epo_510_pg_es-es

Guía del producto

McAfee ePolicy Orchestrator 5.1.0 —Software

COPYRIGHTCopyright © 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa.

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee, el logotipo de McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM,Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTotal Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresasfiliales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener informaciónsobre los productos y las funciones más recientes.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee ePolicy Orchestrator 5.1.0 — Software Guía del producto

http://mcafee.com

Contenido

Prefacio 11Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 12

Introducción al software McAfee ePolicy Orchestrator1 Protección de las redes con el software ePolicy Orchestrator 15

Ventajas del software ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . 15Los componentes y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Cómo funciona el software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2 Uso de la interfaz de ePolicy Orchestrator 19Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Navegación por la interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Uso del menú de navegación de ePolicy Orchestrator . . . . . . . . . . . . . . . . 20Personalización de la barra de navegación . . . . . . . . . . . . . . . . . . . . . 20Categorías de configuración del servidor . . . . . . . . . . . . . . . . . . . . . 20

Uso de listas y tablas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Filtrado de listas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Búsqueda de elementos de lista específicos . . . . . . . . . . . . . . . . . . . . 22Selección de casillas de verificación de filas de tablas . . . . . . . . . . . . . . . . 23

Configuración de su servidor de ePolicy Orchestrator3 Planificación de la configuración de ePolicy Orchestrator 27

Consideraciones sobre escalabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . 27Cuándo utilizar varios servidores de McAfee ePO . . . . . . . . . . . . . . . . . . 27Cuándo utilizar varios administradores de agentes remotos . . . . . . . . . . . . . 28

Protocolos de Internet en un entorno gestionado . . . . . . . . . . . . . . . . . . . . . 28

4 Configuración de su servidor de McAfee ePO 31Descripción de la configuración del servidor . . . . . . . . . . . . . . . . . . . . . . . 31Uso de Despliegue de productos durante la configuración automática . . . . . . . . . . . . . 33Funciones esenciales para la Configuración guiada o manual . . . . . . . . . . . . . . . . 34Configuración automática de productos . . . . . . . . . . . . . . . . . . . . . . . . 35Configuración de las funciones esenciales . . . . . . . . . . . . . . . . . . . . . . . . 35Uso de un servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Introducción de la clave de licencia . . . . . . . . . . . . . . . . . . . . . . . . . . 38

5 Cuentas de usuario y conjuntos de permisos 39Cuentas de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Tipos de cuentas de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 39

McAfee ePolicy Orchestrator 5.1.0 — Software Guía del producto 3

Administración de cuentas de usuarios . . . . . . . . . . . . . . . . . . . . . . 40Creación de un mensaje de inicio de sesión personalizado . . . . . . . . . . . . . . 40Configuración del inicio de sesión de usuario de Active Directory . . . . . . . . . . . 41Archivo de entrada, página (Importador de asignaciones de directivas) . . . . . . . . . 45

Autenticación mediante certificados de clientes . . . . . . . . . . . . . . . . . . . . . . 45Cuándo utilizar autenticación mediante certificados de clientes . . . . . . . . . . . . 46Configuración de ePolicy Orchestrator para la autenticación mediante certificados de clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Modificación de la autenticación basada en certificados del servidor de McAfee ePO . . . . 47Desactivación de la autenticación de clientes mediante certificados del servidor de McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Configuración de usuarios para la autenticación con certificados . . . . . . . . . . . . 48Actualización del archivo CRL . . . . . . . . . . . . . . . . . . . . . . . . . . 48Problemas relacionados con la autenticación mediante certificados de clientes . . . . . . 49Certificados SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Creación de certificados autofirmados con OpenSSL . . . . . . . . . . . . . . . . 52Otros comandos OpenSSL de utilidad . . . . . . . . . . . . . . . . . . . . . . . 55Conversión de un archivo PVK existente a un archivo PEM . . . . . . . . . . . . . . 55

Conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Cómo funcionan los usuarios, grupos y conjuntos de permisos juntos . . . . . . . . . . 56Uso de los conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . . 57

6 Repositorios 61Tipos de repositorios y su función . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Tipos de repositorios distribuidos . . . . . . . . . . . . . . . . . . . . . . . . 63Ramas de los repositorios y sus funciones . . . . . . . . . . . . . . . . . . . . . 64Archivo de lista de repositorios y su función . . . . . . . . . . . . . . . . . . . . 65

Cómo funcionan los repositorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Configuración de los repositorios por primera vez . . . . . . . . . . . . . . . . . . . . . 66Administración de sitios de origen y de respaldo . . . . . . . . . . . . . . . . . . . . . 66

Creación de sitios de origen . . . . . . . . . . . . . . . . . . . . . . . . . . 67Cambio entre los sitios de origen y de respaldo . . . . . . . . . . . . . . . . . . 68Edición de sitios de origen y de respaldo . . . . . . . . . . . . . . . . . . . . . 68Eliminación de sitios de origen o desactivación de sitios de respaldo . . . . . . . . . . 69

Verificación del acceso al sitio de origen . . . . . . . . . . . . . . . . . . . . . . . . 69Configuración del servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . 69Definición de la configuración de proxy para McAfee Agent . . . . . . . . . . . . . . 70

Configuración para actualizaciones globales . . . . . . . . . . . . . . . . . . . . . . . 71Configuración de directivas de los agentes para utilizar los repositorios distribuidos . . . . . . . 71Uso de SuperAgents como repositorios distribuidos . . . . . . . . . . . . . . . . . . . . 72

Creación de repositorios distribuidos SuperAgent . . . . . . . . . . . . . . . . . . 72Replicación de paquetes en repositorios SuperAgent . . . . . . . . . . . . . . . . 73Eliminación de repositorios distribuidos SuperAgent . . . . . . . . . . . . . . . . . 74

Creación y configuración de repositorios en servidores FTP o HTTP, y en recursos compartidos UNC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Creación de una ubicación de carpeta . . . . . . . . . . . . . . . . . . . . . . 75Cómo agregar el repositorio distribuido al servidor de ePolicy Orchestrator . . . . . . . 75Cómo evitar la replicación de paquetes seleccionados . . . . . . . . . . . . . . . . 77Cómo desactivar la replicación de paquetes seleccionados . . . . . . . . . . . . . . 78Activación de la opción para compartir carpetas para repositorios UNC y HTTP . . . . . . 78Edición de repositorios distribuidos . . . . . . . . . . . . . . . . . . . . . . . 78Eliminación de repositorios distribuidos . . . . . . . . . . . . . . . . . . . . . . 79

Uso de repositorios distribuidos locales no gestionados . . . . . . . . . . . . . . . . . . 79Uso de los archivos de listas de repositorios . . . . . . . . . . . . . . . . . . . . . . . 80

Exportación del archivo de lista de repositorios SiteList.xml . . . . . . . . . . . . . . 80Exportación de la lista de repositorios para copia de seguridad o uso en otros servidores . . 81Importación de repositorios de la lista de repositorios . . . . . . . . . . . . . . . . 81

Contenido


Importación de sitios de origen desde el archivo SiteMgr.xml . . . . . . . . . . . . . 82

7 Servidores registrados 83Registro de servidores de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . 83Registro de servidores LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Registro de servidores SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Registro de un servidor de base de datos . . . . . . . . . . . . . . . . . . . . . . . . 86Cómo compartir consultas entre servidores . . . . . . . . . . . . . . . . . . . . . . . 87

Exportación de objetos de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . 87Importación de elementos a ePolicy Orchestrator . . . . . . . . . . . . . . . . . . 88Exportación de objetos y datos del servidor de McAfee ePO . . . . . . . . . . . . . . 88

8 Administradores de agentes 91Cómo funcionan los administradores de agentes . . . . . . . . . . . . . . . . . . . . . 91Grupos de administradores y su prioridad . . . . . . . . . . . . . . . . . . . . . . . . 92Gestión de administradores de agentes . . . . . . . . . . . . . . . . . . . . . . . . . 93

Asignación de agentes McAfee Agent a administradores de agentes . . . . . . . . . . 93Gestión de asignaciones de administradores de agentes . . . . . . . . . . . . . . . 94Creación de grupos de administradores de agentes . . . . . . . . . . . . . . . . . 95Gestión de grupos de administradores de agentes . . . . . . . . . . . . . . . . . 95Desplazamiento de agentes entre administradores . . . . . . . . . . . . . . . . . 96

Administración de la seguridad de la red9 El Árbol de sistemas 101

La estructura del Árbol de sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . 101El grupo Mi organización . . . . . . . . . . . . . . . . . . . . . . . . . . . 101El grupo Recolector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Grupos del árbol de sistemas . . . . . . . . . . . . . . . . . . . . . . . . . 102Herencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Consideraciones a la hora de planificar el árbol de sistemas . . . . . . . . . . . . . . . . 103Acceso de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Límites del entorno y su efecto en la organización de sistemas . . . . . . . . . . . . 104Subredes e intervalos de direcciones IP . . . . . . . . . . . . . . . . . . . . . 104Sistemas operativos y software . . . . . . . . . . . . . . . . . . . . . . . . 105Etiquetas y sistemas con características similares . . . . . . . . . . . . . . . . . 105

Sincronización con Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 105Tipos de sincronización con Active Directory . . . . . . . . . . . . . . . . . . . . . . 106

Sistemas y estructura . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Solo sistemas (como lista lineal) . . . . . . . . . . . . . . . . . . . . . . . . 107

Sincronización con dominios NT . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Clasificación basada en criterios . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Cómo afecta la configuración en la clasificación . . . . . . . . . . . . . . . . . . 109Criterios de clasificación por direcciones IP . . . . . . . . . . . . . . . . . . . . 109Criterios de clasificación basados en etiquetas . . . . . . . . . . . . . . . . . . 110El orden de los grupos y la clasificación . . . . . . . . . . . . . . . . . . . . . 110Grupos comodín . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Cómo agregar un sistema al árbol de sistemas una vez clasificado . . . . . . . . . . . . . 110Creación y llenado de grupos del árbol de sistemas . . . . . . . . . . . . . . . . . . . 111

Creación manual de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . 112Incorporación manual de sistemas a un grupo existente . . . . . . . . . . . . . . 113Exportación de sistemas del árbol de sistemas . . . . . . . . . . . . . . . . . . 114Importación de sistemas desde un archivo de texto . . . . . . . . . . . . . . . . 115Clasificación de sistemas en grupos basados en criterios . . . . . . . . . . . . . . 116Importación de contenedores de Active Directory . . . . . . . . . . . . . . . . . 118Importación de dominios NT a un grupo existente . . . . . . . . . . . . . . . . . 120

Contenido


Planificación de la sincronización del Árbol de sistemas . . . . . . . . . . . . . . . 122Actualización manual de un grupo sincronizado con un dominio NT . . . . . . . . . . 122

Cómo mover sistemas dentro del árbol de sistemas . . . . . . . . . . . . . . . . . . . 123Transferencia de sistemas entre servidores . . . . . . . . . . . . . . . . . . . . . . . 123

10 Etiquetas 125Cree etiquetas con el Generador de nuevas etiquetas . . . . . . . . . . . . . . . . . . . 125Administración de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Creación, eliminación y modificación de subgrupos de etiquetas . . . . . . . . . . . . . . 127Exclusión de sistemas del etiquetado automático . . . . . . . . . . . . . . . . . . . . 128Aplicación de etiquetas a los sistemas seleccionados . . . . . . . . . . . . . . . . . . . 129Borrado de etiquetas de los sistemas . . . . . . . . . . . . . . . . . . . . . . . . . 129Aplicación de etiquetas basadas en criterios a todos los sistemas coincidentes . . . . . . . . . 130Aplicación planificada de etiquetas basadas en criterios . . . . . . . . . . . . . . . . . . 131

11 Comunicación entre el agente y el servidor 133Uso del agente desde el servidor de McAfee ePO . . . . . . . . . . . . . . . . . . . . . 133

Comunicación agente-servidor . . . . . . . . . . . . . . . . . . . . . . . . . 133SuperAgents y su funcionamiento . . . . . . . . . . . . . . . . . . . . . . . 137Agente RelayServer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Respuesta a eventos de directivas . . . . . . . . . . . . . . . . . . . . . . . 144Ejecución inmediata de tareas cliente . . . . . . . . . . . . . . . . . . . . . . 145Localización de agentes inactivos . . . . . . . . . . . . . . . . . . . . . . . . 145Windows y las propiedades de productos que comunica el agente . . . . . . . . . . . 146Consultas proporcionadas por McAfee Agent . . . . . . . . . . . . . . . . . . . 147

Administración de la comunicación agente-servidor . . . . . . . . . . . . . . . . . . . 148Cómo permitir a los usuarios guardar en caché las credenciales de despliegue del agente 149Modificación de los puertos de comunicación del agente . . . . . . . . . . . . . . 149

12 Administrador de software 151El Administrador de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151Incorporación, actualización y eliminación de software mediante el Administrador de software . . 152Verificación de compatibilidad de productos . . . . . . . . . . . . . . . . . . . . . . . 153

Reconfiguración de la lista de compatibilidad de productos . . . . . . . . . . . . . 155

13 Despliegue de productos 157Elección del método de despliegue de productos . . . . . . . . . . . . . . . . . . . . . 157Ventajas de los proyectos de despliegue de productos . . . . . . . . . . . . . . . . . . 157Descripción de la página Despliegue de productos . . . . . . . . . . . . . . . . . . . . 160Visualización de los registros de auditoría de despliegue de productos . . . . . . . . . . . . 161Despliegue de productos mediante un proyecto de despliegue . . . . . . . . . . . . . . . 161Supervisión y edición de proyectos de despliegue . . . . . . . . . . . . . . . . . . . . 163Ejemplo de despliegue de un nuevo McAfee Agent . . . . . . . . . . . . . . . . . . . . 164

14 Administración de directivas 167Directivas e implementación de directivas . . . . . . . . . . . . . . . . . . . . . . . 167Aplicación de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Creación y mantenimiento de directivas . . . . . . . . . . . . . . . . . . . . . . . . 170

Creación de una directiva en la página Catálogo de directivas . . . . . . . . . . . . 170Administración de una directiva existente en la página Catálogo de directivas . . . . . . . . 171

Configuración de directivas por primera vez . . . . . . . . . . . . . . . . . . . . . . 172Administración de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

Cambio de los propietarios de una directiva . . . . . . . . . . . . . . . . . . . 172Cómo mover directivas entre servidores de McAfee ePO . . . . . . . . . . . . . . . 173Asignación de una directiva a un grupo del Árbol de sistemas . . . . . . . . . . . . 174Asignación de una directiva a un sistema gestionado . . . . . . . . . . . . . . . . 175

Contenido


Asignación de una directiva a sistemas de un grupo del Árbol de sistemas . . . . . . . 175Implementación de directivas para un producto en un grupo del Árbol de sistemas . . . . 176Implementación de directivas para un producto en un sistema . . . . . . . . . . . . 176Copia de asignaciones de directivas . . . . . . . . . . . . . . . . . . . . . . . 176

Reglas de asignación de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 179Prioridad de las reglas de asignación de directivas . . . . . . . . . . . . . . . . . 179Acerca de las asignaciones de directivas basadas en usuario . . . . . . . . . . . . . 180Acerca de las asignaciones de directivas basadas en sistema . . . . . . . . . . . . . 181Uso de etiquetas para asignar directivas basadas en sistema . . . . . . . . . . . . . 181Creación de reglas de asignación de directivas . . . . . . . . . . . . . . . . . . 181Administración de reglas de asignación de directivas . . . . . . . . . . . . . . . . 182

Creación de consultas de administración de directivas . . . . . . . . . . . . . . . . . . 183Visualización de la información de las directivas . . . . . . . . . . . . . . . . . . . . . 184

Visualización de los grupos y sistemas a los que se ha asignado una directiva . . . . . . 185Visualización de la configuración de directivas . . . . . . . . . . . . . . . . . . . 185Visualización de los propietarios de una directiva . . . . . . . . . . . . . . . . . 186Visualización de asignaciones en las que se ha desactivado la implementación de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186Visualización de las directivas asignadas a un grupo . . . . . . . . . . . . . . . . 186Visualización de las directivas asignadas a un sistema específico . . . . . . . . . . . 187Visualización de la herencia de directivas de un grupo . . . . . . . . . . . . . . . 187Visualización y restablecimiento de la herencia interrumpida . . . . . . . . . . . . . 187Comparación de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 188

Cómo compartir directivas entre servidores de McAfee ePO . . . . . . . . . . . . . . . . 188Distribución de la directiva a varios servidores de McAfee ePO . . . . . . . . . . . . . . . 188

Registro de servidores para compartir directivas . . . . . . . . . . . . . . . . . . 189Designación de directivas para compartir . . . . . . . . . . . . . . . . . . . . 189Planificación de tareas servidor para compartir directivas . . . . . . . . . . . . . . 189

15 Tareas cliente 191Cómo funciona el Catálogo de tareas cliente . . . . . . . . . . . . . . . . . . . . . . 191Tarea de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Despliegue de paquetes para productos y actualizaciones . . . . . . . . . . . . . . 192Despliegue de productos y actualizaciones . . . . . . . . . . . . . . . . . . . . 194Configuración de despliegues de productos y actualizaciones por primera vez . . . . . . 195Etiquetas de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Uso de la tarea Despliegue de productos para desplegar productos en los sistemas gestionados . 195Configuración de una tarea de despliegue para los grupos de los sistemas gestionados . . 195Configuración de una tarea de despliegue para instalar productos en un sistema gestionado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

Tareas de actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Actualización regular de los sistemas gestionados con una tarea de actualización planificada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Confirmación de que los clientes utilizan los últimos archivos DAT . . . . . . . . . . . 200Evaluación de los nuevos DAT y motores antes de la distribución . . . . . . . . . . . 200

Administración de tareas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Creación de tareas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Edición de tareas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Eliminación de tareas cliente . . . . . . . . . . . . . . . . . . . . . . . . . 202Comparación de tareas cliente . . . . . . . . . . . . . . . . . . . . . . . . . 202

16 Tareas servidor 203Actualización global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Despliegue automático de paquetes de actualización mediante la actualización global . . . . . . 204Tareas de extracción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Tareas de replicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Selección de repositorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

Contenido


Sintaxis cron aceptada al planificar una tarea servidor . . . . . . . . . . . . . . . . . . 207Ver información de tareas servidor en el registro de tareas servidor . . . . . . . . . . . . . 208Configuración del programa Product Improvement Program . . . . . . . . . . . . . . . . 209Desinstalación del programa McAfee Product Improvement Program . . . . . . . . . . . . . 209

17 Administración manual de paquetes y actualizaciones 211Cómo administrar productos no gestionados . . . . . . . . . . . . . . . . . . . . . . 211Incorporación manual de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . 212Eliminación de paquetes DAT o del motor del repositorio principal . . . . . . . . . . . . . . 212Desplazamiento manual de paquetes DAT y del motor entre las ramas . . . . . . . . . . . . 213Incorporación manual de paquetes de actualización del motor, de DAT y de archivos EXTRA.DAT 213

18 Eventos y respuestas 215Uso de respuestas automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . 215Cómo interactúa la función Respuestas automáticas con el árbol de sistemas . . . . . . . . . 216

Regulación, agregación y agrupación . . . . . . . . . . . . . . . . . . . . . . 216Reglas predeterminadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Planificación de respuestas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Configuración de respuestas por primera vez . . . . . . . . . . . . . . . . . . . . . . 218Determinación de cómo se reenvían los eventos . . . . . . . . . . . . . . . . . . . . . 218

Determinación de los eventos que se reenvían de forma inmediata . . . . . . . . . . 219Determinación de los eventos que se reenvían . . . . . . . . . . . . . . . . . . 219

Configuración de Respuestas automáticas . . . . . . . . . . . . . . . . . . . . . . . 219Asignación de permisos a notificaciones . . . . . . . . . . . . . . . . . . . . . 220Asignación de permisos a Respuestas automáticas . . . . . . . . . . . . . . . . . 220Administración de servidores SNMP . . . . . . . . . . . . . . . . . . . . . . . 221

Determinación de los eventos que se reenvían al servidor . . . . . . . . . . . . . . . . . 222Elección de un intervalo para los eventos de notificación . . . . . . . . . . . . . . . . . 223Creación y edición de reglas de Respuesta automática . . . . . . . . . . . . . . . . . . 223

Descripción de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Configuración de filtros para la regla . . . . . . . . . . . . . . . . . . . . . . 224Definición de umbrales para la regla . . . . . . . . . . . . . . . . . . . . . . 225Configuración de la acción para las reglas de Respuesta automática . . . . . . . . . . 225

Supervisión y comunicación del estado de seguridad de lared

19 Paneles 229Configuración de paneles por primera vez . . . . . . . . . . . . . . . . . . . . . . . 229Uso de los paneles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Administración de paneles . . . . . . . . . . . . . . . . . . . . . . . . . . 230Exportación e importación de paneles . . . . . . . . . . . . . . . . . . . . . . 231

Uso de monitores de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Administración de monitores de paneles . . . . . . . . . . . . . . . . . . . . . 232Cambio de posición y tamaño de los monitores de los paneles . . . . . . . . . . . . 233

Paneles predeterminados y sus monitores . . . . . . . . . . . . . . . . . . . . . . . 234Especificación de paneles predeterminados e intervalos de actualización de paneles . . . . . . 236

20 Consultas e informes 237Permisos para consultas e informes . . . . . . . . . . . . . . . . . . . . . . . . . . 237Acerca de las consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238Generador de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Configuración de las consultas e informes por primera vez . . . . . . . . . . . . . . . . . 240Uso de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

Administración de consultas personalizadas . . . . . . . . . . . . . . . . . . . 241Ejecución de una consulta existente . . . . . . . . . . . . . . . . . . . . . . . 243

Contenido


Ejecución de consultas de forma planificada . . . . . . . . . . . . . . . . . . . 243Creación grupos de consultas . . . . . . . . . . . . . . . . . . . . . . . . . 244Traslado de una consulta a otro grupo . . . . . . . . . . . . . . . . . . . . . . 245Exportación e importación de consultas . . . . . . . . . . . . . . . . . . . . . 245Exportación de resultados de consultas a otros formatos . . . . . . . . . . . . . . 246

Creación de consultas con datos acumulados de varios servidores . . . . . . . . . . . . . 247Creación de una tarea servidor Datos acumulados . . . . . . . . . . . . . . . . . 247Creación de una consulta para definir la conformidad . . . . . . . . . . . . . . . . 248Generación de eventos de conformidad . . . . . . . . . . . . . . . . . . . . . 248

Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Estructura de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Uso de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Edición de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Visualización del resultado de los informes . . . . . . . . . . . . . . . . . . . . 256Agrupación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Ejecución de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Ejecución de un informe con una tarea servidor . . . . . . . . . . . . . . . . . . 257Exportación e importación de informes . . . . . . . . . . . . . . . . . . . . . 258Configuración de la plantilla y la ubicación para informes exportados . . . . . . . . . 258Eliminación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Configuración de Internet Explorer 8 para aceptar automáticamente las descargas de McAfeeePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

Servidores de bases de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260Uso de servidores de bases de datos . . . . . . . . . . . . . . . . . . . . . . . . . 261

Modificación de un registro de base de datos . . . . . . . . . . . . . . . . . . . 261Eliminación de una base de datos registrada . . . . . . . . . . . . . . . . . . . 261

21 Problemas y fichas 263Descripción y funcionamiento de los problemas . . . . . . . . . . . . . . . . . . . . . 264Uso de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

Creación de problemas básicos de forma manual . . . . . . . . . . . . . . . . . 264Configuración de respuestas para crear automáticamente los problemas . . . . . . . . 265Administración de problemas . . . . . . . . . . . . . . . . . . . . . . . . . 266

Purga de problemas cerrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267Purga manual de problemas cerrados . . . . . . . . . . . . . . . . . . . . . . 267Purga planificada de problemas cerrados . . . . . . . . . . . . . . . . . . . . . 267

Descripción y funcionamiento de las fichas . . . . . . . . . . . . . . . . . . . . . . . 268Formas de agregar fichas a problemas . . . . . . . . . . . . . . . . . . . . . . 268Asignación de problemas con ficha a usuarios . . . . . . . . . . . . . . . . . . . 268Cierre de fichas y de problemas con ficha . . . . . . . . . . . . . . . . . . . . 268Ventajas de agregar comentarios a los problemas con ficha . . . . . . . . . . . . . 269Cómo reabrir fichas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Sincronización de problemas con ficha . . . . . . . . . . . . . . . . . . . . . . 269

Integración con servidores de fichas . . . . . . . . . . . . . . . . . . . . . . . . . 269Consideraciones al eliminar un servidor de fichas registrado . . . . . . . . . . . . . 270Campos obligatorios para la asociación . . . . . . . . . . . . . . . . . . . . . 270Ejemplos de asociaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

Uso de fichas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Cómo agregar fichas a problemas . . . . . . . . . . . . . . . . . . . . . . . 272Sincronización de fichas con problemas . . . . . . . . . . . . . . . . . . . . . 272Sincronización planificada de problemas con ficha . . . . . . . . . . . . . . . . . 273

Uso de servidores de fichas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Instalación de extensiones para el servidor de fichas . . . . . . . . . . . . . . . . 274Detención e inicio del servidor . . . . . . . . . . . . . . . . . . . . . . . . . 274Copia de los archivos de Hewlett-Packard Openview Service Desk . . . . . . . . . . . 274

Contenido


Instalación de las extensiones del servidor de fichas . . . . . . . . . . . . . . . . 274Registro y asociación de un servidor de fichas . . . . . . . . . . . . . . . . . . . 275Configuración de asociaciones de campos . . . . . . . . . . . . . . . . . . . . 276

Ampliación de un servidor de fichas registrado . . . . . . . . . . . . . . . . . . . . . 278

22 Archivos de registro de ePolicy Orchestrator 281El registro de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Visualización y purga del registro de auditoría . . . . . . . . . . . . . . . . . . 281Planificación de la purga del registro de auditoría . . . . . . . . . . . . . . . . . 282

El Registro de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283Administración del Registro de tareas servidor . . . . . . . . . . . . . . . . . . 283

El registro de eventos de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . 284Visualización y purga del registro de eventos de amenazas . . . . . . . . . . . . . 286Planificación de la purga del registro de eventos de amenazas . . . . . . . . . . . . 286

23 Recuperación ante desastres 287La función Recuperación ante desastres . . . . . . . . . . . . . . . . . . . . . . . . 287Componentes de Recuperación ante desastres . . . . . . . . . . . . . . . . . . . . . 288

Utilización de un comando remoto para determinar el servidor de base de datos Microsoft SQLServer y su nombre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291Utilización de Microsoft SQL Server Management Studio para buscar información del servidor deMcAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

Funcionamiento de la recuperación ante desastres . . . . . . . . . . . . . . . . . . . 292Descripción de Instantánea de recuperación ante desastres y copia de seguridad . . . . 293Descripción general de la instalación de recuperación del servidor de McAfee ePO . . . . 294

Configuración de una instantánea y restauración de la base de datos . . . . . . . . . . . . 296Configuración de la tarea servidor Recuperación ante desastres . . . . . . . . . . . 296Creación de instantáneas . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Uso de Microsoft SQL para crear una copia de seguridad de la base de datos y su restauración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

Configuración del servidor de recuperación ante desastres . . . . . . . . . . . . . . . . 301

A Mantenimiento de las bases de datos de ePolicy Orchestrator 303Consideraciones de creación de un plan de mantenimiento SQL . . . . . . . . . . . . . . 303Elección del modelo de recuperación de base de datos SQL . . . . . . . . . . . . . . . . 304Desfragmentación de los datos de las tablas . . . . . . . . . . . . . . . . . . . . . . 305Creación de un plan de mantenimiento SQL . . . . . . . . . . . . . . . . . . . . . . 306Cambio de la información de conexión de SQL Server . . . . . . . . . . . . . . . . . . 308

B Apertura de una conexión de consola remota 311

C Preguntas más frecuentes 313Preguntas sobre administración de directivas . . . . . . . . . . . . . . . . . . . . . . 313Preguntas sobre eventos y respuestas . . . . . . . . . . . . . . . . . . . . . . . . . 314

Índice 315

Contenido


Prefacio

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios.

