunos equipos de sured están ejecutando versiones anteriores de Symantec AntiVirus:

■ Cuando se utilizan los filtros de informes y registros, los grupos de servidoresse categorizan como dominios. Los grupos de clientes se categorizan comogrupos, y los servidores principales se categorizan como servidores.

■ Si se genera un informe que incluye equipos con versiones anteriores, el valorde los campos de dirección IP y MAC es Ninguno.

■ Las funciones de elaboración de informes utilizan una carpeta temporal:drive:\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp.Se recomienda programar sus propias tareas automatizadas de limpiarperiódicamente esta carpeta temporal. Si lo hace así, asegúrese de no eliminarel archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden losdatos entrantes de registros de versiones anteriores del cliente de SymantecAntiVirus.

Ayuda contextual de solución de problemas de laconsola de elaboración de informes

Si no utiliza el puerto predeterminado cuando se instalan las páginas de ayudapara informes, no es posible acceder a la ayuda contextual en pantalla. Para accedera la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesarioagregar una variable al archivo Reporter.php.

Para modificar el puerto utilizado para acceder a la ayuda contextual para laelaboración de informes

1 Cambie el directorio porunidad:\Program Files\Symantec\Symantec EndpointProtection Manager\Inetpub\Reporting\Resources.

2 Abra el archivo de configuración Reporter.php con un editor.

361Solución de problemas de elaboración de informesAyuda contextual de solución de problemas de la consola de elaboración de informes

3 Agregue la línea siguiente al archivo y sustituya el número de puerto por elnúmero de puerto que usted utilizó cuando instaló la ayuda de informes.

$scm_http_port=número de puerto

4 Guarde y cierre el archivo.

Cómo cambiar a letras de la elaboración de informespara mostrar idiomas asiáticos

Los histogramas y los gráficos de barras en 3D se crean en el servidor al mismotiempo que las imágenes antes de que los gráficos se envíen al navegador. Deforma predeterminada, el servidor que se utiliza para crear estos gráficos buscala fuente MS Arial Unicode. MS Arial Unicode está disponible como parte deMicrosoft Office y visualiza todos los idiomas compatibles correctamente. Si lafuente MS Arial Unicode no se encuentra, el servidor utiliza Lucida sans Unicode.

Algunos informes en los servidores que se visualizan en un idioma asiático nomuestran el texto del gráfico correctamente, a menos que se instale MS ArialUnicode en el servidor. Este problema ocurre si su informe incluye un histogramao un gráfico de barras en 3D. Si no tiene la fuente MS Arial Unicode instalada enel servidor, es posible configurar su servidor para resolver este problema. Esposible configurar Symantec Endpoint Protection Small Business Edition parautilizar cualquier fuente compatible con Unicode que admita los idiomas en suentorno.

Para modificar la fuente utilizada para visualizar informes

1 Cambie el directorio porunidad:\Program Files\Symantec\Symantec EndpointProtection Manager\Inetpub\Reporting\Common.

2 Abra el archivo de configuración I18nCommon.bundle con un editor.

3 Escriba el nombre del archivo de fuente que desee utilizar después del signode igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisierautilizar Arial, se escribiría lo siguiente:

SPECIAL_FONT=arial.ttf

4 Guarde el archivo en formato UTF-8 y después cierre el archivo.

5 Asegúrese de que el archivo de fuente que se escribe se encuentre en eldirectorio %WINDIR%\fonts.

Solución de problemas de elaboración de informesCómo cambiar a letras de la elaboración de informes para mostrar idiomas asiáticos

362

Acceder a las páginas de elaboración de informescuando el uso de las direcciones de loopback estándeshabilitadas

Si ha deshabilitado el uso de direcciones de loopback en el equipo, las páginas deinformes no se visualizan. Si intenta iniciar sesión en la consola de SymantecEndpoint Protection Manager o acceder a las funciones de elaboración de informes,se ve el mensaje de error siguiente:

No es posible establecer una comunicación con el componente de informes

Las páginas Inicio, Supervisión e Informes están en blanco; las páginas Políticas,Clientes y Administrador parecen normales y funcionan normalmente.