La información de esta guía va dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

• Usuarios: personas que utilizan el ordenador en el que se ejecuta el software y que tienen accesoa algunas o a todas sus funciones.

• Responsables de seguridad: personas encargadas de determinar qué información es confidencialy definir la directiva corporativa que protege la propiedad intelectual de la empresa.

• Revisores: personas que evalúan el producto.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Título de libro, término oénfasis

Título de un libro, capítulo o tema; introducción de un nuevo término;énfasis.

Negrita Texto que se enfatiza particularmente.

Datos introducidos porel usuario, código,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de código;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,menús, botones y cuadros de diálogo.

Azul hipertexto Un vínculo a un tema o a un sitio web externo.

Nota: Información adicional, como un método alternativo de acceso auna opción.

Sugerencia: Sugerencias y recomendaciones.


Importante/atención: Consejo importante para proteger el sistema,la instalación del software, la red, la empresa o los datos.

Advertencia: Consejo especialmente importante para prevenir dañosfísicos cuando se usa un producto de hardware.

Búsqueda de documentación de productosMcAfee le proporciona la información que necesita en cada fase del proceso de implementación delproducto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de unproducto, su información se introduce en la base de datos online KnowledgeBase de McAfee.

Procedimiento1 Vaya a McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.

2 En Self Service (Autoservicio), acceda al tipo de información que necesite:

Para acceder a... Haga lo siguiente...

Documentación deusuario

1 Haga clic en Product Documentation (Documentación del producto).

2 Seleccione un producto, después seleccione una versión.

3 Seleccione un documento del producto.

KnowledgeBase • Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) paraencontrar respuestas a sus preguntas sobre el producto.

• Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para verlos artículos clasificados por producto y versión.

PrefacioBúsqueda de documentación de productos


http://mysupport.mcafee.com

Introducción al software McAfeeePolicy OrchestratorConozca los componentes de ePolicy Orchestrator y cómo funcionan deforma conjunta para mejorar la seguridad de los sistemas de su red.

Capítulo 1 Protección de las redes con el software ePolicy OrchestratorCapítulo 2 Uso de la interfaz de ePolicy Orchestrator


Introducción al software McAfee ePolicy Orchestrator


1 Protección de las redes con el softwareePolicy Orchestrator

El software ePolicy Orchestrator es un componente clave de la plataforma de administración de laseguridad de McAfee que facilita la administración unificada de la seguridad de endpoints, redes ydatos. Reduzca los tiempos de repuesta a incidentes y simplifique la gestión de riesgos y de seguridadmediante las funciones de automatización y la visión total de la red que proporciona ePolicyOrchestrator.

Contenido Ventajas del software ePolicy Orchestrator Los componentes y sus funciones Cómo funciona el software

Ventajas del software ePolicy OrchestratorEl software ePolicy Orchestrator es una plataforma escalable y ampliable que permite la administracióne implementación centralizadas de directivas en los productos de seguridad y los sistemas en los queestén instalados.

Además, ofrece funciones globales de generación de informes y despliegue de productos desde unúnico punto de control.

Con el software ePolicy Orchestrator puede llevar a cabo estas tareas de seguridad de red:

• Desplegar productos de seguridad, parches y Service Packs en los sistemas de su red.

• Administrar los productos de seguridad para hosts y redes desplegados en sus sistemas a través dela implementación de directivas de seguridad y la creación de tareas.

• Actualizar los archivos de definición de detecciones (DAT), motores antivirus u otro contenido deseguridad que necesite su software de seguridad para garantizar la protección de sus sistemasgestionados.

• Crear informes, mediante el asistente de consultas del sistema incorporado, que muestran gráficosy tablas informativos configurados por los usuarios que contienen datos sobre la seguridad de sured.

1


Los componentes y sus funcionesEl software ePolicy Orchestrator consta de los siguientes componentes:

• Servidor de McAfee ePO: el centro del entorno gestionado. El servidor proporciona directivas deseguridad y tareas, controla las actualizaciones y procesa los eventos correspondientes a todos lossistemas gestionados.

• Base de datos: el componente de almacenamiento central de todos los datos creados y utilizadospor ePolicy Orchestrator. Puede elegir si desea alojar la base de datos en su servidor de McAfeeePO o en un sistema aparte, según las necesidades específicas de su organización.

• McAfee Agent : un vehículo para la información y la implementación entre el servidor de McAfeeePO y cada uno de los sistemas gestionados. El agente recupera actualizaciones, garantiza laimplementación de las tareas, implementa las directivas y reenvía los eventos correspondientes acada uno de los sistemas gestionados. Utiliza un canal de datos seguro e independiente paratransferir datos al servidor. También se puede configurar un agente McAfee Agent comoSuperAgent.

• Repositorio principal: la ubicación central de todas las actualizaciones y firmas de McAfee,residente en el servidor de McAfee ePO. El repositorio principal recupera actualizaciones y firmasespecificadas por el usuario de McAfee o de sitios de origen definidos por el usuario.

• Repositorios distribuidos: puntos de acceso local ubicados estratégicamente en todo el entornopara que los agentes puedan recibir firmas, actualizaciones e instalaciones de productos reduciendoal máximo las necesidades de ancho de banda. Dependiendo de cuál sea la configuración de su red,puede configurar repositorios distribuidos de tipo SuperAgent, HTTP, FTP o recurso compartidoUNC.

• Administradores de agentes remotos: un servidor que se puede instalar en varias ubicacionesde la red para facilitar la gestión de las comunicaciones con los agentes, el equilibrio de carga y lasactualizaciones de productos. Los administradores de agentes remotos están formados por unservidor Apache y un analizador de eventos. Facilitan la gestión de las necesidades deinfraestructuras de redes complejas, al proporcionar más control sobre la comunicaciónagente-servidor.

• Servidores registrados: se utilizan para registrar otros servidores con su servidor de McAfeeePO. Entre los tipos de servidores registrados se incluyen:

• Servidor LDAP: se utiliza para las reglas de asignación de directivas y para permitir la creaciónautomática de cuentas de usuario.

• Servidor SNMP: se utiliza para recibir capturas SNMP. Agregue la información del servidorSNMP de forma que ePolicy Orchestrator sepa dónde enviar la captura.

• Servidor de base de datos: se utiliza para ampliar las funciones de las herramientas degeneración de informes avanzada proporcionadas con el software ePolicy Orchestrator.

• Servidor de fichas: para que las fichas puedan ser asociadas a problemas, es preciso tenerconfigurado un servidor de fichas registrado. El sistema que ejecuta la extensión de fichas debepoder resolver la dirección del sistema Service Desk.

Dependiendo de las necesidades de su organización y la complejidad de su red, es posible que solonecesite utilizar algunos de estos componentes.

1 Protección de las redes con el software ePolicy OrchestratorLos componentes y sus funciones


Cómo funciona el software El software ePolicy Orchestrator ha sido diseñado con el objetivo de que sea extremadamente flexible.Por este motivo, puede configurarse de distintas formas, de manera que se ajuste a sus necesidadesparticulares.

El software sigue el clásico modelo cliente-servidor, en el que un sistema cliente (el sistema) contactacon el servidor para obtener instrucciones. Para facilitar esta llamada al servidor, se despliega unagente McAfee Agent en cada sistema de la red. Una vez que se despliega un agente en un sistema,dicho sistema puede ser gestionado por el servidor de McAfee ePO. La comunicación segura entre elservidor y el sistema gestionado es el vínculo que conecta todos los componentes de su softwareePolicy Orchestrator. La figura siguiente muestra un ejemplo de cómo se interrelacionan el servidor deMcAfee ePO y los distintos componentes en su entorno de red seguro.

Protección de las redes con el software ePolicy OrchestratorCómo funciona el software 1


1 El servidor de McAfee ePO se conecta con el servidor de actualización de McAfee para extraer elcontenido de seguridad más reciente.

2 La base de datos de ePolicy Orchestrator almacena todos los datos sobre los sistemas gestionadosde la red, incluyendo:

• Propiedades del sistema

• Información de directivas

• Estructura de directorios

• Todos los demás datos relevantes que necesita el servidor para mantener sus sistemasactualizados.

3 Los agentes McAfee Agent se despliegan en los sistemas para facilitar los siguientes procesos:

• Implementación de directivas

• Despliegues y actualizaciones de productos

• Generación de informes sobre los sistemas gestionados

4 Se lleva a cabo la comunicación segura agente-servidor (ASSC) a intervalos regulares entre lossistemas y el servidor. Si hay administradores de agentes remotos instalados en la red, los agentesse comunican con el servidor a través de los administradores que tengan asignados.

5 Los usuarios inician una sesión en la consola de ePolicy Orchestrator para realizar procedimientosde administración de la seguridad, como ejecutar consultas para comunicar el estado de seguridado trabajar con las directivas de seguridad de su software gestionado.

6 El servidor de actualizaciones de McAfee aloja el contenido de seguridad más actualizado, para queePolicy Orchestrator pueda extraer el contenido a intervalos planificados.

7 Los repositorios distribuidos repartidos por la red alojan el contenido de seguridad de la red demanera local, para que los agentes puedan recibir actualizaciones más rápidamente.

8 Los administradores de agentes remotos permiten ampliar su red para que pueda gestionar másagentes con un único servidor de McAfee ePO.

9 Los servidores de fichas se conectan al servidor de McAfee ePO para facilitar la administración deproblemas y fichas.

10 Las notificaciones de respuestas automáticas se envían a los administradores de seguridad paraavisarles cuando se produce un evento.

1 Protección de las redes con el software ePolicy OrchestratorCómo funciona el software


2 Uso de la interfaz de ePolicyOrchestrator

Inicie sesión en la interfaz de ePolicy Orchestrator para configurar el servidor de McAfee ePO, así comopara gestionar y supervisar la seguridad de su red.

Contenido Inicio y cierre de sesión Navegación por la interfaz Uso de listas y tablas

Inicio y cierre de sesiónPara acceder al software ePolicy Orchestrator, introduzca su nombre de usuario y contraseña en lapantalla de inicio de sesión.

Antes de empezarDebe tener un nombre de usuario y una contraseña asignados para poder iniciar sesión enePolicy Orchestrator.

Tanto si se conecta al servidor de McAfee ePO desde una conexión remota como mediante el icono delservidor de McAfee ePO, la primera pantalla de ePolicy Orchestrator que verá será la de inicio desesión.

Procedimiento1 Escriba su nombre de usuario y contraseña y haga clic en Iniciar sesión.

El software ePolicy Orchestrator muestra el panel predeterminado.

2 Para finalizar la sesión de ePolicy Orchestrator, haga clic en Cerrar sesión.

Una vez que cierre su sesión, esta no podrá ser abierta por otros usuarios.

Navegación por la interfazLa interfaz de ePolicy Orchestrator utiliza un modelo de navegación basado en menús con una barrade favoritos personalizable para garantizar que puede llegar al lugar que le interesa rápidamente.

Las secciones del menú representan las funciones de primer nivel del servidor de McAfee ePO. Alagregar nuevos productos gestionados al servidor, las páginas de interfaz asociadas se agregan a unacategoría existente o bien se crea una nueva categoría en el menú.

2


Uso del menú de navegación de ePolicy OrchestratorAbra el Menú de ePolicy Orchestrator para desplazarse por la interfaz de ePolicy Orchestrator.

El Menú emplea categorías que comprenden las distintas funciones y funcionalidades del servidor deMcAfee ePO. Cada categoría contiene una lista de páginas de las funciones principales asociadas conun icono en particular. Seleccione una categoría en Menú para ver y navegar hasta las páginasprincipales que corresponden a esa función.

Personalización de la barra de navegaciónPersonalice la barra de navegación para proporcionar acceso rápido a las características y funcionesque utiliza con más frecuencia.

Puede decidir qué iconos se muestran en la barra de navegación. Para ello, basta con arrastrar unaopción de menú para colocarla en la barra de navegación o eliminarla de la misma.

En los sistemas que tengan una resolución de pantalla de 1024 x 768, la barra de navegación puedemostrar seis iconos. Si coloca más de seis iconos en la barra de navegación, se crea un menú dedesbordamiento a la derecha de la barra. Haga clic en la flecha abajo para acceder a las opciones demenú que no aparecen en la barra de navegación. Los iconos que se muestran en la barra denavegación se almacenan como preferencias del usuario, de forma que siempre se muestra la barra denavegación personalizada de cada usuario, independientemente la consola en la que haya iniciado lasesión en el servidor.

Categorías de configuración del servidorEstas son las categorías de configuración del servidor predeterminadas disponibles en el softwareePolicy Orchestrator.

Cuando incorpora nuevo software a su servidor de McAfee ePO, se añaden parámetros específicos parael producto a la lista de categorías de configuración del servidor. Para obtener información sobre

2 Uso de la interfaz de ePolicy OrchestratorNavegación por la interfaz


parámetros específicos de configuración del servidor para un producto, consulte la documentación delproducto correspondiente. Puede modificar la configuración del servidor desde la interfaz en la páginaConfiguración del servidor en la sección Configuración de la interfaz de ePolicy Orchestrator.

Tabla 2-1 Categorías de configuración del servidor de ePolicy Orchestrator y susdescripciones

Categoría deconfiguración delservidor

Descripción

Grupos de Active Directory Especifica el servidor LDAP que se va a utilizar para cada dominio.

Inicio de sesión de usuariode Active Directory

Especifica si los miembros de los grupos de Active Directory asignadospueden iniciar una sesión en su servidor utilizando sus credenciales deActive Directory, una vez que la función Inicio de sesión de usuario deActive Directory esté totalmente configurada.

Credenciales de desplieguedel agente

Especifica si los usuarios están autorizados a guardar en caché lascredenciales de despliegue del agente.

Autenticación basada encertificados

Especifica si la autenticación basada en certificados está activada y sise están usando las configuraciones necesarias para el certificado deuna autoridad de certificación.

Paneles Especifica los paneles activos predeterminados asignados a las nuevascuentas de usuarios al crearlas y la frecuencia de actualizaciónpredeterminada (5 minutos) para los monitores de paneles.

Recuperación antedesastres

Activa y define la frase de contraseña de cifrado del almacén de clavesde recuperación ante desastres.

Servidor de correo Especifica el servidor de correo electrónico que se utiliza cuando ePolicyOrchestrator envía mensajes de correo electrónico.

Filtrado de eventos Especifica qué eventos reenvía el agente.

Notificaciones de eventos Especifica el intervalo que debe transcurrir para que los eventos denotificación de ePolicy Orchestrator se envíen a respuestasautomáticas.

Actualización global Especifica si se activa la actualización global y cómo.

Clave de licencia Especifica la clave de licencia utilizada para registrar este softwareePolicy Orchestrator.

Mensaje de inicio de sesión Especifica el mensaje de inicio de sesión personalizado que se muestra,en su caso, a los usuarios del entorno cuando ven la pantalla de iniciode sesión en la consola de ePolicy Orchestrator.

Mantenimiento de directivas Especifica si las directivas para productos no admitidos están visibles uocultas. Solo se necesita cuando ePolicy Orchestrator se ha ampliadodesde una versión anterior.

Puertos Especifica los puertos que utiliza el servidor para comunicase con losagentes y la base de datos.

Impresión y exportación Especifica cómo se exporta la información a otros formatos y la plantillapara exportar a PDF. También especifica la ubicación predeterminada enla que se encuentran los archivos exportados.

Lista de compatibilidad deproductos

Especifica si la lista de compatibilidad de productos se descargaautomáticamente y muestra las extensiones de productos que no soncompatibles.

Product ImprovementProgram

Especifica si McAfee recopila datos de forma proactica y periódica de lossistemas gestionados por el servidor deMcAfee ePO.

Configuración de proxy Especifica el tipo de configuración proxy definida para su servidor deMcAfee ePO.

Claves de seguridad Especifica y gestiona las claves de comunicación agente-servidorsegura y las claves de repositorio.

Uso de la interfaz de ePolicy OrchestratorNavegación por la interfaz 2


Tabla 2-1 Categorías de configuración del servidor de ePolicy Orchestrator y susdescripciones (continuación)

Categoría deconfiguración delservidor

Descripción

Certificado del servidor Especifica el certificado del servidor que utilizan sus servidores deMcAfee ePO para las comunicaciones HTTPS con los navegadores.

Evaluación de software Especifica la información necesaria para activar la incorporación y eldespliegue de software de evaluación desde el Administrador desoftware.

Sitios de origen Especifica a qué sitios de origen se conecta su servidor para obteneractualizaciones, así como qué sitios se utilizan como respaldo.

Detalles: Configuración delsistema

Especifica qué propiedades de sistemas y consultas se muestran en lapágina Detalles: Configuración del sistema de sus sistemas gestionados.

Clasificación del árbol desistemas

Especifica si se activa la clasificación del árbol de sistemas en elentorno y cómo.

Sesión de usuario Especifica cuánto tiempo puede estar un usuario inactivo antes de queel sistema cierre su sesión.

Uso de listas y tablasUtilice las funciones de búsqueda y filtrado de ePolicy Orchestrator para ordenar las listas de datos.

Las listas de datos de ePolicy Orchestrator pueden llegar a tener cientos o miles de entradas. Realizarbúsquedas manuales de entradas concretas en esas listas de ePolicy Orchestrator puede resultar difícilsin el filtro de búsqueda de Búsqueda rápida.

Filtrado de listasPuede predefinir sus propios filtros personalizados para seleccionar filas concretas en las listas dedatos de la interfaz de ePolicy Orchestrator.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.

1 En la barra de la parte superior de la lista, seleccione el filtro predefinido o personalizado quedesee utilizar para filtrar la lista.

Únicamente se mostrarán los elementos que cumplan los criterios de filtrado.

2 Seleccione las casillas de verificación situadas junto a los elementos de la lista que le interesen y, acontinuación, seleccione Mostrar filas seleccionadas.

Únicamente se mostrarán las filas seleccionadas.

Búsqueda de elementos de lista específicosUtilice el filtro Búsqueda rápida para buscar elementos en listas de gran tamaño.

Los nombres las consultas predeterminadas pueden estar traducidos para su ubicación. Por lo tanto,cuando se comunique con usuarios de otras zonas geográficas, tenga en cuenta que los nombres de lasconsultas podrían variar.

2 Uso de la interfaz de ePolicy OrchestratorUso de listas y tablas



1 Introduzca los términos de búsqueda en el campo Búsqueda rápida.

2 Haga clic en Aplicar.

Únicamente se mostrarán los elementos que contengan los términos que se haya introducido en elcampo Búsqueda rápida.

Haga clic en Borrar para eliminar el filtro y ver todos los elementos de la lista.

He aquí un ejemplo de una búsqueda válida de una lista de consultas concretas.

1 Haga clic en Menú | Consultas e informes. Haga clic en Consulta y todas las consultas disponibles enePolicy Orchestrator aparecerán en la lista.

2 Para restringir la lista a consultas concretas, por ejemplo "detecciones", en Búsqueda rápida escribadetec y haga clic en Aplicar.

En la lista aparecerán estas consultas o más:

• Historial de detecciones de malware

• Detecciones por producto hoy

Selección de casillas de verificación de filas de tablasLa interfaz de usuario de ePolicy Orchestrator dispone de acciones y métodos abreviados especiales deselección de filas de tablas que le permiten seleccionar casillas de verificación de filas de tablashaciendo clic con el ratón o mediante la combinación "Mayús + clic".

Algunas páginas de salida de la interfaz de ePolicy Orchestrator muestran una casilla de verificaciónjunto a cada elemento de lista de la tabla. Estas casillas de verificación le permite seleccionar filas deforma individual, como grupos, o bien todas las filas de la tabla.

En esta tabla de incluyen las pulsaciones de teclas que se utilizan para seleccionar casillas deverificación de filas de tablas.

Para seleccionar Acción Respuesta

Filas individuales Haga clic en las filas en cuestión. Selecciona cada fila de maneraindependiente.

Grupo de filas Haga clic en una casilla deverificación, mantenga pulsada latecla Mayús y haga clic en la últimacasilla de verificación del grupo.

La primera y última filas seleccionadas creanun grupo de filas seleccionadas.

Si se utiliza la combinación Mayús + clicpara seleccionar más de 1500 filas de unatabla de forma simultánea, podríaproducirse una utilización excesiva de laCPU y generarse un mensaje de errorsobre un error de secuencia decomandos.

Todas las filas Haga clic en casilla de verificaciónsuperior de los encabezados delas tablas

Selecciona todas las filas de la tabla

Uso de la interfaz de ePolicy OrchestratorUso de listas y tablas 2


2 Uso de la interfaz de ePolicy OrchestratorUso de listas y tablas


Configuración de su servidor deePolicy OrchestratorEl primer paso para administrar la seguridad de su red con ePolicyOrchestrator es configurar el software.

Capítulo 3 Planificación de la configuración de ePolicy OrchestratorCapítulo 4 Configuración de su servidor de McAfee ePOCapítulo 5 Cuentas de usuario y conjuntos de permisosCapítulo 6 RepositoriosCapítulo 7 Servidores registradosCapítulo 8 Administradores de agentes


Configuración de su servidor de ePolicy Orchestrator


3 Planificación de la configuración deePolicy Orchestrator

Para utilizar su servidor de McAfee ePO de forma eficaz, debe crear un plan completo específico parasu entorno.

La configuración de la infraestructura de su servidor, y cuántos procedimientos de configuración deberealizar, depende de las necesidades exclusivas de su entorno de red. Considerar estos factores puedereducir el tiempo necesario para que todo esté funcionando.

Contenido Consideraciones sobre escalabilidad Protocolos de Internet en un entorno gestionado

Consideraciones sobre escalabilidad La gestión de sus necesidades de escalabilidad será diferente dependiendo de si utiliza variosservidores de McAfee ePO, varios administradores de agentes remotos o ambas cosas.

Con el software ePolicy Orchestrator, puede escalar su red vertical u horizontalmente.

• Escalabilidad vertical: consiste en incorporar y ampliar a hardware de mayor capacidad y rapidezcon el fin de gestionar despliegues cada vez mayores. La escalación vertical de su infraestructurade servidor de McAfee ePO se consigue mediante la ampliación del hardware de su servidor, asícomo utilizando varios servidores de McAfee ePO en la red, cada uno con su propia base de datos.

• Escalabilidad horizontal: se consigue aumentando el tamaño de despliegue que puede gestionar unsolo servidor de McAfee ePO. Para la escalación horizontal del servidor, se instalan variosadministradores de agentes remotos; cada uno de ellos se comunica con una sola base de datos.

Cuándo utilizar varios servidores de McAfee ePOSegún el tamaño y el diseño su organización, es posible que sea necesario el uso de varios servidoresde McAfee ePO.

A continuación se indican los casos en los que podría ser conveniente utilizar varios servidores:

• Si desea mantener varias bases de datos independientes para unidades distintas dentro de suorganización.

• Si requiere infraestructuras de TI, grupos administrativos o entornos de prueba independientes.

• Si su organización está distribuida en un área geográfica amplia y utiliza una conexión de red conun ancho de banda relativamente bajo, como una conexión WAN o VPN, u otras conexiones máslentas habituales entre sitios remotos. Para obtener más información sobre los requisitos de anchode banda, consulte la Guía de evaluación de hardware y uso de ancho de banda de McAfee ePolicyOrchestrator.

3


El uso de varios servidores en su red precisa del mantenimiento de una base de datos independientepara cada uno de ellos. Puede acumular información de cada servidor en su servidor y base de datosde McAfee ePO principales.

Cuándo utilizar varios administradores de agentes remotos El uso de varios administradores de agentes remotos puede ayudarle a administrar grandesdespliegues sin tener que agregar servidores de McAfee ePO adicionales a su entorno.

El administrador de agentes es el componente de su servidor responsable de la administración desolicitudes de agente. Cada instalación de servidor de McAfee ePO incluye un administrador deagentes de forma predeterminada. A continuación se indican algunos casos en los que resultaconveniente el uso de varios administradores de agentes:

• Desea permitir que los agentes elijan entre varios dispositivos físicos, de manera que puedancontinuar comunicándose y recibir actualizaciones de directivas, tareas y productos, incluso si elservidor de aplicaciones no está disponible, y no desea instalar en clúster el servidor de McAfeeePO.

• Si necesita ampliar su infraestructura de ePolicy Orchestrator existente para gestionar másagentes, más productos o una carga mayor debido a intervalos de comunicación agente-servidor(ASCI) más frecuentes.

• Desea utilizar el servidor de McAfee ePO para gestionar segmentos de red desconectados, talescomo sistemas que utilizan traducción de direcciones de red (NAT) o se encuentran en una redexterna.

Esto es viable siempre y cuando el administrador de agentes tenga una conexión de alto ancho debanda con la base de datos de ePolicy Orchestrator.

El uso de varios administradores de agentes puede proporcionar mayor escalabilidad y menorcomplejidad a la hora de administrar despliegues grandes. Sin embargo, dado que los administradoresde agentes requieren una conexión de ancho de banda muy rápida, hay algunos casos en los que nodeben utilizarse, por ejemplo:

• Para sustituir repositorios distribuidos. Los repositorios distribuidos son recursos compartidos dearchivos locales cuyo objetivo es mantener el tráfico de comunicaciones del agente a nivel local.Aunque los administradores de agentes tienen una funcionalidad de repositorio incorporada, tienenque comunicarse constantemente con el servidor de base de datos de ePolicy Orchestrator y, por lotanto, consumen una cantidad de ancho de banda considerablemente mayor.

• Para mejorar la replicación de repositorios en una conexión WAN. La comunicación constante con labase de datos que necesita la replicación de repositorios puede saturar la conexión WAN.

• Para conectarse a un segmento de red desconectado en el que hay conectividad limitada o irregulara la base de datos de ePolicy Orchestrator.

Protocolos de Internet en un entorno gestionado El software ePolicy Orchestrator es compatible con las dos versiones del Protocolo de Internet, IPv4 yIPv6.

Los servidores de McAfee ePO funcionan en tres modos distintos:

• Solo IPv4: admite únicamente el formato de direcciones IPv4.

• Solo IPv6: admite únicamente el formato de direcciones IPv6.

• Modo mixto: admite los formatos de direcciones IPv4 y IPv6.

3 Planificación de la configuración de ePolicy OrchestratorProtocolos de Internet en un entorno gestionado


El modo en que funciona su servidor de McAfee ePO depende de la configuración de la red. Porejemplo, si la red está configurada para utilizar solamente direcciones IPv4, su servidor funciona soloen modo IPv4. Del mismo modo, si la red está configurada para utilizar tanto direcciones IPv4 comoIPv6, su servidor funciona en modo mixto.

Hasta que no se instala y activa IPv6, el servidor de McAfee ePO solo escucha en direcciones IPv4.Cuando se activa IPv6, funciona en el modo en el que se haya configurado.

Cuando el servidor de McAfee ePO se comunica con un administrador de agentes en IPv6, laspropiedades relacionadas con las direcciones, tales como la dirección IP, la dirección de subred y lamáscara de subred, se indican en formato IPv6. Cuando se transmiten entre el cliente y el servidor deMcAfee ePO, o cuando se muestran en la interfaz de usuario o en un archivo de registro, laspropiedades relacionadas con IPv6 aparecen en el formato ampliado y entre paréntesis.

Por ejemplo, 3FFE:85B:1F1F::A9:1234 aparece como [3FFE:085B:1F1F:0000:0000:0000:00A9:1234].

Cuando se establece una dirección IPv6 para orígenes FTP o HTTP, no es necesario realizarmodificaciones en la dirección. Sin embargo, cuando se define una dirección Literal IPv6 para unorigen UNC, debe utilizar el formato Microsoft Literal IPv6. Consulte la documentación de Microsoftpara obtener más información.

Planificación de la configuración de ePolicy OrchestratorProtocolos de Internet en un entorno gestionado 3


3 Planificación de la configuración de ePolicy OrchestratorProtocolos de Internet en un entorno gestionado


4 Configuración de su servidor de McAfeeePO

Configure las funciones esenciales de su servidor de McAfee ePO para ponerse inmediatamente atrabajar.

Contenido Descripción de la configuración del servidor Uso de Despliegue de productos durante la configuración automática Funciones esenciales para la Configuración guiada o manual Configuración automática de productos Configuración de las funciones esenciales Uso de un servidor proxy Introducción de la clave de licencia

Descripción de la configuración del servidorConfigure el servidor de McAfee ePO para que cumpla las necesidades concretas de su entornomediante varios métodos.

Las funciones esenciales del servidor de McAfee ePO que debe configurar son las siguientes:

• Administrador de software: permite incorporar software de seguridad nuevo y actualizado en el servidorde McAfee ePO y el Repositorio principal desde la consola.

• Árbol de sistemas: contiene todos los sistemas gestionados por el servidor de McAfee ePO y permiterealizar acciones en ellos.

• Catálogo de directivas: es donde se configuran las directivas que controlan el software de seguridaddesplegado en los sistemas gestionados.

• Catálogo de tareas cliente: es donde se crean, asignan y planifican las tareas cliente para que seejecuten automáticamente en los sistemas gestionados.

• McAfee Agent: activa la gestión de un sistema de la red. Una vez desplegado, el agente se encarga dela comunicación entre el servidor y el sistema gestionado del estado y de todos los datosasociados. Es el vehículo a través del cual se despliega el software de seguridad, se implementanlas directivas y se asignan las tareas.

McAfee Agent es un producto de software independiente necesario para que el servidor de McAfeeePO pueda gestionar los sistemas de la red. McAfee Agent se incorpora automáticamente alRepositorio principal cuando se instala el software de ePolicy Orchestrator por primera vez.

Puede configurar estas funciones esenciales mediante:

4


• Despliegue de productos inicial: configura todas las funciones esenciales automáticamente.

Consulte la presentación con diapositivas Bienvenido a ePolicy Orchestrator para familiarizarse con elsoftware y su funcionamiento.

• Configuración guiada: le guía en la configuración de cada una de las funciones esenciales.

• Procesos de configuración manual: los procesos correspondientes a cada función esencial se describen enesta guía.

La mayoría de los usuarios configuran su servidor de McAfee ePO de manera automática. No obstante,es posible que sea mejor una configuración manual para aquellos usuarios que tengan ciertasrestricciones, por ejemplo:

• Sin acceso a Internet

• Restricciones para descargas directas en infraestructura crítica

• Procesos de despliegue por fases que requieren que los productos se instalen de forma incrementalen entornos críticos

• Organizaciones de gran tamaño con requisitos específicos

Esta tabla muestra una descripción general de los pasos necesarios para configurar el software ePolicyOrchestrator mediante la configuración guiada.

4 Configuración de su servidor de McAfee ePODescripción de la configuración del servidor


Tabla 4-1 Descripción general de los distintos métodos de configuración

Pasos del Despliegue de productos inicial Pasos de la Configuración guiada

1 La instalación de ePolicy Orchestrator finaliza yse inicia el software.

2 En la página de inicio de sesión, haga lo propioen la interfaz de usuario de ePolicyOrchestrator. Aparece la página del panelProcedimientos iniciales de ePolicy Orchestrator.

Durante un despliegue de productos inicialnormal la página Configuración automática deproductos no debería aparecer. Si lo hace,ello significa que ha habido un error en ladescarga o instalación de algún producto.

3 Ejecute la presentación con diapositivasBienvenido a ePolicy Orchestrator para familiarizarsecon el software y su funcionamiento.

4 En el panel Despliegue de productos, compruebeque todos los productos instaladosautomáticamente y sus respectivas versionessean correctos y, a continuación, haga clic enIniciar despliegue.

5 Lleve a cabo estos pasos según correspondaen su entorno:

• Configure las opciones generales delservidor.

• Cree las cuentas de usuario.

• Configure los conjuntos de permisos.

• Configure las opciones y funcionesavanzadas del servidor.

• Configure los componentes adicionales.

El software ePolicy Orchestrator está configuradoy listo para proteger sus sistemas.

1 La instalación de ePolicy Orchestrator finaliza yse inicia el software.

2 En la página de inicio de sesión, haga lo propioen la interfaz de usuario de ePolicy Orchestrator.

3 Ejecute la Configuración guiada de ePolicy Orchestratorpara llevar a cabo estos procesos:

• Agregue software de seguridad de McAfee alRepositorio principal

• Agregue sistemas al Árbol de sistemas

• Cree y asigne al menos una directiva deseguridad a los sistemas gestionados

• Planifique una tarea de actualización de cliente

• Despliegue los productos de seguridad en lossistemas gestionados.

No es necesario utilizar la Configuraciónguiada. Cada uno de estos pasos se puederealizar de forma manual.

4 Lleve a cabo estos pasos según corresponda ensu entorno:

• Configure las opciones generales del servidor.

• Cree las cuentas de usuario.

• Configure los conjuntos de permisos.

• Configure las opciones y funciones avanzadasdel servidor.

• Configure los componentes adicionales.

El software ePolicy Orchestrator está configurado ylisto para proteger sus sistemas.

Uso de Despliegue de productos durante la configuraciónautomática

Puede utilizar el Despliegue de productos inicial para desplegar e instalar productos rápidamente en ePolicyOrchestrator y en los sistemas gestionados.

Antes de empezarUna vez que se instala el software ePolicy Orchestrator, la Configuración automática de productoscomienza a descargar e instalar los productos a los que le da derecho su licencia de sitio.

Probablemente nunca verá la Configuración automática de productos, a no ser que se produzca unerror.

Configuración de su servidor de McAfee ePOUso de Despliegue de productos durante la configuración automática 4


Estos son los principales pasos necesarios para configurar automáticamente ePolicy Orchestrator trasla instalación inicial.

Procedimiento1 Haga clic en el icono Iniciar ePolicy Orchestrator del escritorio de su servidor de McAfee ePO para ver la

pantalla Iniciar sesión.

2 Introduzca sus credenciales y elija un idioma en el cuadro de diálogo Iniciar sesión.

El panel Procedimientos iniciales de ePolicy Orchestrator muestra la presentación con diapositivas Bienvenido aePolicy Orchestrator y los paneles de Despliegue de productos.

3 Consulte la presentación con diapositivas Bienvenido a ePolicy Orchestrator para familiarizarse con lainterfaz de usuario y el proceso de configuración.

El panel Despliegue de productos muestra todos los productos descargados e instaladosautomáticamente por la Configuración automática de productos.

4 Confirme que los productos instalados y sus respectivas versiones sean correctos y haga clic enIniciar despliegue.

5 Complete la configuración de ePolicy Orchestrator realizando las siguientes tareas, segúncorresponda:

• Configure las opciones generales del servidor: las opciones de configuración del servidorde este grupo afectan a funciones que no es imprescindible modificar para que el servidorfuncione correctamente, pero que pueden personalizarse.

• Cree cuentas de usuario y configure conjuntos de permisos: las cuentas de usuario lesprocuran a los usuarios un medio de acceder al servidor, en tanto que los conjuntos de permisosotorgan derechos y acceso a las funciones de ePolicy Orchestrator.

• Configure las opciones y funciones avanzadas del servidor: su servidor de McAfee ePOofrece funciones y funcionalidad avanzadas para ayudarle a automatizar la gestión de laseguridad de su red.

• Configure componentes adicionales: los componentes adicionales, tales como repositoriosdistribuidos, servidores registrados y administradores de agentes, son necesarios para usarmuchas de las funciones avanzadas de su software ePolicy Orchestrator.

Ahora el servidor McAfee ePO está protegiendo sus sistemas gestionados.

Funciones esenciales para la Configuración guiada o manualExisten diversas funciones del servidor de McAfee ePO que resultan esenciales para su uso y quedeben ser definidas durante la Configuración guiada o manual. Estas funciones son necesarias parapoder desplegar y gestionar el software de seguridad de los sistemas de la red.

El software ePolicy Orchestrator viene equipado con la herramienta Configuración guiada. Estaherramienta ha sido diseñada para ayudarle a configurar las funciones esenciales, así como para quese familiarice con la interfaz de ePolicy Orchestrator. La Configuración guiada le ayuda a realizar lospasos necesarios para:

1 Incorporar el software de seguridad de McAfee a su Repositorio principal, para poder desplegarlo enlos sistemas de la red.

2 Agregar sistemas al árbol de sistemas de ePolicy Orchestrator para poder administrarlos.

4 Configuración de su servidor de McAfee ePOFunciones esenciales para la Configuración guiada o manual


3 Crear y asignar al menos una directiva de seguridad para poder implementarla en los sistemasgestionados.

4 Planificar una tarea cliente de actualización para mantener su software de seguridad al día.

5 Desplegar el software de seguridad en los sistemas gestionados.

No es necesario utilizar la Configuración guiada. Si decide llevar a cabo estos pasos de forma manual,le recomendamos que utilice un flujo de trabajo similar durante el proceso de configuración.Independientemente del método elegido para configurar las funciones, puede modificar y ajustar laconfiguración de su servidor con la herramienta Configuración guiada o directamente en cada páginadel menú de McAfee ePO.

Configuración automática de productos Durante una configuración automática, el servidor de McAfee ePO descarga e instala todos losproductos de McAfee autorizados por su licencia de sitio.En la mayoría de los casos, no verá ejecutarse el proceso de Configuración automática de productosdurante una configuración automática. Comienza a ejecutarse en cuanto se termina de instalar elsoftware de ePolicy Orchestrator y normalmente concluye antes de que inicie sesión.

Si aparece la página Configuración automática de productos al iniciar sesión en ePolicy Orchestratorpor primera vez, es que se ha producido un error al descargar o instalar sus productos. Por ejemplo, sise ha interrumpido la conexión a Internet. Tome nota del producto que no se haya instaladocorrectamente y haga clic en Reintentar para volver a intentar la instalación del producto.

Para detener la instalación automática de los productos, haga clic en Detener. Un cuadro de diálogo deconfirmación le pedirá que confirme que desea utilizar el Administrador de software para instalar susproductos.

Una vez que haga clic en Aceptar en el cuadro de diálogo de confirmación Detener configuración automática deproductos, deberá utilizar el Administrador de software para instalar sus productos. La Configuraciónautomática de productos solo está disponible una vez durante la configuración inicial.

Si un producto sigue fallando durante la Configuración automática de productos, póngase en contactocon el Soporte técnico de McAfee. También puede hacer clic en Aceptar para salir de la páginaConfiguración automática de productos y empezar a configurar el servidor de McAfee ePO.

Para obtener información sobre el estado de la instalación de futuros productos, abra el Administradorde software: Menú | Software | Administrador de software.

Configuración de las funciones esenciales Utilice la herramienta Configuración guiada para configurar las funciones esenciales. También puedeutilizar estos procedimientos como guía cuando configure manualmente su servidor de McAfee ePO.

Antes de empezarPara configurar el software ePolicy Orchestrator manualmente o utilizar la Configuración guiada,debe detener la ejecución de la Configuración automática de productos. Este procedimiento da porsentado que ha ejecutado ePolicy Orchestrator para ePolicy Orchestrator en la línea decomandos con el parámetro SKIPAUTOPRODINST=1 para desactivar la Configuración automática deproductos.

Para ver las definiciones de las opciones, haga clic en ? en la interfaz.

Configuración de su servidor de McAfee ePOConfiguración automática de productos 4


Procedimiento1 Haga clic en el icono Iniciar ePolicy Orchestrator del escritorio de su servidor de McAfee ePO para ver la

pantalla Iniciar sesión.

2 Escriba su nombre de usuario y contraseña, seleccione un idioma, si es necesario, y haga clic enIniciar sesión. ePolicy Orchestrator se iniciará y mostrará el cuadro de diálogo Panel.

3 Haga clic en Menú | Informes | Paneles, seleccione Configuración guiada en el menú desplegable Panel y, acontinuación, haga clic en Iniciar.

4 Revise la descripción y las instrucciones de la Configuración guiada y, a continuación, haga clic en Iniciar.

5 En la página Selección de software:

a En la categoría de productos Software no incorporado, haga clic en Con licencia o en Evaluación paramostrar los productos disponibles.

b En la tabla Software, seleccione el producto que desea incorporar. En la tabla que aparece acontinuación se muestra la descripción del producto y todos los componentes disponibles.

c Haga clic en Incorporar todo para incorporar extensiones de productos a su servidor de McAfee ePOy los paquetes de productos a su Repositorio principal.

d Haga clic en Siguiente en la parte superior de la pantalla cuando haya terminado de instalar elsoftware y esté listo para comenzar el paso siguiente.

6 En la página Selección de sistemas:

a Seleccione en el Árbol de sistemas dónde desea agregar los sistemas. Si no tiene definido ningúngrupo predeterminado, seleccione Mi organización y, a continuación, haga clic en Siguiente. Se abriráel cuadro de diálogo Agregando los sistemas.

b Seleccione qué método desea utilizar para agregar los sistemas al Árbol de sistemas.

Agregarsistemasmediante elmétodo...

Para... Entonces...

Sincronizacióncon AD

Sincronice el servidor de McAfeeePO con su servidor de ActiveDirectory (AD) o controlador dedominio (DC). Si está utilizandouno de estos métodos en suentorno, la Sincronización con AD esla manera más rápida de agregarlos sistemas al Árbol de sistemas.

1 En el cuadro de diálogo Sincronización con AD,seleccione el tipo de sincronización quedesee utilizar y especifique la configuraciónadecuada.

2 Haga clic en Sincronizar y Guardar paracontinuar con el paso siguiente.

Manual Agregue sistemas al Árbol desistemas de forma manualespecificando los nombres obuscando en una lista de sistemaspor dominio.

1 En la página Sistemas nuevos, haga clic enExaminar para agregar sistemas individuales apartir de un dominio y luego en Aceptar, obien escriba los nombres de los sistemas enel campo Sistemas de destino.

2 Haga clic en Agregar sistemas para ir al pasosiguiente.

7 En la página Config. de directiva:

4 Configuración de su servidor de McAfee ePOConfiguración de las funciones esenciales


Seleccione... Para... Entonces...

Aceptarpredeterminados

Utilizar la directiva My Defaultpara el software que va adesplegar y seguir con laconfiguración.

Este paso ha finalizado.

Configurar directiva Especificar la configuración dedirectiva predeterminada paracada producto de software queha incorporado.

1 En el cuadro de diálogo Configuración dedirectiva, haga clic en Aceptar.

2 Seleccione un producto en Lista de productos yhaga clic en My Default para editar laconfiguración de directivas predeterminada.

3 Haga clic en Siguiente para ir al pasosiguiente.

8 En la página Actualización de software:

Seleccione... Para... Entonces...

Crearpredeterminada

Crear automáticamente unatarea cliente de actualizaciónde productospredeterminada, que seejecute todos los días a las12 de la noche.

Este paso ha finalizado.

Planificar tarea Configurar manualmente laplanificación de su tareacliente de actualización deproductos.

1 Utilizando el Generador de asignaciones de tareascliente, especifique un Producto y un Nombre de latarea para su tarea de actualización deproductos.

No cambie la selección del Tipo de tarea. ElTipo de tarea debe ser Actualización de productos.

2 Configure las opciones Bloquear herencia de tarea yEtiquetas, y haga clic en Siguiente.

3 Planifique la tarea de actualización y haga clicen Siguiente.

4 Revise el resumen y haga clic en Guardar.

9 En la página Despliegue de software:

a En el Árbol de sistemas, seleccione la ubicación en la que se encuentren los sistemas en los quedesea desplegar el software y haga clic en Siguiente. Haga clic en Aceptar para continuar.

b Especifique la configuración para el despliegue de McAfee Agent y, a continuación, haga clic enDesplegar.

Haga clic en Omitir despliegue del agente si desea realizar esta acción más tarde. No obstante, debehaber desplegado los agentes para poder desplegar otro software de seguridad.

c Seleccione los paquetes de software que desee desplegar en los sistemas gestionados y hagaclic en Desplegar.

10 En la página Resumen de configuración, haga clic en Finalizar para cerrar la Configuración guiada.

Configuración de su servidor de McAfee ePOConfiguración de las funciones esenciales 4


11 Complete la configuración de ePolicy Orchestrator realizando las siguientes tareas, segúncorresponda:

• Configure las opciones generales del servidor: las opciones de configuración del servidorde este grupo afectan a funciones que no es imprescindible modificar para que el servidor operecorrectamente, pero puede personalizar algunos aspectos del funcionamiento del servidor.

• Cree cuentas de usuario y configure conjuntos de permisos: las cuentas de usuario lesprocuran a los usuarios un medio de acceder al servidor, en tanto que los conjuntos de permisosotorgan derechos y acceso a las funciones de ePolicy Orchestrator.

• Configure las opciones y funciones avanzadas del servidor: su servidor de McAfee ePOofrece funciones y funcionalidad avanzadas para ayudarle a automatizar la gestión de laseguridad de su red.

• Configure componentes adicionales: los componentes adicionales, tales como repositoriosdistribuidos, servidores registrados y administradores de agentes, son necesarios para usarmuchas de las funciones avanzadas del software ePolicy Orchestrator.

El servidor de McAfee ePO ya está protegiendo sus sistemas gestionados.

Uso de un servidor proxy Si utiliza un servidor proxy en su entorno de red, debe especificar la configuración de proxy en lapágina Configuración del servidor.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Configuración de proxy en Categorías de

configuración y, a continuación, haga clic en Editar.

2 Seleccione Configurar el servidor proxy de forma manual, especifique la información de configuración queutiliza su servidor proxy para cada grupo de opciones y, a continuación, haga clic en Guardar.

Introducción de la clave de licencia Su clave de licencia le da derecho a una instalación completa del software, y llena el administrador desoftware de ePolicy Orchestrator con la licencia de software de McAfee que posee su empresa.

Sin una clave de licencia, el software se ejecuta en modo de evaluación. Cuando caduque el períodode evaluación, el software deja de funcionar. Puede agregar una clave de licencia en cualquiermomento durante o después del período de evaluación.


1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Clave de licencia en Categorías deconfiguración y, a continuación, haga clic en Editar.

2 Introduzca su Clave de licencia y haga clic en Guardar.

4 Configuración de su servidor de McAfee ePOUso de un servidor proxy


5 Cuentas de usuario y conjuntos depermisos

Cada cuenta se asocia con uno o varios conjuntos de permisos, que definen lo que el usuario estáautorizado a hacer con el software.

Contenido Cuentas de usuario Autenticación mediante certificados de clientes Conjuntos de permisos

Cuentas de usuarioLas cuentas de usuario le permiten controlar la forma en que los usuarios acceden al software y loutilizan. Incluso en las instalaciones de red más reducidas es necesario especificar y controlar elacceso que tienen los usuarios a las distintas partes del sistema.

Contenido Tipos de cuentas de usuario Administración de cuentas de usuarios Creación de un mensaje de inicio de sesión personalizado Configuración del inicio de sesión de usuario de Active Directory Archivo de entrada, página (Importador de asignaciones de directivas)

Tipos de cuentas de usuarioHay dos tipos de usuarios: usuarios propietarios (o propietarios), que disponen de derechosadministrativos completos, y usuarios estándar (o, simplemente, usuarios), cuyos permisos sonlimitados.

Las cuentas de usuario se pueden crear y administrar de distintas formas. Es posible:

• Crear cuentas de usuario manualmente y, a continuación, asignarle a cada una el conjunto depermisos adecuado.

• Configurar el servidor de McAfee ePO para que permita que los usuarios inicien sesión mediante laautenticación de Windows.

Permitir a los usuarios iniciar una sesión utilizando sus credenciales de Windows es una funciónavanzada que requiere la configuración de varios parámetros y componentes. Para obtener másinformación sobre esta opción, consulte Administración de los usuarios de ePolicy Orchestrator conActive Directory.

Aunque las cuentas de usuario y los conjuntos de permisos están estrechamente relacionados, secrean y configuran en pasos independientes.

5


Administración de cuentas de usuariosEste procedimiento permite crear, editar y eliminar cuentas de usuario de forma manual desde lapágina Administración de usuarios.

Se recomienda desactivar el Estado de inicio de sesión de una cuenta en lugar de eliminarla, hasta estarseguro de haber transferido a otros usuarios toda la información importante asociada a la cuenta.


Procedimiento1 Abra la página Administración de usuarios: haga clic en Menú | Administración de usuarios | Usuarios.

2 Seleccione una de estas acciones.

Acción Pasos

Crear unusuario

1 Haga clic en Nuevo usuario.

2 Escriba un nombre de usuario.

3 Seleccione si desea activar o desactivar el estado de inicio de sesión de estacuenta. Si esta cuenta es para alguien que aún no forma parte de la organización,quizá prefiera desactivarla.

4 Seleccione si la nueva cuenta utiliza Autenticación de McAfee ePO, Autenticación de Windows oAutenticación basada en certificados e indique las credenciales necesarias, o localice yseleccione un certificado.

5 Si lo desea también puede especificar el nombre completo, la dirección de correoelectrónico y el número de teléfono del usuario, así como una descripción, en elcuadro de texto Notas.

6 Decida si el usuario será administrador o seleccione los conjuntos de permisosadecuados para él.

7 Haga clic en Guardar para volver a la ficha Usuarios.

El nuevo usuario aparece en la lista Usuarios de la página Administración de usuarios.

Editar unusuario

1 En la lista Usuarios, seleccione el usuario que desee editar y, a continuación, hagaclic en Acción | Editar.

2 Realice los cambios necesarios en la cuenta.

3 Haga clic en Guardar.

Los cambios realizados en el usuario se reflejarán en la lista Usuarios de la páginaAdministración de usuarios.

Eliminar unusuario

1 En la lista Usuarios, seleccione el usuario que desee eliminar y, a continuación, hagaclic en Acción | Eliminar.

2 Cuando se le solicite, haga clic en Aceptar.

El usuario desaparece de la lista Usuarios de la página Administración de usuarios.

Creación de un mensaje de inicio de sesión personalizado Cree un mensaje de inicio de sesión personalizado para mostrarlo en la página Iniciar sesión.

Puede escribir este mensaje como texto sin formato o formatearlo con HTML. Si crea un mensajeHTML, será el responsable de su formato y de incluir los caracteres de escape.