Para que se muestren los componentes de Informes cuando estén desactivadaslas direcciones de bucle invertido, es necesario asociar la palabra localhost (hostlocal) con la dirección IP de su equipo. Es posible editar el archivo de host deWindows para asociar el host local con una dirección IP.

Para asociar el host local con la dirección IP en los equipos con Windows

1 Cambie el directorio a la ubicación de su archivo de host.

De forma predeterminada, el archivo de host se encuentra en%SystemRoot%\system32\drivers\etc.

2 Abra el archivo de host con un editor.

3 Agregue la línea siguiente al archivo de host:

xxx.xxx.xxx.xxx localhost #funciones de informes para iniciar sesión

donde se sustituye xxx.xxx.xxx.xxxpor la dirección IP de su equipo. Es posibleagregar cualquier comentario que desee después del signo #. Por ejemplo, esposible escribir la siguiente línea:

192.168.1.100 localhost # esta entrada es para mi equipo de consola

4 Guarde y cierre el archivo.

Acerca de recuperar un registro del sistemade clientedañado en equipos de 64 bits

Si el registro de Sistema llega a dañarse en un cliente de 64 bits, se puede ver unmensaje de error no especificado en los registros de Sistema en la consola deSymantec Endpoint Protection Manager. Si se daña, no es posible ver los datosen el registro en el cliente y los datos no se cargan en la consola. Esta condición

363Solución de problemas de elaboración de informesAcceder a las páginas de elaboración de informes cuando el uso de las direcciones de loopback están deshabilitadas

puede afectar los datos en la consola de los registros y los informes de Estadodelequipo, Riesgo y Análisis.

Para corregir esta condición, es posible eliminar el archivo de registro dañado yel archivo serialize.dat en el cliente. Estos archivos se encuentran en el cliente,en Unidad:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs\fecha.Log. Después de que seeliminen estos archivos, el archivo de registro se reconstruye y comienza a registrarentradas correctamente.

Solución de problemas de elaboración de informesAcerca de recuperar un registro del sistema de cliente dañado en equipos de 64 bits

364

Implementación del clientey referencia de migración

En este Apéndice se incluyen los temas siguientes:

■ Acerca de la implementación y migración del cliente

■ Asignación de funciones entre clientes de la versión 11.x y 12.1

Acerca de la implementación y migración del clientePara las nuevas instalaciones, se implementa el software de cliente en sus endpointuna vez que se instala Symantec Endpoint Protection Manager. Para lasinstalaciones existentes, se migran clientes existentes a la versión más recienteSymantec Endpoint Protection Small Business Edition una vez que de se actualizaSymantec Endpoint Protection Manager.

Tabla A-1 enumera los temas relativos a la instalación y la migración de clientesde Symantec Endpoint Protection Small Business Edition. Si esta es su primerainstalación o migración de Symantec Endpoint Protection Small Business Editionse recomienda encarecidamente que se revisen los temas sugeridos.

Tabla A-1 Recursos de implementación y de migración de los clientes

RecursoEnforcer

Ver "Preparación para la instalación declientes" en la página 75.

Preparación de los equipos para recibir lospaquetes de instalación de software decliente

Ver "Tipos de políticas de seguridad"en la página 126.

Ver "Agregar una política" en la página 129.

Creación de las políticas de seguridad paralos clientes

AApéndice

RecursoEnforcer

Ver "Acerca de los métodos deimplementación del cliente" en la página 79.

Implementación de clientes en equipos deendpoint

Ver "Acerca de la migración a SymantecEndpoint Protection Small Business Edition"en la página 90.

Migración de clientes a un versión másreciente

Ver "Asignación de funciones entre clientesde la versión 11.x y 12.1" en la página 367.