5 Cuentas de usuario y conjuntos de permisosCuentas de usuario



1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Mensaje de inicio de sesión en Categoríasde configuración y, a continuación, haga clic en Editar.

2 Seleccione Mostrar mensaje de inicio de sesión personalizado, escriba su mensaje y haga clic en Guardar.

Configuración del inicio de sesión de usuario de ActiveDirectory Puede reducir el trabajo de administración de las cuentas de usuario y el acceso, mediante laconfiguración del inicio de sesión de usuario de Active Directory.

Contenido Administración de los usuarios de ePolicy Orchestrator con Active Directory Estrategias de autenticación y autorización de Windows Activación de la autenticación de Windows en el servidor de McAfee ePO Configuración de la autenticación de Windows Configuración de la autorización de Windows

Administración de los usuarios de ePolicy Orchestrator con ActiveDirectoryPuede utilizar credenciales de usuario autenticadas de Windows preexistentes para crearautomáticamente usuarios de ePolicy Orchestrator y asignarles permisos.

Este proceso se realiza mediante la asignación de conjuntos de permisos de ePolicy Orchestrator agrupos de Active Directory en su entorno. Esta función permite reducir el trabajo de administración enlas organizaciones que cuentan con un gran número de usuarios de ePolicy Orchestrator. Paraestablecer la configuración, debe seguir este procedimiento:

• Configurar la autenticación de usuarios.

• Registrar los servidores LDAP.

• Asignar conjunto de permisos al grupo de Active Directory.

Autenticación de usuarios

Los usuarios de ePolicy Orchestrator se pueden autenticar mediante la autenticación de contraseñasde ePolicy Orchestrator o utilizando la autenticación de Windows. Si utiliza la autenticación deWindows, puede especificar si los usuarios se autentican:

• Con el dominio al que pertenece su servidor de McAfee ePO (opción predeterminada).

• Con una lista de uno o varios controladores de dominio.

• Con una lista de uno o varios nombres de dominio DNS.

• Utilizando un servidor WINS para consultar el controlador de dominio adecuado.

Si utiliza controladores de dominio, nombres de dominio DNS o un servidor WINS, debe configurar laautenticación de Windows.

Cuentas de usuario y conjuntos de permisosCuentas de usuario 5


Servidores LDAP registrados

Para que se puedan asignar conjuntos de permisos de forma dinámica a los usuarios de Windows, espreciso registrar los servidores LDAP con su servidor de McAfee ePO. Los conjuntos de permisosasignados de forma dinámica son los que se asignan a los usuarios según los grupos de ActiveDirectory a los que pertenecen.

No se admiten los usuarios con confianza externa de una vía.

La cuenta de usuario utilizada para registrar el servidor LDAP con ePolicy Orchestrator debe contar conconfianza transitiva bidireccional o bien existir físicamente en el dominio al que pertenece el servidorLDAP.

Autorización de Windows

La configuración de servidor para la autorización de Windows determina el servidor de Active Directory(AD) que emplea ePolicy Orchestrator para obtener información de usuarios y grupos para un dominioconcreto. Puede especificar varios controladores de dominio y servidores de Active Directory. Estaopción del servidor permite asignar de manera dinámica conjuntos de permisos a los usuarios queutilizan las credenciales de Windows al iniciar una sesión.

Incluso si no está activado el inicio de sesión de usuario de Active Directory, ePolicy Orchestrator puedeasignar conjuntos de permisos de forma dinámica a los usuarios autenticados de Windows.

Asignación de permisos

Debe asignar como mínimo un conjunto de permisos a un grupo de Active Directory que no sea elgrupo principal del usuario. No se pueden asignar conjuntos de permisos de forma dinámica al grupoprincipal del usuario. Si se hace, solo se aplicarán los permisos que se hayan asignado de formamanual a ese usuario en particular. El grupo principal predeterminado es "Usuarios del dominio".

Inicio de sesión de usuario de Active Directory

Cuando haya configurado las secciones descritas, puede activar la opción de configuración del servidorCreación automática de usuarios. Esta opción permite crear de forma automática registros de usuario cuandose cumplen las siguientes condiciones:

• Los usuarios proporcionan credenciales válidas, con el formato <dominio\nombre>. Por ejemplo,un usuario con credenciales de Windows jmoreno1, que es miembro del dominio de Windows es,tendría que proporcionar las siguientes credenciales: es\jmoreno1, junto con la contraseñaadecuada.

• Un servidor de Active Directory que contiene información sobre este usuario se ha registrado enePolicy Orchestrator.

• El usuario es miembro de, al menos, un Grupo local de dominio o Grupo global de dominioasignado a un conjunto de permisos de ePolicy Orchestrator.

Estrategias de autenticación y autorización de WindowsPuede elegir entre una amplia variedad de enfoques a la hora de planificar la forma de registrar susservidores LDAP. La planificación anticipada de su estrategia de registro de servidores le ayudará ahacerlo de forma correcta la primera vez, así como a reducir los problemas de autenticación.

Lo ideal es que realice este proceso una vez, y que únicamente lo cambie si lo hace toda la topologíade su red. Una vez se hayan registrados los servidores y se haya configurado la autenticación deWindows, no debería tener que modificar estas opciones de configuración con mucha frecuencia.



Autenticación frente a autorizaciónLa autenticación implica comprobar la identidad del usuario. Mediante este proceso se comparan lascredenciales facilitadas por el usuario con algo que el sistema considera auténtico. Puede tratarse deuna cuenta de servidor de McAfee ePO, de credenciales de Active Directory o de un certificado. Sidesea utilizar la autenticación de Windows, tendrá que examinar la manera en que están organizadoslos dominios (o servidores) que contienen sus cuentas de usuario.

La autorización entra en juego una vez que ha verificado las credenciales del usuario. Se trata delmomento en que se aplican los conjuntos de permisos, lo que permite determinar qué puede hacer elusuario en el sistema. Cuando utilice la autenticación de Windows, puede determinar lo que losusuarios de dominios distintos están autorizados a hacer. Esto se realiza mediante la inclusión de losconjuntos de permisos en los grupos que contienen esos dominios.

Topología de red para cuentas de usuarioEl esfuerzo necesario para configurar completamente la autenticación y autorización de Windowsdepende de la topología de su red, así como de la distribución de las cuentas de usuario en la misma.

• Si las credenciales de sus usuarios potenciales están contenidas en un pequeño conjunto dedominios (o servidores) dentro un único árbol de dominios, bastará con que registre la raíz de eseárbol.

• Sin embargo, si las cuentas de usuario están más repartidas, tendrá que registrar varios servidoreso dominios. Determine el número mínimo de árboles secundarios de dominios (o servidores) queva a necesitar y registre las raíces de esos árboles. Intente registrarlos en el orden el que se van autilizar más. Puesto que el proceso de autenticación desciende por la lista de dominios (oservidores) el orden en el que aparecen, si se sitúan los dominios más utilizados en la partesuperior se conseguirá una mejora en el rendimiento de autenticación medio.

Estructura de permisosPara que los usuarios puedan iniciar sesión en un servidor de McAfee ePO mediante la autenticación deWindows, se debe adjuntar un conjunto de permisos incluido al grupo de Active Directory al quepertenezcan sus cuentas en el dominio. A la hora de determinar cómo deben asignarse los conjuntosde permisos, tenga en cuenta las siguientes prestaciones:

• Los conjuntos de permisos se pueden asignar a varios grupos de Active Directory.

• Los conjuntos de permisos únicamente se pueden asignar de forma dinámica a todo un grupo deActive Directory. No pueden asignarse solamente a algunos usuarios de un grupo.

Si necesita asignar permisos especiales a un usuario concreto, puede hacerlo mediante la creación deun grupo de Active Directory que contenga solamente ese usuario.

Activación de la autenticación de Windows en el servidor de McAfee ePOPara poder utilizar autenticación de Windows avanzada, es necesario preparar el servidor.

Para activar la página Autenticación de Windows en la configuración del servidor, en primer lugar debedetener el servicio de ePolicy Orchestrator. Esto debe realizarse en el propio servidor de McAfee ePO.


1 En la consola del servidor, seleccione Inicio | Configuración | Panel de control | Herramientas administrativas.

2 Seleccione Servicios.

3 En la ventana Servicios, haga clic con el botón derecho del ratón Servidor de aplicaciones de McAfee ePolicyOrchestrator y seleccione Detener.

Cuentas de usuario y conjuntos de permisosCuentas de usuario 5


4 Cambie el nombre de Winauth.dll a Winauth.bak.

En las instalaciones predeterminadas, la ubicación de este archivo es C:\Archivos de programa\McAfee\ePolicy Orchestrator\Server\bin.

5 Reinicie el servidor.

La próxima vez que abra la página Configuración del servidor, aparecerá una opción Autenticación de Windows.

Configuración de la autenticación de WindowsHay varias formas de utilizar credenciales de cuentas de Windows en ePolicy Orchestrator.

Antes de empezarEs preciso haber preparado antes su servidor para autenticación de Windows.

La configuración elegida depende de distintos factores:

• ¿Desea usar varios controladores de dominio?

• ¿Tiene usuarios en varios dominios?

• ¿Desea utilizar un servidor WINS para consultar el dominio con el que se autentican sus usuarios?

Sin ninguna configuración especial, los usuarios pueden realizar la autenticación con credenciales deWindows para el dominio al que está vinculado el servidor de McAfee ePO o cualquier dominio quetenga una relación de confianza mutua con el dominio del servidor de McAfee ePO. Si tiene usuariosen dominios que no cumplen ese criterio, configure la autenticación de Windows.


1 Haga clic en Menú | Configuración | Configuración del servidor y, a continuación, haga clic en Autenticación deWindows en la lista Categorías de configuración.

2 Haga clic en Editar.

3 Especifique si desea utilizar uno o varios dominios, uno o varios controladores de dominios, o unservidor WINS.

Los dominios deben introducirse en formato DNS (por ejemplo, dominiointerno.com). Loscontroladores de dominio y los servidores WINS deben tener nombres de dominios completos (porejemplo, dc.dominiointerno.com).

Puede especificar varios dominios o controladores de dominio, pero solamente un servidor WINS.Haga clic en + para agregar otros dominios o controladores de dominio a la lista.

4 Haga clic en Guardar cuando haya terminado de agregar servidores.

Si especifica dominios o controladores de dominios, el servidor de McAfee ePO intenta autenticar a losusuarios con los servidores en el orden en el que aparecen. Empieza con el primer servidor de la listay sigue hasta que el usuario queda autenticado.

Configuración de la autorización de WindowsLos usuarios que intenten iniciar sesión en un servidor de McAfee ePO mediante la autenticación deWindows necesitan un conjunto de permisos asignado a uno de sus grupos de Active Directory.




1 Haga clic en Menú | Administración de usuarios | Conjuntos de permisos.

2 Elija un conjunto de permisos en la lista Conjuntos de permisos y haga clic en Editar en la sección Nombrey usuarios o haga clic en Acciones | Nuevo.

3 Seleccione los usuarios individuales a los que se les aplique el conjunto de permisos.

4 Seleccione un Nombre del servidor en la lista y haga clic en Agregar.

5 En el navegador LDAP, desplácese por los grupos y seleccione los grupos a los que se les apliqueeste conjunto de permisos.

Al seleccionar un elemento en el panel Examinar aparecen los miembros correspondientes en el panelGrupos. Puede seleccionar uno o varios de estos grupos para recibir el conjunto de permisos demanera dinámica. No se pueden agregar miembros de varios elementos a la vez. Si necesitaagregar más, repita los pasos 4 y 5 hasta que haya terminado.


El conjunto de permisos se aplicará ahora a todos los usuarios de los grupos especificados al iniciaruna sesión en el servidor utilizando autenticación de Windows.

Archivo de entrada, página (Importador de asignaciones dedirectivas)Localice un archivo XML que contiene las asignaciones de directivas que desea importar.

Autenticación mediante certificados de clientesLos clientes pueden utilizar un certificado digital como credencial de autenticación al iniciar una sesiónen el servidor de McAfee ePO.

Contenido Cuándo utilizar autenticación mediante certificados de clientes Configuración de ePolicy Orchestrator para la autenticación mediante certificados de clientes Modificación de la autenticación basada en certificados del servidor de McAfee ePO Desactivación de la autenticación de clientes mediante certificados del servidor de McAfee ePO Configuración de usuarios para la autenticación con certificados Actualización del archivo CRL Problemas relacionados con la autenticación mediante certificados de clientes Certificados SSL Creación de certificados autofirmados con OpenSSL Otros comandos OpenSSL de utilidad Conversión de un archivo PVK existente a un archivo PEM

Cuentas de usuario y conjuntos de permisosAutenticación mediante certificados de clientes 5


Cuándo utilizar autenticación mediante certificados de clientesLa autenticación mediante certificados de clientes es el método más seguro disponible. Sin embargo,no es la mejor opción para todos los entornos.

La autenticación mediante certificados de clientes es una extensión de la que emplea una clavepública. Utiliza claves públicas como base, pero, en lugar de requerir la confianza de varios emisoresde claves públicas, solo necesita confiar en un tercero que se conoce como autoridad de certificación(o CA). Los certificados son documentos digitales que contienen una combinación de informaciónidentificativa y claves públicas, y que están firmados por la autoridad de certificación que verifica quela información es precisa.

Ventajas de la autenticación basada en certificados

La autenticación basada en certificados tiene algunas ventajas sobre la autenticación con contraseña:

• Los certificados tienen una duración preestablecida. Esto obliga a revisar los permisos de losusuarios de manera periódica, cuando vence el certificado correspondiente.

• Si se debe interrumpir o cancelar el acceso de un usuario, el certificado puede agregarse a una listade revocación de certificados que se comprueba cada vez que se va a iniciar una sesión con el finde impedir intentos de acceso no autorizado.

• Gracias a que solo se debe confiar en un número reducido de autoridades de certificación (confrecuencia solo una), la autenticación basada en certificados es más fácil de gestionar y escalar engrandes instituciones que otras formas de autenticación.

Desventajas de la autenticación basada en certificados

La autenticación basada en certificados no es lo más adecuado para todos los entornos. Entre lasdesventajas de este método se pueden citar las siguientes:

• Se requiere una infraestructura de clave pública. Esto puede añadir costes adicionales que, enalgunos casos, es posible que no justifiquen la mejora de la seguridad conseguida.

• El mantenimiento de certificados acarrea tareas adicionales en comparación con la autenticaciónbasada en contraseña.

Configuración de ePolicy Orchestrator para la autenticaciónmediante certificados de clientesAntes de que los usuarios puedan iniciar una sesión con autenticación basada en certificados, espreciso configurar ePolicy Orchestrator de forma adecuada.

Antes de empezarDebe haber recibido un certificado firmado en formato P7B, PKCS12, DER o PEM.

Procedimiento

1 Haga clic en Menú | Configuración | Configuración del servidor.

2 Seleccione Autenticación basada en certificados y haga clic en Editar.

3 Seleccione Activar autenticación basada en certificados.

4 Haga clic en Examinar junto a Certificado emitido por autoridad de certificación para el cliente (P7B, PEM).

5 Localice y seleccione el archivo del certificado y haga clic en Aceptar.

6 Si tiene un Archivo de lista de certificados revocados, haga clic en el botón Examinar que hay junto a estecuadro de edición, vaya al archivo y haga clic en Aceptar.

5 Cuentas de usuario y conjuntos de permisosAutenticación mediante certificados de clientes


7 Haga clic en Guardar para guardar todos los cambios.

8 Reinicie ePolicy Orchestrator para activar la autenticación de certificados.

Modificación de la autenticación basada en certificados delservidor de McAfee ePOLos servidores requieren certificados para las conexiones SSL que ofrecen más seguridad que lassesiones HTTP estándar.

Antes de empezarAntes de cargar un certificado firmado, debe haber recibido un certificado de servidor deuna autoridad de certificación.

Es posible crear certificados autofirmados en lugar de utilizar los firmados de manera externa, aunqueen este caso el riesgo es ligeramente mayor. Este procedimiento se puede utilizar para configurarinicialmente la autenticación basada en certificado o para modificar una configuración existente con uncertificado actualizado.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor.


3 Seleccione Activar autenticación basada en certificados.

4 Haga clic en Examinar junto a Certificado emitido por autoridad de certificación para el cliente. Localice y seleccioneel archivo del certificado y haga clic en Aceptar.

Una vez aplicado el archivo, el mensaje cambia a Sustituir certificado emitido por autoridad de certificación actual.

5 Si ha proporcionado un archivo de certificado PKCS12, introduzca una contraseña.

6 Si desea utilizar un archivo de lista de certificados revocados, haga clic en Examinar junto al cuadrode edición Archivo de lista de certificados revocados. Localice y seleccione el archivo de lista de certificadosrevocados y haga clic en Aceptar.

El archivo de lista de certificados revocados debe estar en formato PEM.

7 En caso necesario, seleccione cualquiera de las opciones avanzadas.


9 Reinicie el servidor para activar los cambios en la configuración de la autenticación basada encertificados.

Desactivación de la autenticación de clientes mediantecertificados del servidor de McAfee ePOLos certificados de servidor se pueden (y se deben) desactivar cuando ya no se van a utilizar.

Antes de empezarAntes de desactivar los certificados de servidor, el servidor ya debe estar configurado parala autenticación mediante certificados de clientes.

Una vez que un certificado de servidor está cargado, solo puede desactivarse; no puede eliminarse.




1 Seleccione Menú | Configuración | Configuración del servidor para abrir la página Configuración del servidor.


3 Desactive la opción Activar autenticación basada en certificados y haga clic en Guardar.

La configuración del servidor se ha modificado, pero debe reiniciar el servidor para efectuar el cambiode configuración.

Configuración de usuarios para la autenticación concertificadosLos usuarios deben tener configurada la autenticación con certificados para poder realizar laautenticación con su certificado digital.

Los certificados utilizados para la autenticación de usuarios se adquieren normalmente con una tarjetainteligente o un dispositivo similar. El software que se incluye en el hardware de la tarjeta inteligentepuede extraer el archivo del certificado. Este archivo de certificado extraído suele ser el que se cargaen este procedimiento.


1 Haga clic en Menú | Administración de usuarios | Usuarios.

2 Seleccione un usuario y haga clic en Acciones | Editar.

3 Seleccione Cambiar autenticación o credenciales y, a continuación, Autenticación basada en certificados.

4 Utilice uno de los métodos siguientes para proporcionar las credenciales.

• Copie el campo de nombre distintivo desde el archivo del certificado y péguelo en el cuadro deedición Campo de nombre distintivo del sujeto del certificado personal.

• Descargue el archivo de certificado firmado mediante el certificado emitido por autoridad decertificación subido en la sección Configuración de ePolicy Orchestrator para la autenticaciónmediante certificados. Haga clic en Examinar, localice y seleccione el archivo del certificado en suequipo y haga clic en Aceptar.

Los certificados de usuarios pueden estar codificados en formato PEM o DER. El formato delcertificado no importa mientras que sea compatible con X.509 o PKCS12.

5 Haga clic en Guardar para guardar los cambios realizados en la configuración del usuario.

La información de certificado proporcionada se verificará y, si no es válida, se recibirá una advertencia.A partir de este punto, cuando el usuario intente iniciar una sesión en ePolicy Orchestrator desde unnavegador que tenga su certificado instalado, el formulario de inicio de sesión estará atenuado y laautenticación se realizará de manera inmediata.

Actualización del archivo CRLPuede actualizar el archivo CRL (Certificate Revoked List) instalado en su servidor de McAfee ePO pararetirar el acceso a ePolicy Orchestrator a determinados usuarios.

Antes de empezarYa debe tener un archivo CRL en formato ZIP o PEM.



El archivo CRL es una lista de usuarios de ePolicy Orchestrator a los que se les ha revocado el acceso yel estado de su certificado digital. La lista incluye los certificados revocados, los motivos de larevocación, las fechas de emisión del certificado y la entidad emisora. Cuando un usuario intentaacceder al servidor de McAfee ePO, se verifica el archivo CRL y se permite o deniega el acceso a dichousuario.



3 Para actualizar el Archivo de lista de certificados revocados, haga clic en el botón Examinar que hay junto aeste cuadro de edición, vaya al archivo CRL y haga clic en Aceptar.


5 Reinicie ePolicy Orchestrator para activar la autenticación de certificados.

También puede utilizar la línea de comandos cURL para actualizar el archivo CRL. Por ejemplo, en lalínea de comandos cURL escriba:

Para ejecutar comandos cURL desde la línea de comandos, debe tener cURL instalado y accesoremoto al servidor de McAfee ePO. Consulte en la Guía de creación de secuencias de comandos deePolicy Orchestrator 5.0.0 la información de descarga de cURL y otros ejemplos.

curl -k --cert <admin_cert>.pem --key <admin_key>.pem https://<localhost>:<port>/remote/console.cert.updatecrl.do -F crlFile=@<crls>.zip

En este comando:

• <admin_cert>: nombre del archivo .PEM del certificado de cliente del administrador

• <admin_key>: nombre del archivo .PEM de la clave privada de cliente del administrador

• <localhost>:<port>: nombre del servidor de McAfee ePO y número de puerto de comunicación

• <lista de certificados revocados>: nombre del archivo CRL, .PEM o .zip

Ahora cada vez que un usuario accede al servidor de McAfee ePO para confirmar que la autenticaciónde certificado no ha sido revocada, se comprueba el nuevo archivo CRL.

Problemas relacionados con la autenticación mediantecertificados de clientesLa mayoría de los problemas de autenticación mediante el uso de certificados suelen tener una causaconocida.

Si un usuario no puede iniciar una sesión en ePolicy Orchestrator con su certificado, intente una de lassiguientes opciones para resolver el problema:

• Verifique que el usuario no está desactivado.

• Verifique que el certificado no ha caducado ni se ha revocado.

• Verifique que el certificado ha sido firmado por la autoridad adecuada.

• Verifique que el campo de nombre distintivo del sujeto es correcto en la página de configuración deusuario.

• Verifique que el navegador está proporcionando el certificado correcto.

• Compruebe en el registro de auditoría si hay mensajes de autenticación.



Certificados SSLLos navegadores que admite McAfee ePO muestran un mensaje de advertencia sobre el certificado SSLde un servidor si no pueden verificar que el certificado es válido o que está firmado por una fuente desu confianza. De forma predeterminada, el servidor McAfee ePO utiliza un certificado autofirmado parala comunicación SSL con el navegador web. El navegador no confiará en este certificado de formapredeterminada. Esto genera un mensaje de advertencia que se muestra cada vez que visite laconsola de McAfee ePO.

Para que este mensaje deje de aparecer, debe:

• Agregar el certificado del servidor de McAfee ePO al conjunto de certificados de confianza queutiliza el navegador.

Esto debe hacerse para cada navegador que interactúe con McAfee ePO. Si el certificado delnavegador cambia, debe agregar el certificado del servidor de McAfee ePO de nuevo hasta que elcertificado enviado por el servidor deje de coincidir con el que el navegador está configurado parautilizar.

• Sustituir el certificado del servidor de McAfee ePO predeterminado por uno válido que haya sidofirmado por una autoridad de certificación (Certificate Authority, CA) en la que confíe el navegador.Esta es la mejor opción. Al estar firmado por una autoridad de certificación, no necesita agregar elcertificado a todos los navegadores web de su organización.

Si el nombre de host servidor cambia, puede sustituir el certificado del servidor por uno distinto quetambién haya sido firmado por una autoridad de certificación de confianza.

Para sustituir el certificado del servidor de McAfee ePO, debe obtener en primer lugar el certificado,preferiblemente uno que haya sido firmado por una autoridad de certificación de confianza. Tambiéndebe obtener la clave privada del certificado y su contraseña (si la tiene). A continuación puede utilizartodos esos archivos para sustituir el certificado del servidor. Para obtener más información sobre lasustitución de certificados del servidor, véase Las claves de seguridad y cómo funcionan.

El navegador de McAfee ePO espera que los archivos vinculados utilicen el formato siguiente:

• Certificado del servidor: P7B o PEM

• Clave privada: PEM

Si el certificado del servidor o la clave privada no están en estos formatos, deben convertirse a unformato admitido antes de que se puedan utilizar para sustituir el certificado del servidor.

Sustitución de certificados del servidorEste procedimiento permite especificar el certificado del servidor y la clave privada que va a utilizarePolicy Orchestrator desde Configuración del servidor.


1 Haga clic en Menú | Configuración | Configuración del servidor y, a continuación, haga clic en Certificado delservidor en la lista Categorías de configuración.

2 Haga clic en Editar. Aparece la página Certificado del servidor: Editar.

3 Busque el archivo de certificado del servidor y haga clic en Abrir.

4 Busque el archivo de clave privada y haga clic en Abrir.



5 En caso necesario, especifique la contraseña de la clave privada.


Tras aplicar el nuevo certificado y la nueva clave privada, debe reiniciar ePolicy Orchestrator paraque los cambios surtan efecto.

Instalación del certificado de seguridad cuando se utiliza Internet ExplorerEvite que el mensaje sobre certificado aparezca cada vez que inicie sesión instalando el certificado deseguridad.

Procedimiento1 Desde su navegador, inicie ePolicy Orchestrator. Aparece la página Error de certificado: Exploración

bloqueada.

2 Haga clic en Pasar a este sitio web (no recomendado) para abrir la página de inicio de sesión. La barra dedirecciones aparece en rojo, lo que indica que el navegador no puede verificar el certificado deseguridad.

3 A la derecha de la barra de direcciones, haga clic en Error de certificado para ver la advertenciaCertificado no válido.

4 En la parte inferior de la advertencia, haga clic en Ver certificados para abrir el cuadro de diálogoCertificado.

No haga clic en Instalar certificado en la ficha General. Si lo hace, fallará el proceso.

5 Seleccione la ficha Ruta de certificación y, a continuación, Orion_CA_<nombre del servidor> y haga clic en Vercertificado. Aparece otro cuadro de diálogo en la ficha General que muestra la información delcertificado.

6 Haga clic en Instalar certificado para abrir el Asistente para importación de certificados.

7 Haga clic en Siguiente para especificar dónde se va a almacenar el certificado.

8 Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, haga clic en Examinar paraseleccionar una ubicación.