Cómo se asignan funciones de los clientesde versiones anteriores a los nuevos clientes

Tabla A-2 enumera las tecnologías de protección recomendadas sugeridas parahabilitar para los diversos equipos de endpoint basados en su rol. Tiene laoportunidad de seleccionar estas funciones cuando se crea un paquete deinstalación de clientes.

Tabla A-2 Tecnologías de protección sugeridas por rol

Tecnologías de protecciónrecomendadas

Rol del equipo de endpoint

Protección completa para clientes

Incluye todas las tecnologías de protección.Es apropiado para equipos portátiles y deescritorio, y estaciones de trabajo. Incluyeprotección integral de descarga y laprotección del protocolo de correo.

Estaciones de trabajo, equipos de escritorioy equipos portátiles

Protección completa para servidores

Incluye todas las tecnologías de protecciónexcepto la protección del protocolo de correo.Es apropiado para cualquier servidor quenecesite seguridad de red máxima.

Servidores

Protección básica sin sistema de proteccióncontra intrusiones

Protección básica para servidores

Incluye solamente protección básica dedescarga, antivirus y antispyware. Esapropiado para cualquier servidor quenecesite rendimiento de red máximo.

Servidores de alta velocidad de transferencia

Tabla A-3 compara la configuración del cliente predeterminada entre los clientesde las versiones 11.x y 12.1.

Implementación del cliente y referencia de migraciónAcerca de la implementación y migración del cliente

366

Tabla A-3 Comparación de la configuración del cliente predeterminada

Tecnologías de protecciónpredeterminadas del cliente de laversión 12.1

Tecnologías de protecciónpredeterminadas del cliente de laversión 11.x

Antivirus + SONAR + Diagnóstico Insight dedescargas

Antivirus + TruScan

Antivirus básicoAntivirus básico

Antivirus sin SONAR ni Diagnóstico Insightde descargas

Antivirus sin la protección contra amenazasde intrusión

Asignación de funciones entre clientes de la versión11.x y 12.1

Cuando se usa la actualización automática y se selecciona la opción Mantener lasfunciones existentes, las funciones que se configuran en clientes de versionesanteriores se asignan a la versión más reciente. Las tablas en esta secciónrepresentan la asignación de funciones entre las versiones previas y la versiónmás reciente de Symantec Endpoint Protection Small Business Edition para lassituaciones comunes de actualización.

Si migrará de una versión anterior, tenga en cuenta que “Protección antivirus yantispyware” en Symantec Endpoint Protection 11.x se llama “Protección antivirusy antispyware” en Symantec Endpoint Protection Small Business Edition 12.1.

Nota:Symantec Endpoint Protection Small Business Edition Small Business Editionusa las siglas “SBE” en el nombre del producto. La versión empresarial de SymantecEndpoint Protection no usa ninguna sigla.

Tabla A-4 Protección completa de 11.0 a 12.1

Funciones de 12.1 instaladasFunciones existentes de 11.0 instaladas

Protección antivirus y antispyware

■ Protección antivirus y antispyware básico

■ Diagnóstico Insight de descargas


■ Protección antivirus y antispyware

367Implementación del cliente y referencia de migraciónAsignación de funciones entre clientes de la versión 11.x y 12.1


Protección de correo electrónico deAuto-Protect

■ Analizador de POP3/SMTP

■ Analizador de Microsoft Outlook

■ Analizador de Lotus Notes





Protección proactiva contra amenazas

■ SONAR

■ Control de aplicaciones y dispositivos


■ Análisis de amenazas proactivo TruScan


Protección contra amenazas de red

■ Protección contra amenazas de red

■ Prevención de intrusiones




Tabla A-5 AV 11.0 a 12.1 solamente














Tabla A-6 TruScan 11.0 a 12.1 solamente















Implementación del cliente y referencia de migraciónAsignación de funciones entre clientes de la versión 11.x y 12.1