9 Seleccione la carpeta Entidades emisoras raíz de confianza de la lista, haga clic en Aceptar y, a continuación,haga clic en Siguiente.

10 Haga clic en Finalizar. En la advertencia de seguridad que aparece, haga clic en Sí.

11 Cierre el navegador.

12 Cambie el destino del acceso directo de ePolicy Orchestrator en el escritorio para utilizar el nombreNetBIOS del servidor de McAfee ePO en lugar de "localhost".

13 Reinicie ePolicy Orchestrator.

Cuando inicie sesión en ePolicy Orchestrator, ya no se le volverá a pedir que acepte el certificado.



Instalación del certificado de seguridad cuando se utiliza Firefox 3.5 o unaversión superiorEste procedimiento permite instalar el certificado de seguridad cuando se utiliza Firefox 3.5 o unaversión superior, para que no aparezca el cuadro de diálogo de advertencia cada vez que se inicie unasesión.

Procedimiento1 Desde su navegador, inicie ePolicy Orchestrator. Aparece la página La conexión segura ha fallado.

2 Haga clic en O puede añadir una excepción en la parte inferior de la página. Ahora la página muestra elbotón Añadir excepción.

3 Haga clic en Añadir excepción. Aparece el cuadro de diálogo Añadir excepción de seguridad.

4 Haga clic en Obtener certificado. Aparece el Estado del certificado y se activa el botón Confirmar excepción deseguridad.

5 Compruebe que la opción Guardar esta excepción de manera permanente está seleccionada y haga clic enConfirmar excepción de seguridad.

A partir de este momento, cuando inicie una sesión en ePolicy Orchestrator, no se le volverá a pedirque acepte el certificado.

Creación de certificados autofirmados con OpenSSL Hay ocasiones en las que es posible que no pueda, o no quiera, esperar a la autenticación de uncertificado procedente de una autoridad de certificación. Durante las comprobaciones iniciales o parasistemas utilizados en redes internas, un certificado autofirmado puede proporcionar seguridad básicay las funcionalidades necesarias.

Antes de empezarPara crear un certificado autofirmado, debe instalar el software OpenSSL para Windows,que está disponible en:

http://www.slproweb.com/products/Win32OpenSSL.html

Para crear y autofirmar un certificado para usarlo con el servidor de McAfee ePO, utilice el softwareOpenSSL para Windows.

Para la creación de un certificado autofirmado se pueden utilizar diversas herramientas. Esteprocedimiento describe el proceso utilizando OpenSSL.

La estructura de archivos utilizada en el siguiente procedimiento es:

OpenSSL no crea estas carpetas de manera predeterminada. Se utilizan en los ejemplos y puedencrearse para ayudarle a buscar los archivos de salida.

• C:\ssl\: carpeta de instalación de OpenSSL

• C:\ssl\certs\: utilizada para almacenar los certificados creados.




• C:\ssl\keys\: utilizada para almacenar las claves creadas.

• C:\ssl\requests\: utilizada para almacenar las solicitudes de certificación creadas.

Procedimiento1 Para generar la clave de certificado inicial, escriba el siguiente comando en la línea de comandos:

C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024Aparecerá la siguiente pantalla:

2 Introduzca una frase de contraseña en el símbolo del sistema inicial y confírmela en el segundosímbolo del sistema.

Anote la frase de contraseña que introduzca. La necesitará más adelante en el proceso.

Se genera el nombre de archivo ca.key y se almacena en C:\ssl\keys\.

La clave será similar a la siguiente:

3 Para autofirmar la clave de certificado que ha creado, escriba el siguiente comando en la línea decomandos:

openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cerAparecerá la siguiente pantalla:



Escriba la información necesaria en los símbolos de comandos:

• Country Name (2 letter code) [AU]:

• State or Province Name (full name) [Some-State]:

• Locality Name (eg, city) []:

• Organization Name (eg, company) [Internet Widgits Pty Ltd]:

• Organizational Unit Name (eg, section) []:

• Common Name (eg, YOUR name) []:

En este campo, escriba el nombre de su servidor, por ejemplo, el nombre del servidor de McAfeeePO.

• Email Address []:

Se genera el archivo con el nombre ca.cer y se almacena en C:\ssl\certs\.

El certificado autofirmado será similar al siguiente:

Para que un tercero, por ejemplo, VeriSign o Microsoft Windows Enterprise Certificate Authority, creeun certificado firmado para ePolicy Orchestrator, consulte el artículo de la base de datosKnowledgeBase KB72477.

4 Cargue y administre el certificado en el servidor de McAfee ePO.



https://kc.mcafee.com/corporate/index?page=content&id=KB72477

Otros comandos OpenSSL de utilidadPuede utilizar otros comandos OpenSSL para extraer y combinar las claves de certificados PKCS12generados y convertir un archivo PEM de clave privada protegido con contraseña en un archivo noprotegido con contraseña.

Comandos que pueden utilizarse con certificados PKCS12Los siguientes comandos permiten crear un certificado PKCS12 con el certificado y la clave en unarchivo.

Descripción Formato del comando OpenSSL

Crea un certificado y una clave en unarchivo

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -config ruta\openssl.cnf -keyout ruta\pkcs12Example.pem -out ruta\pkcs12Example.pem

Exporta la versión PKCS12 delcertificado

openssl pkcs12 -export -out ruta\pkcs12Example.pfx -in ruta\pkcs12Example.pem -name "cadena_nombre_usuario"

Utilice los siguientes comandos para separar el certificado y la clave de un certificado PKCS12 que lostiene combinados.

Descripción Formato del comando OpenSSL

Extrae la clave .pem del .pfx openssl pkcs12 -in pkcs12ExampleKey.pfx -outpkcs12ExampleKey.pem

Elimina la contraseña de laclave

openssl rsa -in pkcs12ExampleKey.pem -outpkcs12ExampleKeyNoPW.pem

A continuación, ePolicy Orchestrator puede utilizarpkcs12ExampleCert.pem como el certificado ypkcs12ExampleKey.pem como la clave (o la clave sin unacontraseña pkcs12ExampleKeyNoPW.pem).

Comando para convertir un archivo PEM de clave privada protegido con contraseña

Para convertir un archivo PEM de clave privada protegido con contraseña en un archivo no protegidocon contraseña, escriba:

openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem

En el ejemplo anterior, "C:\ssl\keys" es la ruta de entrada y salida de los nombres de archivo "key.pem"y "keyNoPassword.pem".

Conversión de un archivo PVK existente a un archivo PEMEl navegador de ePolicy Orchestrator admite claves privadas con codificación PEM. Esto incluye tantoclaves privadas protegidas con contraseña como no protegidas con contraseña. Mediante OpenSSL,puede convertir una clave en formato PVK a una en formato PEM.

Antes de empezarPara convertir el archivo en formato PVK, instale el software OpenSSL para Windows, queestá disponible en:


Utilice el software OpenSSL para Windows para convertir su certificado en formato PVK a formato PEM.




Procedimiento1 Para convertir un archivo PVK creado previamente a un archivo PEM, introduzca la siguiente

información en la línea de comandos:

openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl\keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd

En el ejemplo anterior, los argumentos "-passin" y "-passout" son opcionales.

2 Si se le solicita, especifique la contraseña utilizada cuando creó el archivo PVK originalmente.

Si no se utilizó el argumento "-passout" en el ejemplo anterior, la nueva clave en formato PEM noestará protegida con contraseña.

Conjuntos de permisosLos conjuntos de permisos controlan el nivel de acceso que los usuarios tienen a las distintasfunciones disponibles en el software.

Incluso en las instalaciones de ePolicy Orchestrator más pequeñas es necesario especificar y controlarel acceso que tienen los usuarios a las distintas partes del sistema.

Contenido Cómo funcionan los usuarios, grupos y conjuntos de permisos juntos Uso de los conjuntos de permisos

Cómo funcionan los usuarios, grupos y conjuntos de permisosjuntosEl acceso a los componentes de ePolicy Orchestrator se controla mediante la interacción entreusuarios, grupos y conjuntos de permisos.

Usuarios

Los usuarios se dividen en dos categorías generales. O bien son administradores, que tienen derechostotales en todo el sistema, o son usuarios normales. A los usuarios se les pueden asignar conjuntos depermisos para definir sus niveles de acceso en ePolicy Orchestrator.

Las cuentas de usuario se pueden crear y administrar de distintas formas. Es posible:

• Crear cuentas de usuario manualmente y, a continuación, asignarle a cada una el conjunto depermisos adecuado.

• Configurar el servidor de McAfee ePO para que permita que los usuarios inicien sesión mediante laautenticación de Windows.

Permitir a los usuarios iniciar una sesión utilizando sus credenciales de Windows es una funciónavanzada que requiere la configuración de varios parámetros y componentes. Para obtener másinformación sobre esta opción, consulte Administración de los usuarios de ePolicy Orchestrator conActive Directory.

Aunque las cuentas de usuario y los conjuntos de permisos están muy relacionados, se crean yconfiguran en pasos independientes. Para obtener más información sobre los conjuntos de permisos,consulte Administración de conjuntos de permisos.

Administradores

5 Cuentas de usuario y conjuntos de permisosConjuntos de permisos


Los administradores tienen permisos de lectura y escritura, así como derechos para realizar todas lasoperaciones. Cuando instala el servidor, se crea automáticamente una cuenta de administrador. Demanera predeterminada, el nombre de usuario para esta cuenta es admin. Si se cambia el valorpredeterminado durante la instalación, esta cuenta tendrá el nombre correspondiente.

Es posible crear otras cuentas de administrador para personas que necesiten derechos deadministrador.

Los permisos exclusivos de los administradores son los siguientes:

• Crear, modificar y eliminar sitios de origen y de respaldo.

• Modificar la configuración del servidor.

• Agregar y eliminar cuentas de usuario.

• Agregar, eliminar y asignar conjuntos de permisos.

• Importar eventos a las bases de datos de ePolicy Orchestrator y limitar los eventos que sealmacenan.

Grupos

Las consultas y los informes se asignan a los grupos. Cada grupo puede ser privado (para ese usuariosolamente), globalmente público (o "compartido"), o bien compartido entre uno o varios conjuntos depermisos.

Conjuntos de permisos

En cada conjunto de permisos se define un perfil de acceso determinado. Normalmente esto implica lacombinación de niveles de acceso a distintas partes de ePolicy Orchestrator. Por ejemplo, un soloconjunto de permisos puede tener la posibilidad de leer el registro de auditoría, utilizar panelespúblicos y compartidos, y crear y editar consultas o informes públicos.

Los conjuntos de permisos se pueden asignar a usuarios individuales o, si se utiliza Active Directory, atodos los usuarios de un servidor de Active Directory determinado.

Uso de los conjuntos de permisosPuede controlar el acceso de los usuarios, crear y modificar conjuntos de permisos, desde la páginaConjuntos de permisos.

Procedimientos

• Administración de conjuntos de permisos en la página 57Controle el acceso de los usuarios y cree, modifique, exporte e importe conjuntos depermisos desde la página Conjuntos de permisos.

• Exportación e importación de conjuntos de permisos en la página 59Una vez que haya definido completamente los conjuntos de permisos, la forma más rápidade migrarlos a otros servidores de McAfee ePO es exportarlos a los servidores adecuados.

Administración de conjuntos de permisosControle el acceso de los usuarios y cree, modifique, exporte e importe conjuntos de permisos desdela página Conjuntos de permisos.

Una vez que haya definido completamente los conjuntos de permisos, la forma más rápida de migrarlosa otros servidores de McAfee ePO es exportarlos e importarlos en otros servidores.


Cuentas de usuario y conjuntos de permisosConjuntos de permisos 5


Procedimiento1 Abra la página Conjuntos de permisos: haga clic en Menú | Administración de usuarios | Conjuntos de permisos.


Acción Pasos

Crear unnuevoconjunto depermisos

1 Haga clic en Acciones | Nuevo.

2 Escriba un nombre para el nuevo conjunto de permisos.ePolicy Orchestrator no permite utilizar un nombre existente. Los nombres deconjuntos de permisos no pueden estar repetidos.

3 Si desea asignar inmediatamente usuarios específicos a este conjunto depermisos, seleccione sus nombres en la sección Usuarios.

4 Si desea asignar todos los usuarios de algún grupo de Active Directory a esteconjunto de permisos, seleccione el servidor en la lista desplegable Nombre delservidor y haga clic en Agregar.

5 Si ha agregado algún servidor de Active Directory que desee eliminar, seleccióneloen el cuadro de lista de Active Directory y haga clic en Eliminar.

6 Haga clic en Guardar para crear el conjunto de permisos.

Ya ha creado el conjunto de permisos, pero aún no le ha asignado permisos.

Modificar unconjunto depermisosexistente

1 Seleccione un conjunto de permisos que modificar. Sus detalles aparecen a laderecha.Si acaba de crear un nuevo conjunto de permisos, éste aparecerá seleccionado.

2 Seleccione una categoría de permisos que modificar haciendo clic en Editar en lafila de esa categoría.Aparecerán las opciones adecuadas para la categoría de permisos seleccionada.

3 Modifique los permisos como desee y haga clic en Guardar.De esta forma se aplican a la base de datos los cambios realizados en el conjuntode permisos.

No es necesario hacer clic en Guardar cuando se termina de modificar el conjunto depermisos. Los cambios se guardan al modificar cada categoría individual. Loscambios que se realicen se reflejan inmediatamente en el sistema y se propaganal resto de la red conforme a la configuración de directivas.

Duplicar unconjunto depermisos

1 Seleccione un conjunto de permisos para duplicar de la lista Conjuntos de permisos yhaga clic en Acciones | Duplicar.

2 Escriba un nuevo nombre para el conjunto de permisos duplicado. De manerapredeterminada, ePolicy Orchestrator adjunta (copia) al nombre existente.ePolicy Orchestrator no permite utilizar un nombre existente. Los nombres deconjuntos de permisos no pueden estar repetidos.

3 Haga clic en Aceptar.

El conjunto de permisos se duplica, pero el original sigue seleccionado en la listaConjuntos de permisos.



Acción Pasos

Eliminar unconjunto depermisos

1 Seleccione el conjunto de permisos que desea eliminar en la lista Conjuntos depermisos. Los detalles se muestran a la derecha.

2 Haga clic en Acciones | Eliminar y después haga clic en Aceptar en el panel Acción.

El conjunto de permisos ya no aparece en la lista Conjuntos de permisos.

Exportar unconjunto depermisos

1 Seleccione los conjuntos de permisos que desea exportar.

2 Haga clic en Acciones de conjuntos de permisos | Exportar todo.

El servidor de McAfee ePO envía un archivo XML al navegador. Lo que ocurra acontinuación depende de la configuración de su navegador. De manerapredeterminada, la mayoría de los navegadores solicitan que se guarde el archivo.

El archivo XML solo contiene las funciones con algún nivel de permisos definido. Si,por ejemplo, un conjunto de permisos determinado no tiene permisos para consultase informes, no aparecerá ninguna entrada en el archivo.

Importar unconjunto depermisos

1 Seleccione los conjuntos de permisos que desea importar.

2 Haga clic en Examinar para localizar y seleccionar el archivo XML que contiene elconjunto de permisos que desea importar.

3 Elija si desea conservar o no los conjuntos de permisos que tengan el mismonombre que el conjunto de permisos importado seleccionando la opciónadecuada. Haga clic en Aceptar.Si ePolicy Orchestrator no puede localizar un conjunto de permisos válido en elarchivo indicado, aparece un mensaje de error y el proceso de importación secancela.

Los conjuntos de permisos se agregan al servidor y se muestran en la lista Conjuntosde permisos.

Exportación e importación de conjuntos de permisos Una vez que haya definido completamente los conjuntos de permisos, la forma más rápida demigrarlos a otros servidores de McAfee ePO es exportarlos a los servidores adecuados.


1 Para abrir la página de conjuntos de permisos, haga clic en Menú | Administración de usuarios | Conjuntosde permisos.


Cuentas de usuario y conjuntos de permisosConjuntos de permisos 5


Acción Pasos

Exportarconjuntos depermisos.

1 Seleccione los conjuntos de permisos que desea exportar.

2 Haga clic en Acciones de conjuntos de permisos | Exportar todo.

El servidor de McAfee ePO envía un archivo XML al navegador. Lo que ocurra acontinuación depende de la configuración de su navegador. De manerapredeterminada, la mayoría de los navegadores solicitan que se guarde el archivo.

El archivo XML solo contiene las funciones con algún nivel de permisos definidos. Si,por ejemplo, un conjunto de permisos determinado no tiene permisos paraconsultas e informes, no aparecerá ninguna entrada en el archivo.

Importarconjuntos depermisos.

1 Seleccione los conjuntos de permisos que desea importar.

2 Haga clic en Examinar para localizar y seleccionar el archivo XML que contiene elconjunto de permisos que desea importar.

3 Elija si desea conservar el mismo nombre que el conjunto importado mediante laopción adecuada. Haga clic en Aceptar.Si ePolicy Orchestrator no puede localizar un conjunto de permisos válido en elarchivo indicado, aparece un mensaje de error y el proceso de importación secancela.

Los conjuntos de permisos se agregan al servidor y se muestran en la lista Conjuntosde permisos.



6 Repositorios

Los repositorios albergan los paquetes de software y actualizaciones para su distribución a lossistemas gestionados.

El software de seguridad solo es eficaz si se tienen instaladas las últimas actualizaciones. Por ejemplo,si sus archivos DAT están obsoletos, incluso el mejor software antivirus sería incapaz de detectar lasnuevas amenazas. Es esencial que desarrolle una estrategia de actualización eficaz para mantener susoftware de seguridad siempre al día.

La arquitectura de repositorios de ePolicy Orchestrator ofrece la flexibilidad necesaria para garantizarque el despliegue y las actualizaciones de software se realicen de forma tan fácil y automatizada comosu entorno lo permita. Cuando la infraestructura de repositorios esté implantada, cree tareas deactualización que determinen cómo, dónde y cuándo se actualiza el software.

Contenido Tipos de repositorios y su función Cómo funcionan los repositorios Configuración de los repositorios por primera vez Administración de sitios de origen y de respaldo Verificación del acceso al sitio de origen Configuración para actualizaciones globales Configuración de directivas de los agentes para utilizar los repositorios distribuidos Uso de SuperAgents como repositorios distribuidos Creación y configuración de repositorios en servidores FTP o HTTP, y en recursos compartidos UNC Uso de repositorios distribuidos locales no gestionados Uso de los archivos de listas de repositorios

Tipos de repositorios y su funciónPara hacer llegar los productos y las actualizaciones a toda la red, el software ePolicy Orchestratorofrece varios tipos de repositorios que cuando se utilizan combinados crean una robustainfraestructura de actualización. Estos repositorios le ofrecen la flexibilidad de desarrollar unaestrategia de actualización que garantice que sus sistemas están siempre al día.

Repositorio principal

El repositorio de software principal mantiene las últimas versiones del software de seguridad yactualizaciones para su entorno. Este repositorio funciona como ubicación de origen para el resto desu entorno.

De forma predeterminada, ePolicy Orchestrator utiliza la configuración de proxy de Microsoft InternetExplorer.

6


Repositorios distribuidos

Los repositorios distribuidos albergan copias del contenido del repositorio principal. Puede serconveniente utilizar repositorios distribuidos y situarlos estratégicamente en la red para asegurarse deque los sistemas gestionados estén actualizados sin que aumente el tráfico de red, especialmente enel caso de conexiones lentas.

Cuando actualiza su repositorio principal, ePolicy Orchestrator replica el contenido en los repositoriosdistribuidos.

La replicación puede realizarse:

• De forma automática, cuando se incorporan los tipos de paquetes especificados al repositorioprincipal, siempre que la actualización global esté activada.

• Durante una tarea de replicación periódica.

• De forma manual, mediante la ejecución de una tarea Replicar ahora.

Una organización de gran tamaño puede tener varias ubicaciones que se comunican medianteconexiones de ancho de banda limitado. Los repositorios distribuidos permiten reducir el tráficogenerado por la actualización cuando se emplean conexiones con poco ancho de banda o sitiosremotos con un gran número de sistemas cliente. Si crea un repositorio distribuido en la ubicaciónremota y configura los sistemas de esa ubicación para que se actualicen desde ese repositoriodistribuido, las actualizaciones solo se copian una vez a través de la conexión lenta, en el repositoriodistribuido, en lugar de una vez para cada sistema de la ubicación remota.

Si está activada la actualización global, los repositorios distribuidos actualizan automáticamente lossistemas gestionados en el mismo instante en que las actualizaciones y los paquetes se incorporan alrepositorio principal. No es necesario ejecutar tareas de actualización manuales. Sin embargo, deberátener SuperAgents en ejecución en su entorno si desea realizar actualizaciones automáticas. Debecrear y configurar los repositorios y las tareas de actualización.

Si se han configurado los repositorios distribuidos de forma que se repliquen solo los paquetesseleccionados, se replicará de forma predeterminada el paquete que acaba de incorporar. Para evitarque se replique dicho paquete, desactívelo en todos los repositorios distribuidos o bien desactive latarea de replicación antes de incorporar el paquete. Para obtener más información, consulte Cómoevitar la replicación de paquetes seleccionados y Cómo desactivar la replicación de paquetesseleccionados.

No configure repositorios distribuidos para que hagan referencia al mismo directorio en el que seencuentra su repositorio principal. Si lo hace, los usuarios del repositorio distribuido bloquearán losarchivos del repositorio principal, lo que impedirá que se puedan realizar correctamente las extraccionese incorporaciones de paquetes, y el repositorio principal quedará inutilizado.

Sitio de origen

El sitio de origen proporciona todas las actualizaciones para el repositorio principal. El sitio de origenpredeterminado es el sitio de actualizaciones HTTP de McAfee (McAfeeHttp), pero puede cambiarlo ocrear varios sitios de origen, si es necesario. McAfee recomienda utilizar los sitios de actualizacionesHTTP (McAfeeHttp) o FTP (McAfeeFtp) como sitio de origen.

No es imprescindible utilizar sitios de origen. Puede descargar las actualizaciones de forma manual eincorporarlas a su repositorio principal. Sin embargo, el uso de un sitio de origen automatiza esteproceso.

McAfee publica actualizaciones de software en estos sitios de forma regular. Por ejemplo, los archivosDAT se publican a diario. Actualice su repositorio principal con las actualizaciones a medida que esténdisponibles.

6 RepositoriosTipos de repositorios y su función


Utilice tareas de extracción para copiar el contenido del sitio de origen en el repositorio principal.

Los sitios de actualizaciones de McAfee proporcionan actualizaciones de los archivos de definición devirus (DAT) y del motor de análisis, así como algunos paquetes de idiomas. Debe incorporar de formamanual al repositorio principal todos los demás paquetes y actualizaciones, incluidos los Service Packsy parches.

Sitio de respaldo

Se trata de un sitio de origen que se ha activado como ubicación de seguridad desde la que lossistemas gestionados pueden recuperar actualizaciones cuando no pueden acceder a los repositoriosque utilizan normalmente. Por ejemplo, cuando se bloquea la red o se producen brotes de virus, esposible que el acceso a la ubicación establecida sea complicado. En estas situaciones, los sistemasgestionados no tendrían problemas para mantenerse al día. El sitio de respaldo predeterminado es elsitio de actualización McAfeeHttp. Solo se puede activar un sitio de respaldo.

Si los sistemas gestionados utilizan un servidor proxy para acceder a Internet, debe definir laconfiguración de directivas del agente para que los sistemas puedan utilizar los servidores proxy alacceder al sitio de respaldo.

Tipos de repositorios distribuidosEl software ePolicy Orchestrator admite cuatro tipos de repositorios distribuidos. Para determinar eltipo de repositorio distribuido que va a utilizar debe estudiar antes su entorno y sus necesidadesparticulares. No tiene por qué utilizar un tipo y, dependiendo de su red, es posible que necesite utilizarvarios.

Repositorios SuperAgent

Utilice sistemas que alberguen SuperAgents como repositorios distribuidos. Los repositoriosSuperAgent presentan varias ventajas con respecto a otros tipos de repositorios distribuidos:

• Las ubicaciones de las carpetas se crean automáticamente en el sistema host antes de agregar elrepositorio a la lista de repositorios.

• Para los repositorios SuperAgent, no es necesario utilizar otras credenciales de replicación oactualización; los permisos sobre cuentas se crean al convertir un agente en un SuperAgent.

Aunque la funcionalidad de llamadas de activación de difusión de SuperAgent requiere unSuperAgent en cada segmento de difusión, éste no es un requisito para la funcionalidad derepositorios SuperAgent. Los sistemas gestionados únicamente necesitan tener acceso al sistemaque alberga el repositorio.

Repositorios FTP

Puede utilizar un servidor FTP para albergar un repositorio distribuido. Utilice software de servidor FTP,como Microsoft Internet Information Services (IIS), para crear una nueva carpeta y ubicación para elrepositorio distribuido. Consulte la documentación del servidor web para conocer más detalles.

Repositorios HTTP

Puede utilizar un servidor HTTP para albergar un repositorio distribuido. Utilice software de servidorHTTP, como Microsoft IIS, para crear una nueva carpeta y una ubicación de sitio para el repositoriodistribuido. Consulte la documentación del servidor web para conocer más detalles.

RepositoriosTipos de repositorios y su función 6


Repositorios en recursos compartidos UNC

Puede crear una carpeta compartida UNC para albergar un repositorio distribuido en un servidorexistente. Asegúrese de activar el uso compartido de la carpeta en la red, para que el servidor deMcAfee ePO pueda copiar archivos en ella y los agentes puedan acceder a ella para las actualizaciones.

Deben definirse los permisos correctos para acceder a la carpeta.

Repositorios no gestionados

Si no puede utilizar repositorios distribuidos gestionados, los administradores de ePolicy Orchestratorpueden crear y mantener repositorios distribuidos no gestionados por ePolicy Orchestrator.

Si hay un repositorio distribuido que no está gestionado por ePolicy Orchestrator, será necesario queun administrador local lo actualice de forma manual.