368



■ SONAR






■ Sistema de prevención de intrusiones(necesario para el control de aplicacionesy dispositivos)

Tabla A-7 Firewall 11.0 a 12.1 solamente


















Tabla A-8 SBE 12.0 a 12.1

Funciones de 12.1 instaladasFunciones existentes de SBE 12.0instaladas













Funciones de 12.1 instaladasFunciones existentes de SBE 12.0instaladas


■ SONAR








■ Firewall y Prevención de intrusiones

Tabla A-9 Toda la protección de SBE 12.0 a 12.1 (de 32 bits)

Funciones de SBE 12.1 instaladasFunciones existentes de SBE 12.0instaladas






■ Analizador de correo electrónico








Tabla A-10 Toda la protección de SBE 12.0 a 12.1 (de 64 bits)




■ Protección estándar







370






Tabla A-11 SBE 12.0 a 12.1 sin firewall














Tabla A-12 SBE 12.0 a 12.1 sin TruScan (clientes no administrados solamente)















Las tablas siguientes muestran cómo la configuración del correo electrónico seasigna entre las versiones Small Business Edition del producto. En la versión 12.1del cliente, el analizador de correo electrónico reemplaza al analizador dePOP3/SMTP y al analizador de Microsoft Outlook.

Tabla A-13 SBE 12.0 a 12.1 sin ningún análisis de correo electrónico instaladoen el cliente de versión anterior








■ Ninguno instalado



Tabla A-14 SBE 12.0 a 12.1 con el analizador de SBE POP3/SMTP instalado enel cliente de versión anterior








372




Nota: Ambos analizadores en el clientede versión anterior se deben activar paraque el analizador de correo electrónicodel cliente SBE 12.1 se active de formaautomática durante la actualizaciónautomática.

Además, el cliente de la versión anteriorde 12.0 de 64 bits no tiene un analizadorde POP3/SMTP. Por lo tanto, el análisisde correo electrónico se activa de formaautomática en los clientes de la versión12.1 de 64 bits. Es posible activar estafunción enviando una nueva política quehabilite el análisis de correo electrónicopara los clientes de 64 bits.


■ Analizador de POP3/SMTP solamente

Tabla A-15 SBE 12.0 a 12.1 con el analizador de SBE POP3/SMTP instalado enel cliente de versión anterior











Nota: Ambos analizadores de correoelectrónico en el cliente de versiónanterior se deben activar para que elanalizador de correo electrónico delcliente SBE 12.1 se active de formaautomática durante la actualizaciónautomática.

Además, el cliente de la versión anteriorde 12.0 de 64 bits no tiene un analizadorde POP3/SMTP. Por lo tanto, el análisisde correo electrónico se activa de formaautomática en los clientes de la versión12.1 de 64 bits. Es posible activar estafunción enviando una nueva política quehabilite el análisis de correo electrónicopara los clientes de 64 bits.




374

Aacciones

analizar detecciones 207Activadores

host 238servicio de red 240

activadoresaplicación 235

Activadores de hostsreglas de firewall 238

activadores de la aplicaciónreglas de firewall 235

adiciónun administrador 327

Administradoradición 327cambiar la contraseña 330cambiar nombre 327derechos de acceso 328

Administrador limitadoconfigurar derechos de acceso 329

Agregarun grupo 110

amenazascombinadas 156

Amenazas combinadas 156Análisis 205

acerca de 150administración 147detenido 210ejecución manual 171interrumpido 210opciones de progreso del análisis 210personalizar definidos por el administrador 201pospuesto 210

Análisis activoscuándo ejecutarlos 150

Análisis completoscuándo ejecutarlos 150

Análisis de amenazas proactivos TruScancomparación con SONAR 213

habilitar o deshabilitar 218Análisis definido por el administrador

personalización 201análisis definidos por el administrador 196–197

Ver también Análisis manualesVer también Análisis programadosen equipos Mac 197en equipos Windows 196

Análisis manualesejecución 171opciones de progreso del análisis 210

Análisis programadosagregar a una política 169–170clientes Mac 170guardar como plantilla 169–170opciones cuando no se realizan 169opciones de progreso del análisis 210

AnalizarRegistros 306

Aplicaciónusar una excepción para detectar 272uso de excepción para permitir o bloquear 272

aplicacionesadición a una regla 236búsqueda 236definición 236

Aplicaciones engañosas 157Archivos

uso compartido 248Auto-Protect

Diagnóstico Insight de descargas 118habilitar o deshabilitar 118para el sistema de archivos

habilitación 120personalizar para equipos Mac 199personalizar para los análisis de correo

electrónico 200personalizar para los clientes Windows 198

Auto-Protect para el sistema de archivos. VerAuto-Protect

AutoUpgradecliente 102

Índice

Bbandeja de entrada de la aplicación de correo

electrónicoexclusión para 162

Base de datoscopia de seguridad 339restaurar 344

Bloodhoundmodificación de la configuración 205

Bloquear el tráficoreglas de firewall 243

Bloqueoclientes de grupos 110

Bots 156Bots de Internet 156Búsqueda de Insight

dependencias de funciones 184

Ccambio de contraseña

Administrador 330Cliente

desinstalación 52implementación 80

Clientesdeshabilitar protección de 117

Comandosejecutar de registros 121ejecutar en clientes desde la consola 121

Compartir archivos e impresoras 248Componentes

producto 41Comunicación

problemas con el servidor y la consola o la basede datos 355

problemas entre el cliente y el servidor 348Conectividad

comunicación entre el cliente y el servidor 348establecer una comunicación ping para

probar 352verificar la comunicación con la base de

datos 356Conexión del cliente. Ver estado

icono de estado 115Configuración

firewall 227Configuración global de análisis 205Consola

acerca de 55

Contenidoadministrar actualizaciones 278cómo los clientes reciben actualizaciones 279ver descargas al servidor 283

Contraseñarestablecer 331

Cuarentenaadministración 189borrar archivos 190

Cuenta de administradoracerca de 325–326habilitar contraseña olvidada 331

DDatos de reputación 183Definiciones

actualización 278Definiciones de virus

actualización 278dependencias de funciones 184Depurar registros. Ver RegistrosDerechos de acceso 328Deshabilitar

Auto-Protect 118Protección contra amenazas de red 119Protección proactiva contra amenazas 118

Diagnóstico Insight de descargasacciones 206administración de detecciones 178datos de reputación 183dependencias de funciones 184interacción con Auto-Protect 118Notificaciones 206personalizar la configuración 206

Dispositivo móvil. Ver equipo portableDominio web de confianza

crear una excepción para 273

EElaboración de informes

idioma 359marcas de fecha 359Registros 304Solución de problemas 359SSL 359Symantec AntiVirus de versión anterior 359

Envíos 162, 164bloquear y desbloquear la configuración 131

Índice376

Equipo clienteactualizaciones de políticas 136administrado 86asignación a grupos 107, 111asistente de implementación del cliente 79asistente de migración 93convertir 122deshabilitado 291desinstalación 87detalles del inventario 293en línea 291estado 290fecha del último registro 293implementación remota 76implementar 79instalación personalizada 79migrar 90–91, 93no administrado 86no analizados 292notificación de correo electrónico 79preparación para la instalación 75propiedades 111protección del sistema 291riesgos 292sin conexión 291solución de problemas 351transferencia remota 79traslado a un grupo 111

equipo clienteno administrado 86

Equipo portable 111Equipos

actualizar protección de 278equipos infectados 145Estado

clientes y equipos 115visualización 115

Estado del clientevisualización 115

Estado del equipoRegistros 305visualización 115

Estructura del grupoacerca de 109

Excepción de dominio web de confianzadependencias de funciones 184

Excepcionesadministración 263exclusión de un archivo o una carpeta 269

extensiones de archivo 271riesgos conocidos 270

excepciones 261creación 265Protección contra intervenciones 274restricciones del cliente 275