Tras crear el repositorio distribuido, puede utilizar ePolicy Orchestrator para configurar los sistemasgestionados de un sitio o grupo específico del árbol de sistemas de forma que obtengan de él lasactualizaciones.

Consulte en Activación del agente en productos de McAfee no gestionados la configuración de lossistemas no gestionados para que funcionen con ePolicy Orchestrator.

McAfee recomienda que gestione todos los repositorios distribuidos a través de ePolicy Orchestrator.Gracias a esto y al uso frecuente de tareas de actualización global o de replicación planificadas se puedeasegurar que el entorno gestionado está actualizado. Utilice repositorios distribuidos no gestionadosúnicamente si su red o las directivas de su organización no admiten repositorios distribuidosgestionados.

Ramas de los repositorios y sus funcionesPuede utilizar tres ramas de repositorio de ePolicy Orchestrator para mantener hasta tres versiones delos paquetes en sus repositorios principal y distribuido.

Las ramas son Actual, Anterior y Evaluación. De forma predeterminada, ePolicy Orchestrator soloutiliza la rama Actual. Puede especificar ramas al agregar paquetes al repositorio principal. Tambiénpuede especificar ramas cuando ejecute o planifique tareas de actualización y despliegue, paradistribuir versiones diferentes a distintas partes de la red.

Las tareas de actualización pueden recuperar actualizaciones de cualquier rama del repositorio, peropara incorporar paquetes al repositorio principal, debe seleccionar una rama que no sea la Actual. Sino hay una rama distinta de la Actual configurada, la opción para seleccionar una rama distinta de laActual no aparece.

Para utilizar las ramas Evaluación y Anterior para paquetes que no sean actualizaciones, debeconfigurarlo en la configuración del servidor en Paquetes del repositorio. Las versiones del agenteanteriores a la 3.6 solo pueden recuperar paquetes de actualización de las ramas Evaluación yAnterior.

Rama Actual

La rama Actual es la rama del repositorio principal para los últimos paquetes y actualizaciones. Lospaquetes de despliegue de productos solo pueden agregarse a la rama Actual, a menos que se hayaactivado la compatibilidad con otras ramas.

6 RepositoriosTipos de repositorios y su función


Rama Evaluación

Puede probar las nuevas actualizaciones de DAT y del motor con solo algunos segmentos o sistemasde la red, antes de desplegarlos en toda la organización. Especifique la rama Evaluación cuandoincorpore nuevos archivos DAT y del motor al repositorio principal y, a continuación, despliéguelos enalgunos sistemas de prueba. Tras supervisar los sistemas de prueba durante varias horas, puedeagregar los nuevos DAT a la rama Actual y desplegarlos en toda la organización.

Rama Anterior

Utilice la rama Anterior para guardar y almacenar los archivos DAT y del motor anteriores, antes deagregar los nuevos a la rama Actual. En el caso de que tenga algún problema con los nuevos archivosDAT o del motor en su entorno, dispone de una copia de las versiones anteriores, que puede volver adesplegar en sus sistemas si es necesario. ePolicy Orchestrator guarda solamente la versióninmediatamente anterior de cada tipo de archivo.

Puede llenar la rama Anterior; para ello, seleccione Mover el paquete existente a la rama Anterior cuandoagregue nuevos paquetes al repositorio principal. La opción está disponible cuando se extraenactualizaciones desde un sitio de origen y cuando se incorporan paquetes de forma manual a la ramaActual.

Archivo de lista de repositorios y su funciónEl archivo de lista de repositorios (SiteList.xml y SiteMgr.xml) contiene los nombres de todos losrepositorios que se administran.

La lista de repositorios incluye la ubicación y las credenciales de red cifradas que utilizan los sistemasgestionados para seleccionar el repositorio y recuperar las actualizaciones. El servidor envía la lista derepositorios al agente durante la comunicación entre el agente y el servidor.

Si es necesario, se puede exportar la lista de repositorios a archivos externos (SiteList.xml oSiteMgr.xml).

Utilice un archivo SiteList.xml exportado para:

• Importar a un agente durante la instalación.

Utilice un archivo SiteMgr.xml exportado para:

• Crear una copia de seguridad de los repositorios distribuidos y sitios de origen, y restaurarla sinecesita reinstalar el servidor.

• Importar los repositorios distribuidos y los sitios de origen de una instalación anterior de ePolicyOrchestrator.

RepositoriosTipos de repositorios y su función 6


Cómo funcionan los repositoriosTodos los repositorios trabajan de manera combinada en su entorno para proporcionar actualizacionesy software a los sistemas gestionados. Según el tamaño y la distribución geográfica de su red, esposible que necesite utilizar repositorios distribuidos.

Figura 6-1 Sitios y repositorios que proporcionan paquetes a los sistemas

1 El repositorio principal extrae de forma regular los archivos de actualización de DAT y del motor delsitio de origen.

2 El repositorio principal replica los paquetes en los repositorios distribuidos de la red.

3 Los sistemas gestionados de la red recuperan las actualizaciones de un repositorio distribuido. Silos sistemas gestionados no pueden acceder a los repositorios distribuidos o al repositorio principal,recuperan las actualizaciones del sitio de respaldo.

Configuración de los repositorios por primera vezSiga estos importantes pasos la primera vez que configure los repositorios.

1 Decidir los tipos de repositorios que se van a utilizar y sus ubicaciones.

2 Crear y llenar los repositorios.

Administración de sitios de origen y de respaldoPuede modificar los sitios de origen y de respaldo predeterminados en Configuración del servidor. Porejemplo, puede cambiar la configuración, eliminar los sitios de origen y de respaldo existentes ocambiar de uno a otro.

Solo los administradores, o los usuarios que tengan los permisos necesarios, pueden definir, cambiar oeliminar sitios de origen o de respaldo.

McAfee recomienda que se utilicen los sitios de origen y de respaldo predeterminados. Si necesitaotros distintos, puede crearlos.

6 RepositoriosCómo funcionan los repositorios


Procedimientos• Creación de sitios de origen en la página 67

Este procedimiento permite crear un nuevo sitio de origen desde la página Configuración delservidor.

• Cambio entre los sitios de origen y de respaldo en la página 68Utilice la Configuración del servidor para cambiar los sitios de origen y de respaldo.

• Edición de sitios de origen y de respaldo en la página 68Este procedimiento permite modificar la configuración de los sitios de origen o de respaldo,como la dirección URL, el número de puerto y las credenciales de autenticación dedescarga, a través de Configuración del servidor.

• Eliminación de sitios de origen o desactivación de sitios de respaldo en la página 69Si ha dejado de utilizar un sitio de origen o de respaldo, elimínelo o desactívelo.

Creación de sitios de origenEste procedimiento permite crear un nuevo sitio de origen desde la página Configuración del servidor.


1 Haga clic en Menú | Configuración | Configuración del servidor y seleccione Sitios de origen.

2 Haga clic en Agregar sitio de origen. Aparece el asistente Generador de sitios de origen.

3 En la página Descripción, escriba un nombre de repositorio exclusivo y seleccione HTTP, UNC o FTP. Acontinuación, haga clic en Siguiente.

4 En la página Servidor, especifique la información de dirección y puertos del sitio y, a continuación,haga clic en Siguiente.

Tipo de servidor FTP o HTTP:

• En la lista desplegable URL, seleccione Nombre DNS, IPv4 o IPv6 como tipo de dirección de servidory, a continuación, introduzca la dirección.

Opción Definición

Nombre DNS Especifica el nombre DNS del servidor.

IPv4 Especifica la dirección IPv4 del servidor.


• Escriba el número del puerto del servidor: el puerto FTP predeterminado es 21; el puerto HTTPpredeterminado es 80.

Tipo de servidor UNC:• Introduzca la ruta de red en la que reside el repositorio. Utilice este formato: \\<EQUIPO>

\<CARPETA>.

5 En la página Credenciales, especifique las Credenciales de descarga que utilizan los sistemas gestionadospara conectarse a este repositorio.

Utilice credenciales con permisos de solo lectura para el servidor HTTP, el servidor FTP o el recursocompartido UNC en el que resida el repositorio.

RepositoriosAdministración de sitios de origen y de respaldo 6



• Seleccione Anónimo para utilizar una cuenta de usuario desconocida.

• Seleccione Autenticación FTP o Autenticación HTTP (si el servidor requiere autenticación) e introduzcala información de la cuenta de usuario.

Tipo de servidor UNC:• Escriba la información de dominio y de cuenta de usuario.

6 Haga clic en Probar credenciales. Tras unos segundos, aparece un mensaje para confirmar que lossistemas pueden acceder al sitio utilizando la información de autenticación. Si las credenciales sonincorrectas, compruebe:

• El nombre de usuario y la contraseña.

• La URL o la ruta en el panel anterior del asistente.

• El sitio HTTP, FTP o UNC en el sistema.

7 Haga clic en Siguiente.

8 Revise la página Resumen y haga clic en Guardar para agregar el sitio a la lista.

Cambio entre los sitios de origen y de respaldoUtilice la Configuración del servidor para cambiar los sitios de origen y de respaldo.

Según la configuración de la red, es posible que desee intercambiar los sitios de origen y de respaldosi la actualización en HTTP o FTP funciona mejor.



2 Seleccione Sitios de origen y haga clic en Editar. Aparece la página Sitios de origen: Editar.

3 Localice en la lista el sitio que desea utilizar como respaldo y, a continuación, haga clic en Activarrespaldo.

Edición de sitios de origen y de respaldoEste procedimiento permite modificar la configuración de los sitios de origen o de respaldo, como ladirección URL, el número de puerto y las credenciales de autenticación de descarga, a través deConfiguración del servidor.




3 Localice el sitio en la lista y, a continuación, haga clic en su nombre.

Aparece el asistente Generador de sitios de origen.

4 Realice los cambios necesarios en las páginas del asistente y haga clic en Guardar.

6 RepositoriosAdministración de sitios de origen y de respaldo


Eliminación de sitios de origen o desactivación de sitios derespaldoSi ha dejado de utilizar un sitio de origen o de respaldo, elimínelo o desactívelo.




3 Haga clic en Eliminar junto al sitio de origen correspondiente. Aparece el cuadro de diálogo Eliminarsitio de origen.


El sitio se elimina de la página Sitios de origen.

Verificación del acceso al sitio de origenCerciórese de que el repositorio principal y los sistemas gestionados de ePolicy Orchestrator puedenacceder a Internet cuando utilicen McAfeeHttp y McAfeeFtp como sitios de origen y de respaldo.

En esta sección se detallan las tareas para configurar la conexión que utilizan el repositorio principalde ePolicy Orchestrator y el agente McAfee Agent para conectar con el sitio de descarga directamenteo a través de un proxy. La selección predeterminada es No utilizar proxy.

Procedimientos• Configuración del servidor proxy en la página 69

Para actualizar los repositorios, configure opciones de proxy a fin de extraer archivos DAT.

• Definición de la configuración de proxy para McAfee Agent en la página 70Este procedimiento permite configurar el servidor proxy que utiliza McAfee Agent paraconectarse al sitio de descarga.

Configuración del servidor proxyPara actualizar los repositorios, configure opciones de proxy a fin de extraer archivos DAT.


1 Haga clic en Menú | Configuración | Configuración del servidor.

2 En la lista de categorías de configuración, seleccione Configuración de proxy y, a continuación, haga clicen Editar.

3 Seleccione Configurar manualmente la configuración de proxy.

a Junto a Configuración del servidor proxy, seleccione si desea utilizar un servidor proxy para todas lascomunicaciones o bien servidores proxy distintos para los protocolos HTTP y FTP. Escriba ladirección IP o el nombre de dominio completo y el número del puerto del servidor proxy.

Si utiliza los sitios de origen y de respaldo predeterminados, o bien si configura otro sitio deorigen HTTP y otro sitio de respaldo FTP, especifique la información de autenticación de proxyHTTP y FTP aquí.

RepositoriosVerificación del acceso al sitio de origen 6


b Junto a Autenticación de proxy, configure las opciones pertinentes según vaya a extraer lasactualizaciones de repositorios HTTP, FTP o de ambos tipos.

c Junto a Exclusiones, seleccione Omitir direcciones locales y, a continuación, especifique los repositoriosdistribuidos a los que el servidor se puede conectar directamente introduciendo las direccionesIP o los nombres de dominio completos de los sistemas correspondientes, separados por unpunto y coma.

d Junto a Exclusiones, seleccione Omitir direcciones locales y, a continuación, especifique los repositoriosdistribuidos a los que el servidor se puede conectar directamente introduciendo las direccionesIP o los nombres de dominio completos de los sistemas correspondientes, separados por unpunto y coma.


Definición de la configuración de proxy para McAfee AgentEste procedimiento permite configurar el servidor proxy que utiliza McAfee Agent para conectarse alsitio de descarga.


1 Haga clic en Menú | Directiva | Catálogo de directivas y, en el menú Producto, seleccione McAfee Agent. Acontinuación, seleccione McAfee Agent en la lista McAfee Agent.

Aparece una lista de los agentes configurados para el servidor de McAfee ePO.

2 En la línea My Default, haga clic en Editar configuración.

Aparece la página de configuración para el agente My Default.

3 Haga clic en la ficha Proxy.

Aparece la página Configuración de proxy.

4 Seleccione Usar la configuración de Internet Explorer (solo Windows) para los sistemas Windows y Permitir alusuario configurar el proxy, si es preciso.

Hay diversos métodos para configurar Internet Explorer para utilizarlo con servidores proxy. McAfeeofrece instrucciones para configurar y utilizar los productos de McAfee, pero no dispone deinstrucciones para los productos de terceros. Para obtener información sobre la configuración de losservidores proxy, consulte la Ayuda de Internet Explorer y http://support.microsoft.com/kb/226473.

5 Seleccione Configurar el servidor proxy de forma manual para configurar el proxy para el agentemanualmente.

6 Escriba la dirección IP o el nombre de dominio completo, y el número de puerto del sitito de origenHTTP o FTP desde el que el agente va a extraer las actualizaciones. Seleccione Utilizar esta configuraciónpara todos los tipos de proxy, si desea utilizar de forma predeterminada esta configuración para todos lostipos de servidores proxy.

7 Seleccione Especificar excepciones para designar los sistemas que no requieren acceso al proxy. Utiliceun punto y coma (;) para separar las excepciones.

8 Seleccione Usar autenticación de proxy HTTP o Usar autenticación de proxy FTP y especifique el nombre deusuario y las credenciales.


6 RepositoriosVerificación del acceso al sitio de origen


http://support.microsoft.com/kb/226473

http://support.microsoft.com/kb/226473

Configuración para actualizaciones globales Las actualizaciones globales automatizan la replicación de repositorios en la red. Puede utilizar laconfiguración del servidor de actualización global para configurar el contenido que se distribuye a losrepositorios durante una actualización global.

Las actualizaciones globales están desactivadas de manera predeterminada. Sin embargo, McAfeerecomienda que se activen y se utilicen como parte de la estrategia de actualización. Puede especificarun intervalo aleatorio y los tipos de paquetes que se van a distribuir durante la actualización. Elintervalo aleatorio determina el período de tiempo en el que se actualizan todos los sistemas. Lossistemas se actualizan de manera aleatoria en el intervalo especificado.


1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Actualización global en Categorías deconfiguración y, a continuación, haga clic en Editar.

2 Defina el estado como Activado y especifique un Intervalo aleatorio entre 0 y 32.767 minutos.

3 Especifique los Tipos de paquetes que se van a incluir en las actualizaciones globales:

• Todos los paquetes: seleccione esta opción para incluir todas las firmas y motores, y todos losparches y Service Packs.

• Paquetes seleccionados: seleccione esta opción para limitar las firmas y motores, y los parches yService Packs que se incluyen en la actualización global.

Cuando se utiliza la actualización global, McAfee aconseja planificar una tarea de extracción regular(para actualizar el repositorio principal) a una hora a la que el tráfico de red sea mínimo. Aunque laactualización global es mucho más rápida que otros métodos, aumenta el tráfico de red mientrasdura. Para obtener más información sobre actualizaciones globales, consulte Actualización global enDespliegue de productos y actualizaciones.

Configuración de directivas de los agentes para utilizar losrepositorios distribuidos

Este procedimiento permite personalizar la forma en la que los agentes seleccionan los repositoriosdistribuidos para minimizar el uso de ancho de banda.


1 Haga clic en Menú | Directiva | Catálogo de directivas y, en el menú Producto, seleccione McAfee Agent. Acontinuación, seleccione Repositorio en Categoría.

2 Haga clic en la directiva de agente existente que necesite.

3 Seleccione la ficha Repositorios.

4 En Selección en lista de repositorios, seleccione Utilizar esta lista de repositorios o Utilizar otra lista de repositorios.

RepositoriosConfiguración para actualizaciones globales 6


5 En Seleccionar repositorio por, especifique el método para ordenar los repositorios:

• Tiempo de ping: envía un comando ping ICMP a los cinco repositorios más cercanos (según el valorde subred) y los ordena en función de su tiempo de respuesta.

• Distancia de subred: compara las direcciones IP de los sistemas cliente y de todos los repositorios, yordena estos en función de la coincidencia de bits. Cuanto más se parezcan las direcciones IPentre sí, más alta será la posición del repositorio en la lista.

Si es necesario, puede definir el Número máximo de tramos.

• Utilizar orden de la lista de repositorios: selecciona los repositorios en función de su orden en la lista.

6 En la Lista de repositorios puede desactivar los repositorios haciendo clic en Desactivar en el campoAcciones asociado con el repositorio que se va a desactivar.

7 En la Lista de repositorios, haga clic en Subir al principio o Bajar al final para especificar el orden en el quedesea que los sistemas cliente seleccionen los repositorios distribuidos.

8 Cuando termine, haga clic en Guardar.

Uso de SuperAgents como repositorios distribuidosCree y configure repositorios distribuidos en sistemas que albergan SuperAgents. Los SuperAgentspueden minimizar el tráfico de red.

Para convertir un agente en SuperAgent, el agente debe pertenecer a un dominio Windows.

Procedimientos• Creación de repositorios distribuidos SuperAgent en la página 72

Para crear un repositorio SuperAgent, el sistema SuperAgent debe tener un servidor deMcAfee Agent instalado y en ejecución. Se recomienda utilizar repositorios SuperAgent conla actualización global.

• Replicación de paquetes en repositorios SuperAgent en la página 73Este procedimiento permite seleccionar qué paquetes de repositorios concretos se replicanen repositorios distribuidos.

• Eliminación de repositorios distribuidos SuperAgent en la página 74Este procedimiento permite eliminar repositorios distribuidos SuperAgent del sistema hosty de la lista de repositorios (SiteList.xml). La nueva configuración se aplicará durante elsiguiente intervalo de comunicación entre el agente y el servidor.

Creación de repositorios distribuidos SuperAgentPara crear un repositorio SuperAgent, el sistema SuperAgent debe tener un servidor de McAfee Agentinstalado y en ejecución. Se recomienda utilizar repositorios SuperAgent con la actualización global.

Para realizar este procedimiento debe conocer la ubicación de los sistemas SuperAgent en el Árbol desistemas. Se recomienda crear una etiqueta SuperAgent para facilitar la localización de los sistemasSuperAgent con la página Catálogo de etiquetas o mediante la ejecución de una consulta.


6 RepositoriosUso de SuperAgents como repositorios distribuidos


Procedimiento1 En la consola de ePolicy Orchestrator, haga clic en Menú | Directiva | Catálogo de directivas; a

continuación, en la lista Producto, haga clic en McAfee Agent y, en la lista Categoría, seleccione General.

Aparece una lista de las directivas de categoría general disponibles para su uso en el servidor deMcAfee ePO.

2 Cree una nueva directiva, duplique una existente o abra una que ya se haya aplicado a otrossistemas que tengan un SuperAgent, en los que desea ubicar repositorios SuperAgent.

3 Seleccione la ficha General y compruebe que la opción Convertir agentes en SuperAgents (solo Windows) estáseleccionada.

4 Seleccione Utilizar sistemas con SuperAgents como repositorios distribuidos y, a continuación, especifique unaruta para la carpeta del repositorio. Esta es la ubicación en la que el repositorio principal copia lasactualizaciones durante la replicación. Puede utilizar una ruta estándar de Windows, como C:\SuperAgent\Repo.

Todos los archivos solicitados del sistema del agente se proporcionan desde esta ubicación utilizandoel servidor web HTTP incorporado del agente.


6 Asigne esta directiva a cada sistema que desee que albergue un repositorio SuperAgent.

La nueva directiva se recuperará la próxima vez que el agente contacte con el servidor. Si no deseaesperar a la siguiente comunicación agente-servidor, puede enviar una llamada de activación delagente a los sistemas. Cuando se cree el repositorio distribuido, se creará en el sistema la carpetaespecificada, si no se había creado con anterioridad.

Además, la ubicación de la red se añade al archivo de lista de repositorios SiteList.xml. De estaforma, los sistemas de todo el entorno gestionado podrán utilizar el sitio para obtener actualizaciones.

Replicación de paquetes en repositorios SuperAgentEste procedimiento permite seleccionar qué paquetes de repositorios concretos se replican enrepositorios distribuidos.


Procedimiento1 Haga clic en Menú | Software | Repositorios distribuidos.

Aparece una lista de todos los repositorios distribuidos.

2 Localice el repositorio SuperAgent y haga clic en él.

Aparece el asistente Generador de repositorios distribuidos.

3 En la página Tipos de paquetes, seleccione los tipos de paquetes que necesite.

Asegúrese de que están seleccionados todos los paquetes que necesitan los sistemas gestionadosque utilizan este repositorio. Los sistemas gestionados buscan en un solo repositorio todos lospaquetes; la tarea falla para los sistemas que esperan encontrar un tipo de paquete que no estápresente. Esta función garantiza que los paquetes que utilizan solo algunos sistemas no se replicanen todo el entorno.


RepositoriosUso de SuperAgents como repositorios distribuidos 6


Eliminación de repositorios distribuidos SuperAgentEste procedimiento permite eliminar repositorios distribuidos SuperAgent del sistema host y de la listade repositorios (SiteList.xml). La nueva configuración se aplicará durante el siguiente intervalo decomunicación entre el agente y el servidor.


1 En la consola de ePolicy Orchestrator, haga clic en Menú | Directiva | Catálogo de directivas y, acontinuación, en el nombre de la directiva de SuperAgent que desea modificar.

2 En la ficha General, seleccione Utilizar sistemas con SuperAgents como repositorios distribuidos y haga clic enGuardar.

Para eliminar sólo algunos de los repositorios distribuidos SuperAgent, duplique la directiva deMcAfee Agent asignada a estos sistemas y desactive la opción Utilizar sistemas con SuperAgents comorepositorios distribuidos antes de guardar. Asigne esta nueva directiva según sea necesario.

El repositorio SuperAgent se eliminará y desaparecerá de la lista de repositorios. Sin embargo, elagente seguirá funcionando como un SuperAgent mientras deje seleccionada la opción Convertir agentesen SuperAgents. Los agentes que no ha recibido una nueva lista de sitios tras el cambio de directivacontinúan actualizándose del SuperAgent que se eliminó.

Creación y configuración de repositorios en servidores FTP oHTTP, y en recursos compartidos UNC

Puede alojar repositorios distribuidos en servidores FTP o HTTP, o en recursos compartidos UNC.Aunque no es necesario usar un servidor dedicado, el sistema utilizado debe tener la potenciasuficiente para que los sistemas gestionados se conecten y recuperen las actualizaciones.

6 RepositoriosCreación y configuración de repositorios en servidores FTP o HTTP, y en recursos compartidos UNC


Procedimientos

• Creación de una ubicación de carpeta en la página 75Puede crear la carpeta que alberga el contenido del repositorio en el sistema del repositoriodistribuido. Se utilizan procesos distintos según se trate de repositorios en recursoscompartidos UNC o de repositorios FTP o HTTP.

• Cómo agregar el repositorio distribuido al servidor de ePolicy Orchestrator en la página75Este procedimiento permite agregar una entrada a la lista de repositorios y especificar lacarpeta que utiliza el nuevo repositorio distribuido.

• Cómo evitar la replicación de paquetes seleccionados en la página 77Si se han configurado los repositorios distribuidos de forma que se repliquen solo lospaquetes seleccionados, se replicará de forma predeterminada el paquete que acaba deincorporar. Según sus requisitos de pruebas y validación, es posible que desee evitar lareplicación de algunos paquetes en sus repositorios distribuidos.

• Cómo desactivar la replicación de paquetes seleccionados en la página 78Si se ha configurado los repositorios distribuidos de forma que se repliquen solo lospaquetes seleccionados, de manera predeterminada se replicará el paquete que acaba deincorporar. Para desactivar la inminente replicación de un paquete, desactive la tarea dereplicación antes de incorporar tal paquete.

• Activación de la opción para compartir carpetas para repositorios UNC y HTTP en la página78En el caso de los repositorios distribuidos HTTP o UNC, debe activar la opción paracompartir carpetas en la red, con objeto de que el servidor de McAfee ePO pueda copiararchivos en el repositorio.

• Edición de repositorios distribuidos en la página 78Este procedimiento le permite modificar las opciones de configuración, de autenticación yde selección de paquetes de un repositorio distribuido según sus necesidades.

• Eliminación de repositorios distribuidos en la página 79Este procedimiento permite eliminar repositorios distribuidos FTP, HTTP o UNC Al hacerlo,también se elimina el contenido de los repositorios.

Creación de una ubicación de carpetaPuede crear la carpeta que alberga el contenido del repositorio en el sistema del repositoriodistribuido. Se utilizan procesos distintos según se trate de repositorios en recursos compartidos UNCo de repositorios FTP o HTTP.

• Para repositorios en recursos compartidos UNC, cree la carpeta en el sistema y active el usocompartido.

• Para repositorios FTP o HTTP, utilice su software de servidor FTP o HTTP, como Microsoft InternetInformation Services (IIS), para crear una nueva ubicación de carpeta y sitio. Consulte ladocumentación del servidor web para conocer más detalles.

Cómo agregar el repositorio distribuido al servidor de ePolicyOrchestratorEste procedimiento permite agregar una entrada a la lista de repositorios y especificar la carpeta queutiliza el nuevo repositorio distribuido.

No configure repositorios distribuidos para que hagan referencia al mismo directorio en el que seencuentra su repositorio principal. Si lo hace, los usuarios del repositorio distribuido bloquearán losarchivos del repositorio principal, lo que impedirá que se puedan realizar correctamente las extraccionese incorporaciones de paquetes, y el repositorio principal quedará inutilizado.

RepositoriosCreación y configuración de repositorios en servidores FTP o HTTP, y en recursos compartidos UNC 6



1 Haga clic en Menú | Software | Repositorios distribuidos y, a continuación, en Acciones | Nuevo repositorio.Aparece el asistente Generador de repositorios distribuidos.

2 En la página Descripción, escriba un nombre exclusivo y seleccione HTTP, UNC o FTP. A continuación,haga clic en Siguiente. El nombre del repositorio no tiene que coincidir con el del sistema que loalberga.

3 En la página Servidor, configure uno de los siguientes tipos de servidores.

Tipo de servidor HTTP• En la lista desplegable URL, seleccione Nombre DNS, IPv4 o IPv6 como tipo de dirección de servidor

y, a continuación, introduzca la dirección.

Opción Definición




• Escriba el número del puerto del servidor: el puerto HTTP predeterminado es 80.

• Especifique la Ruta de recurso UNC de replicación de su carpeta HTTP.

Tipo de servidor UNC• Introduzca la ruta de red en la que reside el repositorio. Utilice este formato: \\<EQUIPO>

\<CARPETA>.

Tipo de servidor FTP• En la lista desplegable URL, seleccione Nombre DNS, IPv4 o IPv6 como tipo de dirección de servidor

y, a continuación, introduzca la dirección.

Opción Definición




• Escriba el número del puerto del servidor: el puerto FTP predeterminado es 21.


5 Aparece la página Credenciales :

a Introduzca las Credenciales de descarga. Utilice credenciales con permisos de solo lectura para elservidor HTTP, el servidor FTP o el recurso compartido UNC en el que resida el repositorio.


• Seleccione Anónimo para utilizar una cuenta de usuario desconocida.

• Seleccione Autenticación FTP o Autenticación HTTP (si el servidor requiere autenticación) eintroduzca la información de la cuenta de usuario.



Tipo de servidor UNC:

• Seleccione Usar credenciales de la cuenta con sesión iniciada para utilizar las credenciales del usuarioque ha iniciado una sesión.

• Seleccione Especifique las credenciales de descarga e introduzca el dominio y la información de lacuenta de usuario.

b Haga clic en Probar credenciales. Tras unos segundos, aparece un mensaje para confirmar que lossistemas pueden acceder al sitio utilizando la información de autenticación. Si las credencialesson incorrectas, compruebe:

• El nombre de usuario y la contraseña

• La URL o la ruta en el panel anterior del asistente

• El sitio HTTP, FTP o UNC en el sistema

6 Introduzca las Credenciales de replicación.

El servidor utiliza estas credenciales cuando replica archivos DAT o del motor, u otrasactualizaciones de productos desde el repositorio principal en el repositorio distribuido. Estascredenciales deben disponer de permisos de lectura y escritura para el repositorio distribuido:

• Para FTP, introduzca la información de la cuenta de usuario.

• Para HTTP o UNC, introduzca el dominio y la información de la cuenta de usuario.

• Haga clic en Probar credenciales. Tras unos segundos, aparece un mensaje para confirmar que lossistemas pueden acceder al sitio utilizando la información de autenticación. Si las credencialesson incorrectas, compruebe:

• El nombre de usuario y la contraseña

• La URL o la ruta en el panel anterior del asistente

• El sitio HTTP, FTP o UNC en el sistema

7 Haga clic en Siguiente. Aparece la página Tipos de paquetes.

8 Seleccione si desea replicar en este repositorio distribuido todos los paquetes o solamente losseleccionados y haga clic en Siguiente.

• Si elige la opción Paquetes seleccionados, debe seleccionar de forma manual las Firmas y motores y losProductos, parches, Service Packs, etc. que desea replicar.

• También puede seleccionar Replicar los archivos DAT heredados.

Asegúrese de que no ha desactivado ningún paquete que necesite alguno de los sistemasgestionados que utilizan este repositorio. Los sistemas gestionados buscan en un repositorio todoslos paquetes; la tarea falla si no está presente uno de los tipos de paquetes que se necesitan. Estafunción garantiza que los paquetes que utilizan solo algunos sistemas no se repliquen en todo elentorno.

9 Revise la página Resumen y haga clic en Guardar para agregar el repositorio. El software ePolicyOrchestrator agrega el nuevo repositorio distribuido a su base de datos.

Cómo evitar la replicación de paquetes seleccionadosSi se han configurado los repositorios distribuidos de forma que se repliquen solo los paquetesseleccionados, se replicará de forma predeterminada el paquete que acaba de incorporar. Según susrequisitos de pruebas y validación, es posible que desee evitar la replicación de algunos paquetes ensus repositorios distribuidos.


RepositoriosCreación y configuración de repositorios en servidores FTP o HTTP, y en recursos compartidos UNC 6


Procedimiento1 Haga clic en Menú | Software | Repositorios distribuidos y, a continuación, haga clic en un repositorio. Se

abre el asistente Generador de repositorios distribuidos.

2 En la página Tipos de paquetes, anule la selección de los paquetes que no desee replicar.


Cómo desactivar la replicación de paquetes seleccionadosSi se ha configurado los repositorios distribuidos de forma que se repliquen solo los paquetesseleccionados, de manera predeterminada se replicará el paquete que acaba de incorporar. Paradesactivar la inminente replicación de un paquete, desactive la tarea de replicación antes deincorporar tal paquete.


Procedimiento1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, seleccione Editar junto a una tarea

servidor de replicación.

Se abre el asistente Generador de tareas servidor.

2 En la página Descripción, seleccione Seleccionado como Estado de planificación y, a continuación, haga clicen Guardar.

Activación de la opción para compartir carpetas pararepositorios UNC y HTTPEn el caso de los repositorios distribuidos HTTP o UNC, debe activar la opción para compartir carpetasen la red, con objeto de que el servidor de McAfee ePO pueda copiar archivos en el repositorio.

Esto se hace únicamente con fines de replicación. Los sistemas gestionados configurados para utilizarel repositorio distribuido utilizan el protocolo apropiado (HTTP, FTP o el protocolo para compartirarchivos de Windows) y no necesitan que se comparta una carpeta.

Procedimiento1 En el sistema gestionado, ubique la carpeta que ha creado mediante el Explorador de Windows.

2 Haga clic con el botón derecho del ratón en la carpeta y seleccione Compartir.

3 En la ficha Compartir, seleccione Compartir esta carpeta.

4 Configure los permisos para compartir según sus necesidades.

Los sistemas que se actualizan desde el repositorio requieren únicamente acceso de lectura; sinembargo, las cuentas de administrador, incluida la que utiliza el servicio de servidor de McAfeeePO, necesitan acceso de escritura. Consulte en la documentación de Microsoft Windows cómoconfigurar las opciones de seguridad apropiadas para carpetas compartidas.


Edición de repositorios distribuidos Este procedimiento le permite modificar las opciones de configuración, de autenticación y de selecciónde paquetes de un repositorio distribuido según sus necesidades.




Procedimiento

1 Haga clic en Menú | Software | Repositorios distribuidos y, a continuación, haga clic en un repositorio.

Se abre el asistente Generador de repositorios distribuidos con los detalles del repositorio distribuido.

2 Cambie las opciones necesarias de configuración, autenticación y selección de paquetes.


Eliminación de repositorios distribuidosEste procedimiento permite eliminar repositorios distribuidos FTP, HTTP o UNC Al hacerlo, también seelimina el contenido de los repositorios.


Procedimiento

1 Haga clic en Menú | Software | Repositorios distribuidos y, a continuación, haga clic en Eliminar junto a unrepositorio.

2 En el cuadro de diálogo Eliminar repositorio, haga clic en Aceptar.

La eliminación del repositorio no suprime los paquetes que se encuentran en el sistema que albergael repositorio.

Los repositorios eliminados desaparecen de la lista de repositorios.

Uso de repositorios distribuidos locales no gestionadosCopie el contenido del Repositorio principal en un repositorio distribuido no gestionado.Una vez que se ha creado un repositorio no gestionado, se deben configurar los sistemas gestionadosde forma manual para que obtengan los archivos de él.


Procedimiento

1 Copie todos los archivos y subdirectorios en la carpeta del repositorio principal desde el servidor.

Por ejemplo, si utiliza Windows 2008 R2 Server, esta es la ruta de acceso predeterminada en elservidor : C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software

2 Pegue los archivos y subcarpetas copiados en la carpeta del repositorio en el sistema delrepositorio distribuido.

3 Configure una directiva del agente para que los sistemas gestionados utilicen el nuevo repositoriodistribuido no gestionado:

a Haga clic en Menú | Directiva | Catálogo de directivas y, en el menú Producto, seleccione McAfee Agent. Acontinuación, seleccione Repositorio en Categoría.

b Haga clic en una directiva del agente existente o cree una nueva.

No se puede interrumpir la herencia de directivas en el nivel de las fichas de opciones quecomponen una directiva. Por este motivo, cuando aplique esta directiva a los sistemas debecerciorarse de que solo los sistemas adecuados reciban y hereden la directiva para utilizar elrepositorio distribuido no gestionado.

c En la ficha Repositorios, haga clic en Agregar.

RepositoriosUso de repositorios distribuidos locales no gestionados 6


d Escriba un nombre en el campo de texto Nombre del repositorio.

Este nombre no tiene que coincidir con el del sistema que alberga el repositorio.

e En Recuperar archivos desde, seleccione el tipo de repositorio.

f En Configuración, especifique la ubicación del repositorio utilizando la sintaxis apropiada para eltipo de repositorio.

g Especifique el número de puerto o mantenga el puerto predeterminado.

h Configure las credenciales de autenticación según sus preferencias.

i Haga clic en Aceptar para agregar el nuevo repositorio distribuido a la lista.

j Seleccione el nuevo repositorio en la lista.

El tipo es Local para indicar que no está gestionado por el software ePolicy Orchestrator. Cuandose selecciona un repositorio no gestionado en la Lista de repositorios, se activan los botones Editar yEliminar.

k Haga clic en Guardar.

Los sistemas en los que se aplique esta directiva reciben la nueva directiva en la próximacomunicación entre el agente y el servidor.

Uso de los archivos de listas de repositoriosPuede exportar la lista de repositorios a los archivos SiteList.xml y SiteMgr.xml.

Estos archivos:

• SiteList.xml: utilizado por el agente y los productos admitidos.

• SiteMgr.xml: utilizado al reinstalar el servidor de McAfee ePO o en la importación en otrosservidores de McAfee ePO que utilizan los mismos repositorios distribuidos o sitios de origen.

Procedimientos

• Exportación del archivo de lista de repositorios SiteList.xml en la página 80Este procedimiento permite exportar el archivo de lista SiteList (SiteList.xml) paracopiarlo de forma manual en los sistemas o bien para importarlo durante la instalación deproductos admitidos.

• Exportación de la lista de repositorios para copia de seguridad o uso en otros servidores enla página 81Utilice el archivo SiteMgr.xml exportado para restaurar los repositorios distribuidos y lossitios de origen cuando se reinstala el servidor de McAfee ePO o cuando se van a compartirrepositorios distribuidos o sitios de origen con otro servidor de McAfee ePO.

• Importación de repositorios de la lista de repositorios en la página 81Este procedimiento permite importar repositorios distribuidos del archivo SiteMgr.xml trasvolver a instalar el servidor, o cuando desea que un servidor utilice los mismos repositoriosdistribuidos que otro.

• Importación de sitios de origen desde el archivo SiteMgr.xml en la página 82Tras reinstalar un servidor, y cuando desee que dos servidores utilicen los mismosrepositorios distribuidos, importe los sitios de origen de un archivo de lista de repositorios.

Exportación del archivo de lista de repositorios SiteList.xmlEste procedimiento permite exportar el archivo de lista SiteList (SiteList.xml) para copiarlo de formamanual en los sistemas o bien para importarlo durante la instalación de productos admitidos.

6 RepositoriosUso de los archivos de listas de repositorios



1 Haga clic en Menú | Software | Repositorio principal y, a continuación, en Acciones | Exportar lista Sitelist.

Aparece el cuadro de diálogo Descarga de archivos.

2 Haga clic en Guardar, vaya a la ubicación donde desea guardar el archivo SiteList.xml y haga clicen Guardar.

Una vez que haya exportado este archivo, puede importarlo durante la instalación de productosadmitidos. Para obtener instrucciones al respecto, consulte la Guía de instalación del productocorrespondiente.

También puede distribuir la lista de repositorios a los sistemas gestionados y, a continuación, aplicar lalista de repositorios al agente.

Exportación de la lista de repositorios para copia de seguridado uso en otros servidoresUtilice el archivo SiteMgr.xml exportado para restaurar los repositorios distribuidos y los sitios deorigen cuando se reinstala el servidor de McAfee ePO o cuando se van a compartir repositoriosdistribuidos o sitios de origen con otro servidor de McAfee ePO.

Puede exportar este archivo desde las páginas Repositorios distribuidos o Sitios de origen. Sin embargo,cuando se importa este archivo a una de estas páginas, solamente se importan los componentes delarchivo que aparezcan en la página en cuestión. Por ejemplo, cuando se importa este archivo a lapágina Repositorios distribuidos, solo se importan los repositorios distribuidos del archivo. Porconsiguiente, si desea importar tanto los repositorios distribuidos como los sitios de origen, deberealizar la importación dos veces, una desde cada página.


Procedimiento1 Haga clic en Menú | Software | Repositorios distribuidos (o Sitios de origen) y, a continuación, en Acciones |

Exportar repositorios (o Exportar sitios de origen).

Aparece el cuadro de diálogo Descarga de archivos.

2 Vaya a la ubicación donde desea guardar el archivo y haga clic en Guardar.

Importación de repositorios de la lista de repositoriosEste procedimiento permite importar repositorios distribuidos del archivo SiteMgr.xml tras volver ainstalar el servidor, o cuando desea que un servidor utilice los mismos repositorios distribuidos queotro.


1 Haga clic en Menú | Software | Repositorios distribuidos y, a continuación, en Acciones | Importar repositorios.

Aparece la página Importar repositorios.

2 Localice y seleccione el archivo SiteMgr.xml exportado y haga clic en Aceptar. Se importa alservidor el repositorio distribuido.


RepositoriosUso de los archivos de listas de repositorios 6


Los repositorios seleccionados se agregan a la lista de repositorios de este servidor.

Importación de sitios de origen desde el archivo SiteMgr.xmlTras reinstalar un servidor, y cuando desee que dos servidores utilicen los mismos repositoriosdistribuidos, importe los sitios de origen de un archivo de lista de repositorios.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor y, a continuación, en la lista Categorías de

configuración, seleccione Sitios de origen y haga clic en Editar.

2 Haga clic en Importar.

3 Localice y seleccione el archivo SiteMgr.xml exportado y, a continuación, haga clic en Aceptar.

4 Seleccione los sitios de origen que importar en este servidor y, a continuación, haga clic en Aceptar.

Los sitios de origen seleccionados se agregan a la lista de repositorios de este servidor.

6 RepositoriosUso de los archivos de listas de repositorios


7 Servidores registrados

Puede acceder a otros servidores si los registra con su servidor de McAfee ePO. Los servidoresregistrados permiten integrar el software con otros servidores externos. Por ejemplo, registre unservidor LDAP para conectarse con su servidor de Active Directory.

McAfee ePolicy Orchestrator se puede comunicar con:

• Otros servidores de McAfee ePO • Servidores HTTP

• Otros servidores de base de datos remotos • Servidores de administración de fichas

• Servidores LDAP

Cada tipo de servidor registrado admite o complementa funcionalidades de ePolicy Orchestrator yotros productos y extensiones de McAfee y de terceros.

Contenido Registro de servidores de McAfee ePO Registro de servidores LDAP Registro de servidores SNMP Registro de un servidor de base de datos Cómo compartir consultas entre servidores

Registro de servidores de McAfee ePOPuede registrar otros servidores de McAfee ePO para utilizarlos con su servidor de McAfee ePOprincipal para recopilar o agregar datos.


1 Seleccione Menú | Configuración | Servidores registrados y haga clic en Nuevo servidor.

2 En el menú Tipo de servidor de la página Descripción, seleccione ePO, especifique un nombre exclusivo ylas notas que desee y, a continuación, haga clic en Siguiente.

3 Especifique las siguientes opciones para configurar el servidor:

7


Opción Definición

Tipo de autenticación Especifica el tipo de autenticación para esta base de datos. Las opcionesson:• Autenticación de Windows

• Autenticación de SQL

Uso compartido de tareacliente

Especifica si se activa o se desactiva la tarea cliente para este servidor.

Nombre de la base dedatos

Especifica el nombre de esta base de datos.

Puerto de la base datos Especifica el puerto para esta base de datos.

Servidor de base de datos Especifica el nombre de la base de datos para este servidor. Puedeespecificar una base de datos mediante el nombre DNS o la dirección IP(IPv4 o IPv6).

Versión de ePO Especifica la versión del servidor de McAfee ePO que se va a registrar.

Contraseña Especifica la contraseña para este servidor.

Compartir directivas Especifica si se activa o se desactiva la función para compartir directivaspara este servidor.

Instancia de SQL Server Permite especificar si éste es el servidor predeterminado o una instanciaespecífica proporcionando el nombre de instancia.

Compruebe que el servicio SQL Browser está en ejecución antes deconectarse a una instancia SQL específica utilizando su nombre deinstancia. Especifique el número de puerto si el servicio SQL Browser noestá en ejecución.

Seleccione la instancia del servidor SQL Server predeterminada eintroduzca el número de puerto para conectarse a la instancia delservidor SQL Server.

Comunicación SSL con elservidor de base de datos

Especifica si ePolicy Orchestrator utiliza comunicación SSL (Secure SocketLayer) con este servidor de base de datos. Las opciones son:• Intentar utilizar SSL

• Utilizar siempre SSL

• No utilizar nunca SSL

Probar conexión Verifica la conexión del servidor especificado.

Transferir sistemas Especifica si se activa o desactiva la capacidad para transferir sistemaspara este servidor. Si está activa, seleccione Importación automática de lista Sitelisto Importación manual de la lista Sitelist.

Si elige Importación manual de la lista Sitelist, es posible que las versiones másantiguas de McAfee Agent (4.0 y anteriores) no puedan contactar con suadministrador de agentes. Esto puede ocurrir

• al transferir sistemas desde este servidor de McAfee ePO alservidor de McAfee ePO registrado,

• cuando un nombre de administrador de agentes aparece concaracteres alfanuméricos antes que el nombre del servidor deMcAfee ePO en la lista Sitelist,

• y los otros agentes utilizan dicho administrador.

7 Servidores registradosRegistro de servidores de McAfee ePO


Opción Definición

Utilizar NTLMv2 También puede utilizar el protocolo de autenticación NT LAN Manager.Seleccione esta opción si el servidor que va a registrar utiliza esteprotocolo.

Nombre de usuario Especifica el nombre de usuario para este servidor.


Registro de servidores LDAPPara utilizar las reglas de asignación de directivas, activar los conjuntos de permisos asignados deforma dinámica y el inicio de sesión de usuarios de Active Directory, debe tener un servidor LDAP(Lightweight Directory Access Protocol) registrado.


1 Seleccione Menú | Configuración | Servidores registrados y, a continuación, haga clic en Nuevo servidor.

2 En el menú Tipo de servidor de la página Descripción, seleccione Servidor LDAP, especifique un nombre ylos detalles que desee y, a continuación, haga clic en Siguiente.

3 En la lista Tipo de servidor LDAP, elija si va a registrar un servidor OpenLDAP o un servidor de ActiveDirectory.

Para el resto de instrucciones se asumirá que se va a configurar un servidor de Active Directory. Enlos casos en los que sea necesario, se incluye información específica para servidores OpenLDAP.

4 En la sección Nombre del servidor, elija si va a especificar un nombre de dominio o un nombre deservidor concreto.

Utilice nombres de dominio DNS (por ejemplo, dominiointerno.com) y nombres de dominiocompletos o direcciones IP para los servidores (por ejemplo, servidor1.dominiointerno.com o192.168.75.101).El uso de nombres de dominio proporciona soporte en caso de error y permite elegir, si se desea,servidores de un sitio específico solamente.

Los servidores OpenLDAP solo pueden utilizar nombres de servidor. No pueden especificarse pordominio.

5 Si lo desea, elija Usar Catálogo global.

Esta opción está desactivada de forma predeterminada. Si la selecciona conseguirá una mejoraconsiderable del rendimiento. Solo debe seleccionarse si el dominio registrado es el principal dedominios locales únicamente. Si se incluyen dominios no locales, la búsqueda de referencias puedegenerar tráfico de red local, lo que puede tener un impacto muy negativo en el rendimiento.

La opción Usar Catálogo global no está disponible para servidores OpenLDAP.

6 Si ha decidido no utilizar el Catálogo global, elija si va a Buscar referencias o no.

La búsqueda de referencias puede provocar problemas de rendimiento si genera tráfico de red nolocal, independientemente de si se utiliza o no un Catálogo global.

7 Elija si va a Utilizar SSL para las comunicaciones con este servidor.

8 Si va a configurar un servidor OpenLDAP, introduzca el Puerto.

Servidores registradosRegistro de servidores LDAP 7


9 Introduzca un Nombre de usuario y una Contraseña según se indique.

Estas credenciales deben ser para una cuenta de administrador en el servidor. Utilice el formatodominio\nombredeusuario en servidores Active Directory y el formatocn=Usuario,dc=dominio,dc=com en servidores OpenLDAP.

10 Introduzca el Nombre del sitio para el servidor o haga clic en Examinar para seleccionarlo.

11 Haga clic en Probar conexión para verificar la comunicación con el servidor. Modifique la informaciónsegún corresponda.

12 Haga clic en Guardar para registrar el servidor.

Registro de servidores SNMPPara recibir una captura SNMP, debe agregar la información del servidor SNMP, de forma que ePolicyOrchestrator sepa dónde enviar la captura.


Procedimiento1 Haga clic en Menú | Configuración | Servidores registrados y, a continuación, en Nuevo servidor.

2 En el menú Tipo de servidor de la página Descripción, seleccione Servidor SNMP, facilite el nombre ycualquier otra información adicional sobre el servidor y, a continuación, haga clic en Siguiente.

3 En la lista desplegable URL, seleccione uno de estos tipos de dirección de servidor e introduzca ladirección:

• Nombre DNS: especifica el nombre DNS del servidor registrado.

• IPv4: especifica la dirección IPv4 del servidor registrado.

• IPv6: especifica el nombre DNS del servidor registrado que tiene una dirección IPv6.

4 Seleccione la versión de SNMP que utiliza su servidor:

• Si selecciona SNMPv1 o SNMPv2c como versión del servidor SNMP, escriba la cadena de comunidaddel servidor en Seguridad.

• Si selecciona SNMPv3, especifique los detalles de Seguridad SNMPv3.

5 Haga clic en Enviar captura de prueba para probar la configuración.


El servidor SNMP agregado aparece en la página Servidores registrados.

Registro de un servidor de base de datosAntes de recuperar los datos de un servidor de base de datos, debe registrarlo en ePolicyOrchestrator.

7 Servidores registradosRegistro de servidores SNMP



1 Abra la página Servidores registrados, seleccione Menú | Configuración | Servidores registrados y, acontinuación, haga clic en Nuevo servidor.

2 Seleccione Servidor de base de datos en la lista desplegable Tipo de servidor, introduzca un nombre deservidor y una descripción, si lo desea, y haga clic en Siguiente.

3 Elija un Tipo de base de datos en la lista desplegable de tipos registrados. Indique si desea que este tipode base de datos sea el predeterminado.

Si ya hay una base de datos predeterminada asignada a este tipo de base de datos, se indica en lafila Base de datos predeterminada actual para el tipo de base de datos.

4 Introduzca el Proveedor de base de datos. Por el momento solo se admiten Microsoft SQL Server yMySQL.

5 Introduzca la información de conexión y las credenciales de inicio de sesión para el servidor debase de datos.

6 Para verificar que todos los datos de conexión y credenciales de inicio de sesión se han introducidocorrectamente, haga clic en Probar conexión.

Un mensaje de estado indica si la conexión es correcta o no.


Cómo compartir consultas entre servidoresCon frecuencia, la forma más fácil y rápida de replicar el comportamiento de un servidor de McAfeeePO en otro es exportar el elemento que describe tal comportamiento e importarlo en el otro servidor.

Exportación de objetos de ePolicy OrchestratorCon frecuencia, la forma más fácil y rápida de replicar el comportamiento de un servidor de McAfeeePO a otro es exportar el elemento que describe el comportamiento e importarlo en el otro servidor.

Los elementos exportados de ePolicy Orchestrator se guardan en archivos XML que los describen deforma detallada. Los objetos exportados de un servidor de McAfee ePO se muestran en el navegadorcomo XML. La configuración de su navegador determina cómo se guarda y cómo se muestra el XML.

Contenido de archivos exportados

Un archivo exportado normalmente contiene un elemento contenedor externo denominado <list>, encaso de que se exporten varios elementos. Si solo se exporta un objeto, este elemento contenedorexterno puede recibir el nombre de dicho objeto (por ejemplo, <query>). El contenido más detalladovaría según el tipo de elemento exportado.

Elementos exportables

Se pueden exportar los siguientes elementos. Las extensiones instaladas pueden agregar elementos aesta lista. Consulte los detalles en la documentación de la extensión.

• Paneles • Tareas servidor

• Conjuntos de permisos • Usuarios

Servidores registradosCómo compartir consultas entre servidores 7


• Consultas • Respuestas automáticas

• Informes

Los siguientes elementos pueden tener una tabla de su contenido actual exportado.