Exclusionescreado automáticamente 158

Exclusiones automáticasacerca de 158para los productos de Symantec 160para Microsoft Exchange Server 159

Exportaciónpolíticas 134

FFiltros

guardar en registros 306Firewall

acerca de 225–226, 243activación 231deshabilitación 231inspección de estado 234nivel de seguridad 231notificación 237reglas 243

firewallacerca de 227

Firmas IPSexcepciones para 258

GGrupo

acerca de 107agregar 110asignación de políticas 133asignación del equipo 111bloqueo 110

gruposdefinición 109predeterminado 109

Grupos de hostsadición a una regla 245

Gusanos 156

HHerramienta de evaluación de seguridad 157Herramientas de piratería 157

377Índice

Hostsadición a una regla 245equipo local y remoto 238origen y destino 238

IIcono de bandeja del sistema 350Icono de escudo 350Icono de estado. Ver conexión del clienteIcono del área de notificación

acerca de 350Iconos

escudo 350Importar

políticas 134Informe

detalles del inventario de clientes 293equipos infectados y en riesgo 292equipos no analizados 292estado diario 290estado semanal de 290favorito 290nuevos riesgos detectados en la red 292principales destinos atacados 294principales fuentes de ataque 294principales notificaciones de tráfico 294riesgo completo 292

informesalmacenamiento 302almacenamiento de las opciones de

configuración 299descripción general 295eliminación de las opciones de

configuración 299Impresión 302tipos 295

Informes programadoscreación 300modificación 300

Informes rápidoscreación 297

Insight 162, 183modificación de la configuración 205

Inspección de estado 234Instalación

planificación 39, 111Interoperabilidad

de funciones de políticas 184

LLicencia

acerca de 60activar 64adicional 64, 71caducada 68compra 62comprobar estado 68copia de seguridad 70implementada 68importar 71portal de licencias de Symantec 67renovación 67renovada 64, 71requisitos 43sobreimplementada 68Software de prueba 64software de prueba 66, 71versión anterior 71

LiveUpdateacerca de 279actualizaciones de contenido 278cómo comprobar la actividad del servidor 283configurar frecuencia de descarga de

servidor 281descarga al servidor 282descripción general 278deshabilitar para clientes 284habilitar para clientes 284Macintosh 279ver descargas 283

Mmáquina virtual

ajustar análisis para 172Marcadores 156Mensajes de correo electrónico

para reglas de firewall 250Migración. Ver equipo cliente

NNotificación

acerca de 313configuración previa 313crear filtros 319eliminar los filtros 319guardar los filtros 319período de reducción 313

Índice378

predeterminado 313reconocimiento 318tipos 313visualización 318

Notificacionesacerca de 311actualizaciones de otra versión 322conceder licencia 317creación 320eventos de virus y de spyware en los equipos

cliente 191partner 317

Número de serie. Ver Número de serie de la políticaNúmero de serie de la política

ver en el cliente 136

PPlantillas para análisis programados 169–170Política

acerca de 126asignación a grupos 133asignar a un grupo 132bloqueos de usuario 131creación 129edición 130eliminar compartida 135excepciones 126exportar compartida

página Políticas 134firewall 126importación 134LiveUpdate 126, 284prevención de intrusiones 126protección antivirus y antispyware 126prueba 133

Política de protección antivirus y antispywareAnálisis programados 169bloquear y desbloquear la configuración 131

Políticas de firewallacerca de 227

Portal de licencias de Symantec. Ver LicenciaPrevención contra intrusiones de navegador

dependencias de funciones 184Prevención contra intrusiones de red

acerca de 256Prevención contra intrusiones del navegador

acerca de 256Prevención de intrusiones 253

firmas 257

funcionamiento 256prevención de intrusiones

habilitar o deshabilitar en Política de prevenciónde intrusiones 258

Problemas de la licencianotificaciones para 313

Productocomponentes 41

Productos de SymantecExclusiones automáticas 160

Programa de lectura de pantallaaplicación bloqueada por Protección contra

intervenciones 269Programa de seguimiento 157Programas broma 157Programas de acceso remoto 157Programas de control para padres 157Propiedades del usuario y del equipo

visualización 116Protección

actualización 278habilitar o deshabilitar 117

Protección antivirus y antispywareevitar ataques 140

Protección contra amenazas de redhabilitar o deshabilitar 119Registros 305

Protección contra intervencionesacerca de 221bloquear y desbloquear la configuración 131cambiar la configuración 222deshabilitación 119mensajes de notificación de clientes 223

Protección de descargasdependencias de funciones 184

Protección de endpointsEstado 292estado 291supervisar 290, 292–293

Protección proactiva contra amenazasacerca de 25habilitar o deshabilitar 118

Protocolosadición a una regla 247

Proxyconexión de Symantec Endpoint Protection

Manager a Symantec LiveUpdate 284excepciones necesarias al usar la

autenticación 180

379Índice

Publicidad no deseada 156

RRecuperación después de un desastre

acerca del proceso 343preparación 337reinstalar el servidor 345

Registros 304actualización 303Análisis de amenazas proactivos TruScan 217Analizar 306comprobar los registros de depuración en el

cliente 353comprobar los registros de la bandeja de

entrada 353ejecutar comandos de 121eliminación de las opciones de

configuración 307Estado del equipo 305filtrado 306filtro Últimas 24 horas 307guardar configuraciones de filtro 306Protección contra amenazas de red 305Riesgo 306riesgo

eliminar archivos de Cuarentena 190Sistema 306SONAR 217tipos 304visualización 303

registros de eventos 303filtro Últimas 24 horas 307

Reglas de firewall 234acerca de 232activadores de servicio de red 240adición

usar regla vacía 241aplicaciones 235

adición 236configuración 240copiado 242grupos de hosts

adición 245hosts 238Mensajes de correo electrónico 250orden de procesamiento

acerca de 233modificación 234

pegado 242

permitir tráfico a la subred local 246servicios de red

adición 247Reglas vacías 241Reinicio

comando 121Riesgo

Registros 306registros

eliminar archivos de Cuarentena 190riesgos

reparar 143Riesgos para la seguridad

detecciones de 167Rootkits 156

SServicios

adición a una regla 247Servicios de red

activadores 240adición a una regla 247

Servidorconexión con 350configurar 51desinstalación 52heartbeat 136instalación 49

Servidor de correo electrónicovínculo al servidor de administración 317

Servidor de Microsoft ExchangeExclusiones automáticas 159

Servidor Web Apachedetención e inicio 352

SistemaRegistros 306

Software de pruebalicencia 43, 68

Solución de problemasconvertir un equipo no administrado 122herramienta de soporte 347problemas de clientes 351

SONARacerca de 213administración 215dependencias de funciones 184habilitar o deshabilitar 218sobre detecciones 214supervisar eventos de análisis 217

Índice380

Spyware 157Symantec Endpoint Protection Small Business Edition

acerca de 19Symantec Security Response 145

Envíos 164

Ttecnología de asistencia

cómo crear las excepciones para 269Tráfico de la subred local 246Troyano 156

UUpdate

definiciones 278Uso compartido de impresoras 248

Vvirtualización

ajustar análisis para 172ordenar aleatoriamente análisis 204

Virus 156detecciones de 167

Visualizar propiedades del usuario y del equipo 116

381Índice

Date post:	31-Mar-2018
Category:	Documents
Upload:	doannhi
View:	214 times
Download:	1 times