• Registro de auditoría

• Problemas

Importación de elementos a ePolicy OrchestratorLos elementos exportados de un servidor de McAfee ePO se pueden importar en otro servidor.

ePolicy Orchestrator exporta elementos en formato XML. Estos archivos XML contienen lasdescripciones exactas de los elementos exportados.

Importación de elementos

Cuando se importan elementos a ePolicy Orchestrator, se siguen determinadas reglas:

• Todos los elementos, excepto usuarios, se importan con visibilidad privada de manerapredeterminada. Se pueden aplicar otros permisos durante o tras la importación.

• Si ya existe un elemento con el mismo nombre, se añade "(importado)" o "(copia)" al nombredel elemento importado.

• Los elementos importados que requieren una extensión o un producto que no existe en el nuevoservidor se marcarán como no válidos.

ePolicy Orchestrator solo importará archivos XML exportados por ePolicy Orchestrator.

En la documentación correspondiente a cada elemento, encontrará más información sobre cómoimportarlo.

Exportación de objetos y datos del servidor de McAfee ePOLos objetos y datos exportados se pueden utilizar para crear una copia de seguridad de datosimportantes, así como para restaurar o configurar los servidores de McAfee ePO en su entorno.La mayoría de los objetos y datos que se utilizan en su servidor se pueden exportar o descargar parasu visualización, transformación o importación en otro servidor u otras aplicaciones. La tabla siguienteincluye los distintos elementos sobre los que puede realizar acciones. Para ver los datos, exporte lastablas como archivos HTML o PDF. Para utilizar los datos en otras aplicaciones, exporte las tablas comoarchivos CSV o XML.

Procedimiento1 En la página que muestre los objetos o los datos, haga clic en Acciones y seleccione una opción. Por

ejemplo, cuando vaya a exportar una tabla, seleccione Exportar tabla y haga clic en Siguiente.

2 Cuando vaya a exportar contenido que se pueda descargar en varios formatos, tales como datos deconsultas, aparece una página Exportar con opciones de configuración. Especifique sus preferencias yhaga clic en Exportar.

7 Servidores registradosCómo compartir consultas entre servidores


3 Al exportar objetos o definiciones, tales como objetos de tarea cliente o definiciones, puedensuceder dos cosas:

• Que se abra una ventana del navegador donde puede elegir entre Abrir o Guardar.

• Que se abra una página Exportar con un vínculo al archivo. Haga clic en el vínculo para ver elarchivo en el navegador, o bien haga clic con el botón derecho en el vínculo para guardar elarchivo.

Servidores registradosCómo compartir consultas entre servidores 7


7 Servidores registradosCómo compartir consultas entre servidores


8 Administradores de agentes

Los administradores de agentes enrutan la comunicación entre los agentes y su servidor de McAfeeePO.Cada servidor de McAfee ePO contiene un administrador de agentes principal. Se pueden instalar otrosadministradores de agentes en los sistemas de toda la red.

La instalación de más administradores de agentes presenta las siguientes ventajas:

• Ayuda a administrar un mayor número de productos y sistemas gestionados mediante un únicoservidor lógico de McAfee ePO en situaciones en las que la CPU del servidor de base de datos noestá sobrecargada.

• Obtiene comunicación con tolerancia a fallos y equilibrio de carga con muchos agentes, inclusoaunque estén distribuidos en áreas geográficas diferentes.

Contenido Cómo funcionan los administradores de agentes Grupos de administradores y su prioridad Gestión de administradores de agentes

Cómo funcionan los administradores de agentesLos administradores de agentes distribuyen el tráfico de la red que se genera durante la comunicaciónagente-servidor. Para ello, se asignan sistemas gestionados o grupos de sistemas a un administradorde agentes específico. Una vez asignado, el sistema gestionado se comunica con el administrador deagentes en lugar de con el servidor de McAfee ePO.El administrador proporciona listas de sitios, directivas y reglas de asignación de directivasactualizadas, de la misma forma que el servidor de McAfee ePO. El administrador guarda también encaché el contenido del repositorio principal, para que los agentes puedan extraer los paquetes deactualización, archivos DAT y cualquier otra información que necesiten.

Cuando el agente se comunica con su administrador, si este no tiene las actualizaciones necesarias, lasrecupera del repositorio asignado y las guarda en caché, mientras transmite la actualización al agente.

El gráfico Sistemas por administrador de agentes muestra todos los administradores de agentesinstalados y el número de agentes que gestiona cada administrador.

Cuando un administrador de agentes se desinstala, no aparece en este gráfico. Si una regla deasignación de administradores de agentes asigna de manera exclusiva agentes a un administrador yse desinstala ese administrador concreto, aparecerá en el gráfico como Administrador de agentes desinstalado,junto con el número de agentes que siguen intentando conectarse a él.

Si los administradores de agentes no están instalados correctamente, aparece el mensaje Administradorde agentes desinstalado que indica que el administrador no puede comunicarse con algunos agentes. Hagaclic en la lista para ver los agentes que no pueden comunicarse con el administrador.

8


Varios administradores de agentes

Puede tener más de un administrador de agentes en la red. Es posible que disponga de un grannúmero de sistemas gestionados, distribuidos en distintas áreas geográficas o fronteras políticas. Seacual sea el caso, la asignación de grupos diferentes a los distintos administradores permite mejorar laorganización de sus sistemas gestionados.

Grupos de administradores y su prioridadCuando se utilizan varios administradores de agentes en la red, se pueden agrupar y asignarlesprioridades para facilitar la conectividad.

Grupos de administradores

Cuando se tienen varios administradores de agentes en la red, se pueden crear grupos de agentes.También se les puede aplicar una prioridad a los administradores de un grupo. La prioridad determinacon qué administrador se comunican los agentes en primer lugar. Si el administrador con la prioridadmás alta no está disponible, el agente recurre al siguiente administrador de la lista. La información deprioridad se guarda en la lista de repositorios (archivo sitelist.xml) de cada agente. Cuando secambian las asignaciones de un administrador, durante el proceso de comunicación agente-servidoreste archivo se actualiza. Una vez recibidas las asignaciones, el agente espera hasta la siguientecomunicación planificada para implementarlas. Puede realizar una llamada de activación del agenteinmediata para actualizar el agente inmediatamente.

La agrupación de los administradores y la asignación de prioridades se pueden personalizar según lasnecesidades de su entorno específico. Dos casos típicos de agrupación de administradores son:

• Uso de varios administradores para el equilibrio de carga.

Puede ser conveniente si tiene un gran número de sistemas gestionados en la red y desea distribuirla carga de trabajo de las comunicaciones agente-servidor y la implementación de directivas. Puedeconfigurar la lista de administradores de forma que los agentes escojan de forma aleatoria elagente con el que se van a comunicar.

• Configuración de un plan de respaldo para garantizar la comunicación agente-servidor.

Puede tener sistemas distribuidos en un área geográfica extensa. Al asignar una prioridad a cadaadministrador de esta área, puede especificar con qué administrador se comunican los agentes yen qué orden. De esta forma, se crea una comunicación del agente "de respaldo" que asegura quelos sistemas gestionados de la red estén siempre actualizados, de forma similar a los repositoriosde respaldo, que garantizan que las nuevas actualizaciones estén disponibles para los agentes. Si eladministrador con la prioridad más alta no está disponible, el agente recurre al siguienteadministrador de la lista con la prioridad más alta.

Además de asignar la prioridad de cada administrador en un grupo de administradores, también puededefinir la prioridad de asignación de administrador en varios grupos de administradores. De estaforma, se puede añadir al entorno una capa adicional de redundancia con el fin de asegurar que losagentes reciban siempre la información vital que necesitan.

Archivos Sitelist

El agente utiliza los archivos sitelist.xml y sitelist.info para decidir con qué administrador se va acomunicar. Cada vez que se actualizan las asignaciones de administradores y las prioridades, seactualizan estos archivos en el sistema gestionado. Una vez que los archivos se han actualizado, elagente implementará la nueva asignación o prioridad el próximo intervalo de comunicaciónagente-servidor planificado.

8 Administradores de agentesGrupos de administradores y su prioridad


Gestión de administradores de agentesEstos procedimientos permiten configurar administradores de agentes en su red y asignarles agentesMcAfee Agent.

Procedimientos• Asignación de agentes McAfee Agent a administradores de agentes en la página 93

Asigne agentes a administradores específicos. Puede asignar sistemas de forma individual,por grupo y por subred.

• Gestión de asignaciones de administradores de agentes en la página 94Utilice la siguiente tabla como referencia para realizar las tareas de gestión de asignacionesde administradores de agentes habituales.

• Creación de grupos de administradores de agentes en la página 95El uso de grupos de administradores facilita la gestión de varios administradores en la red ypuede ser fundamental para su estrategia de respaldo.

• Gestión de grupos de administradores de agentes en la página 95Utilice la siguiente tabla como referencia para realizar las tareas de gestión de grupos deadministradores habituales.

• Desplazamiento de agentes entre administradores en la página 96Asigne agentes a administradores específicos. Puede asignar sistemas mediante las reglasde asignación de administradores de agentes, la prioridad de asignación de administradoresde agentes o bien, de forma individual, utilizando el árbol de sistemas.

Asignación de agentes McAfee Agent a administradores deagentesAsigne agentes a administradores específicos. Puede asignar sistemas de forma individual, por grupo ypor subred.Las asignaciones de administradores pueden especificar un administrador específico o bien una lista deadministradores. La lista especificada puede estar compuesta de administradores individuales o degrupos de administradores.


1 Haga clic en Menú | Configuración | Administradores de agentes y, a continuación, en Acciones | Nuevaasignación.

2 Especifique un nombre exclusivo para esta asignación.

3 Especifique los agentes para esta asignación utilizando una o las dos opciones de Criterios del agente:• Vaya a una Ubicación en el árbol de sistemas.

• Escriba la dirección IP, el intervalo de direcciones IP o la máscara de subred de los sistemasgestionados en el campo Subred del agente.

Administradores de agentesGestión de administradores de agentes 8


4 Especifique la Prioridad de administradores; para ello, elija una de las siguientes opciones:

• Utilizar todos los administradores de agentes: los agentes seleccionan de forma aleatoria el administradorcon el que se van a comunicar.

• Usar una lista de administradores personalizada: cuando se utiliza una lista de administradorespersonalizada, debe seleccionar el administrador o grupo de administradores en el menúdesplegable.

Si se utiliza una lista de administradores personalizada, utilice + y - para agregar y eliminaradministradores de agentes de la lista (cada administrador puede incluirse en más de un grupo).Utilice el control para arrastrar y soltar, para cambiar la prioridad de los administradores. Laprioridad determina con qué administrador intentan comunicarse los agentes en primer lugar.

Gestión de asignaciones de administradores de agentesUtilice la siguiente tabla como referencia para realizar las tareas de gestión de asignaciones deadministradores de agentes habituales.Para realizar estas acciones, haga clic en Menú | Configuración | Administradores de agentes y, a continuación,en Reglas de asignación de administrador, haga clic en Acciones.

Para... Haga lo siguiente...

Eliminar unaasignación deadministrador

Haga clic en Eliminar en la fila de la asignación seleccionada.

Editar una asignaciónde administrador

Haga clic en Editar para la asignación seleccionada. Se abre la páginaAsignación de administradores de agentes, en la que se puede especificar:• Nombre de la asignación: nombre exclusivo que identifica la asignación de este

administrador.

• Criterios del agente: los sistemas incluidos en esta asignación. Puede agregary eliminar grupos del árbol de sistemas, o modificar la lista de sistemas enel cuadro de texto.

• Prioridad de administradores: elija si se van a utilizar todos los administradoresde agentes o bien una lista de administradores personalizada. Cuando seselecciona Utilizar todos los administradores de agentes, los agentes seleccionan deforma aleatoria el administrador con el que se van a comunicar.

Utilice el control para arrastrar y soltar, para cambiar rápidamente laprioridad de los administradores en la lista personalizada.

Exportar asignacionesde administradores

Haga clic en Exportar. Se abre la página Descargar asignaciones de administradores deagentes, en la que se puede ver o descargar el archivoAgentHandlerAssignments.xml.

Importar asignacionesde administradores

Haga clic en Importar. Se abre el cuadro de diálogo Importar asignaciones deadministradores de agentes, desde donde puede buscar un archivoAgentHandlerAssignments.xml que se haya descargado previamente.

Editar la prioridad delas asignaciones deadministradores

Haga clic en Editar prioridad. Se abre la página Asignación de administradores deagentes | Editar prioridad, en la que se puede cambiar la prioridad de asignacióndel administrador utilizando el control para arrastrar y soltar.

Ver el resumen dedetalles de lasasignaciones de unadministrador

Haga clic en > en la fila de la asignación seleccionada.

8 Administradores de agentesGestión de administradores de agentes


Creación de grupos de administradores de agentesEl uso de grupos de administradores facilita la gestión de varios administradores en la red y puede serfundamental para su estrategia de respaldo.


1 Haga clic en Menú | Configuración | Administradores de agentes y, a continuación, en Grupos de administradores,seleccione Nuevo grupo.

Aparece la página Agregar/editar grupo.

2 Especifique el nombre del grupo y los detalles de Administradores incluidos:• Haga clic en Utilizar equilibrador de carga para usar un equilibrador de carga de terceros y rellene los

campos Nombre DNS virtual y Dirección IP virtual (ambos obligatorios).

• Haga clic en Usar una lista de administradores personalizada para especificar los administradores deagentes que incluye en este grupo.

Si utiliza una lista personalizada, seleccione los administradores en la lista desplegableAdministradores incluidos. Utilice + y – para agregar y eliminar administradores de agentes de la lista(cada administrador puede incluirse en más de un grupo). Utilice el control para arrastrar ysoltar, para cambiar la prioridad de los administradores. La prioridad determina con quéadministrador intentan comunicarse los agentes en primer lugar.


Gestión de grupos de administradores de agentesUtilice la siguiente tabla como referencia para realizar las tareas de gestión de grupos deadministradores habituales.Para realizar estas acciones, haga clic en Menú | Configuración | Administradores de agentes y, a continuación, enel monitor Grupos de administradores.


Acción Pasos

Eliminar un grupo deadministradores

Haga clic en Eliminar en la fila del grupo seleccionado.

Editar un grupo deadministradores

Haga clic en el grupo de administradores. Se abre la página Configuraciónde grupos de administradores de agentes, en la que puede especificar:• Nombre DNS virtual: nombre exclusivo que identifica este grupo de

administradores.

• Dirección IP virtual: la dirección IP asociada con este grupo.

• Administradores incluidos: elija si se va a utilizar un equilibrador de carga deterceros o una lista de administradores personalizada.

Utilice una lista de administradores personalizada para especificar losadministradores con los que se van a comunicar los agentes asignados aeste grupo y en qué orden.

Activar o desactivar ungrupo deadministradores

Haga clic en Activar o Desactivar en la fila del grupo seleccionado.



Desplazamiento de agentes entre administradoresAsigne agentes a administradores específicos. Puede asignar sistemas mediante las reglas deasignación de administradores de agentes, la prioridad de asignación de administradores de agentes obien, de forma individual, utilizando el árbol de sistemas.Las asignaciones de administradores pueden especificar un administrador específico o bien una lista deadministradores. La lista especificada puede estar compuesta de administradores individuales o degrupos de administradores.

Procedimientos• Agrupación de agentes mediante asignaciones de administrador de agentes en la página

96Cree asignaciones de administradores de agentes para agrupar agentes McAfee Agent.

• Agrupación de agentes por prioridad de asignación en la página 97Este procedimiento permite agrupar agentes asignarlos a un administrador de agentes queemplee prioridad de asignación.

• Agrupación de agentes mediante el árbol de sistemas en la página 98Agrupe los agentes y asígnelos a un administrador de agentes mediante el árbol desistemas.

Agrupación de agentes mediante asignaciones de administrador deagentesCree asignaciones de administradores de agentes para agrupar agentes McAfee Agent.Las asignaciones de administradores pueden especificar un administrador específico o bien una lista deadministradores. La lista especificada puede estar compuesta de administradores individuales o degrupos de administradores.

Al asignar agentes a los administradores de agentes, debe considerar la proximidad geográfica parareducir el tráfico de red innecesario.


1 Haga clic en Menú | Configuración | Administradores de agentes y, a continuación, en la regla de asignaciónde administrador adecuada.

Aparece la página Asignación de administradores de agentes.

Si en la lista solo aparece la asignación Regla de asignación predeterminada, debe crear una nuevaasignación.

2 Escriba un nombre en Nombre de la asignación.

3 Puede definir los Criterios del agente especificando ubicaciones en el árbol de sistemas, la subred delagente o de forma individual, utilizando lo siguiente:

• Ubicaciones en el árbol de sistemas: seleccione el grupo en Ubicación en el árbol de sistemas.

Puede buscar y seleccionar otros grupos en Seleccionar grupo del árbol de sistemas, y utilizar + y - paraagregar y eliminar grupos del árbol de sistemas.

• Subred del agente: en el campo de texto, escriba las direcciones IP, los intervalos de direccionesIP o las máscaras de subred.

• De forma individual: en el campo de texto, especifique la dirección IPv4/IPv6 para un sistemaconcreto.



4 Puede configurar la Prioridad de administradores como Utilizar todos los administradores de agentes o bien comoUsar una lista de administradores personalizada. Haga clic en Usar una lista de administradores personalizada y cambieel administrador de una de las formas siguientes:

• Cambie el administrador asociado añadiendo otro a la lista y eliminando el que había asociadocon anterioridad.

• Agregue otros administradores a la lista y defina la prioridad que utiliza el agente paracomunicarse con los administradores.

Si se utiliza una lista de administradores personalizada, utilice + y - para agregar y eliminaradministradores de agentes de la lista (cada administrador puede incluirse en más de un grupo).Utilice el control para arrastrar y soltar, para cambiar la prioridad de los administradores. Laprioridad determina con qué administrador intentan comunicarse los agentes en primer lugar.


Agrupación de agentes por prioridad de asignaciónEste procedimiento permite agrupar agentes asignarlos a un administrador de agentes que empleeprioridad de asignación.Las asignaciones de administradores pueden especificar un administrador específico o bien una lista deadministradores. La lista especificada puede estar compuesta de administradores individuales o degrupos de administradores. Esta lista define el orden en el que los agentes intentan comunicarseutilizando un administrador de agentes determinado.

Al asignar sistemas a los administradores de agentes, debe considerar la proximidad geográfica parareducir el tráfico de red innecesario.


1 Haga clic en Menú | Configuración | Administradores de agentes. Aparece la página Administradores de agentes.

Si en la lista solo aparece la asignación Regla de asignación predeterminada, debe crear una nuevaasignación.

2 Edite las asignaciones siguiendo los pasos del procedimiento Agrupación de agentes por reglas deasignación.

3 Si es preciso, modifique la prioridad o jerarquía de las asignaciones. Para ello, haga clic en Acciones| Editar prioridad.

Al situar una asignación en una prioridad inferior a la de otra asignación, se crea una jerarquía porla cual la asignación inferior es parte de la superior.

4 Para cambiar la prioridad de una asignación, que se muestra en la columna Prioridad de la izquierda,utilice uno de siguientes métodos:

• Arrastrar y soltar: para arrastrar la fila de la asignación hacia arriba o hacia abajo hastacolocarla en otra posición en la columna Prioridad.

• Hacer clic en Subir al principio: en las acciones rápidas, haga clic en Subir al principio para colocar laasignación seleccionada en la máxima prioridad.

5 Cuando las prioridades de las asignaciones estén configuradas correctamente, haga clic en Guardar.



Agrupación de agentes mediante el árbol de sistemasAgrupe los agentes y asígnelos a un administrador de agentes mediante el árbol de sistemas.Las asignaciones de administradores pueden especificar un administrador específico o bien una lista deadministradores. La lista especificada puede estar compuesta de administradores individuales o degrupos de administradores.

Al asignar sistemas a los administradores de agentes, debe considerar la proximidad geográfica parareducir el tráfico de red innecesario.


1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas.

2 En la columna Árbol de sistemas, vaya al sistema o grupo que desea mover.

3 Utilice el control para arrastrar y soltar sistemas desde el grupo actual, tal y como estáconfigurado, al grupo de destino.




Administración de la seguridadde la redMantener los productos de McAfee actualizados con el contenido másreciente es fundamental para proteger su empresa contra amenazas. Suservidor de McAfee ePO le ayuda a realizar esta tarea para todos lossistemas de su red.

Capítulo 9 El Árbol de sistemasCapítulo 10 EtiquetasCapítulo 11 Comunicación entre el agente y el servidorCapítulo 12 Administrador de softwareCapítulo 13 Despliegue de productosCapítulo 14 Administración de directivasCapítulo 15 Tareas clienteCapítulo 16 Tareas servidorCapítulo 17 Administración manual de paquetes y actualizacionesCapítulo 18 Eventos y respuestas


Administración de la seguridad de la red


9 El Árbol de sistemas

El Árbol de sistemas es una representación gráfica de cómo está organizada su red gestionada.

Utilice el software ePolicy Orchestrator para automatizar y personalizar la organización de sussistemas. La estructura organizativa que disponga afecta a la forma en la que se heredan eimplementan las directivas de seguridad en su entorno.

Puede organizar su Árbol de sistemas mediante cualquiera de los siguientes métodos:

• Sincronización automática con su servidor Active Directory o de domino NT.

• Clasificación basada en criterios, mediante criterios que se apliquen a los sistemas de formamanual o automática.

• Organización manual desde la consola (arrastrar y soltar).

Contenido La estructura del Árbol de sistemas Consideraciones a la hora de planificar el árbol de sistemas Sincronización con Active Directory Tipos de sincronización con Active Directory Sincronización con dominios NT Clasificación basada en criterios Cómo agregar un sistema al árbol de sistemas una vez clasificado Creación y llenado de grupos del árbol de sistemas Cómo mover sistemas dentro del árbol de sistemas Transferencia de sistemas entre servidores

La estructura del Árbol de sistemasEl Árbol de sistemas es una estructura jerárquica que organiza los sistemas de la red en grupos ysubgrupos.

La estructura predeterminada del Árbol de sistemas incluye dos grupos:

• Mi organización: es la raíz del Árbol de sistemas.

• Recolector: es el lugar donde se colocan los sistemas que no se hayan agregado o no se hayanpodido agregar a otros grupos del Árbol de sistemas.

El grupo Mi organizaciónEl grupo Mi organización es la raíz del Árbol de sistemas y contiene todos los sistemas agregados odetectados en su red (de forma manual o automática).

Hasta que cree su propia estructura, todos los sistemas se agregan al grupo Recolector.

9


El grupo Mi organización tiene las siguientes características:

• No se puede eliminar.

• No se le puede cambiar el nombre.

El grupo RecolectorEl grupo Recolector es un subgrupo del grupo Mi organización.

En función de los métodos que especifique para crear y mantener el Árbol de sistemas, el servidorutiliza características distintas para determinar dónde se colocan los sistemas. El grupo Recolectoralmacena los sistemas cuyas ubicaciones no se hayan podido determinar.

El grupo Recolector tiene las siguientes características:

• No se puede eliminar.

• No se le puede cambiar el nombre.

• Es un grupo comodín y sus criterios de clasificación no se pueden modificar, aunque sí es posibleproporcionar criterios de clasificación para los subgrupos que se creen dentro de él.

• Siempre aparece en el último lugar de la lista del árbol de sistemas y no ocupa el lugar que lecorrespondería alfabéticamente entre los componentes de su mismo nivel.

• Para poder ver el contenido del grupo Recolector, los usuarios deben disponer de permisos sobreeste grupo.

• Cuando se clasifica un sistema dentro del grupo Recolector, se coloca en un subgrupo cuyo nombredepende del dominio del sistema. Si no existe tal grupo, se crea.

Si elimina sistemas del Árbol de sistemas, asegúrese de seleccionar la opción para eliminar sus agentes.Si no se elimina el agente, los sistemas eliminados volverán a aparecer en el grupo Recolector, ya queel agente seguirá comunicándose con el servidor.

Grupos del árbol de sistemasLos grupos del Árbol de sistemas representan un conjunto de sistemas y la decisión sobre quésistemas se deben agrupar juntos depende de las necesidades específicas de su red y de su empresa.

Puede agrupar los sistemas en función del tipo de equipo (por ejemplo, portátiles, servidores uequipos de sobremesa), de criterios geográficos (por ejemplo, América del Norte o Europa), políticos(por ejemplo, Finanzas o Desarrollo) o de cualquier otro criterio que cubra sus necesidades.

Los grupos tienen las siguientes características:

• Son creados por administradores o usuarios con los permisos adecuados.

• Pueden incluir tanto sistemas como otros grupos (subgrupos).

• Son administrados por un administrador o un usuario con los permisos adecuados.

Agrupar los sistemas con propiedades o requisitos similares en estas unidades permite administrar lasdirectivas de los sistemas en un único lugar, en lugar de tener que definir directivas para cada sistemapor separado.

Como parte del proceso de planificación, considere la mejor forma de organizar los sistemas en gruposantes de crear el Árbol de sistemas.

9 El Árbol de sistemasLa estructura del Árbol de sistemas


HerenciaLa herencia es una propiedad importante que simplifica la administración de directivas y tareas.Gracias a ella, los grupos secundarios en la jerarquía del Árbol de sistemas heredan las directivasdefinidas en sus grupos principales.

Por ejemplo:

• Las directivas establecidas en el nivel de Mi organización del Árbol de sistemas son heredadas porlos grupos que se encuentren por debajo de él.

• Los subgrupos y sistemas individuales de un grupo heredan las directivas de ese grupo.

La herencia está activada de manera predeterminada para todos los grupos y sistemas individualesque se agreguen al Árbol de sistemas. Esto permite definir directivas y planificar tareas cliente enmenos ubicaciones.

No obstante, para permitir la personalización se puede interrumpir la herencia aplicando una nuevadirectiva en cualquier ubicación de Árbol de sistemas, siempre que el usuario disponga de los permisosadecuados. Para conservar la herencia, puede bloquear las asignaciones de directivas.

Consideraciones a la hora de planificar el árbol de sistemasUn árbol de sistemas eficaz y bien organizado puede facilitar enormemente las tareas demantenimiento. Son muchas las realidades de naturaleza administrativa, de red y políticas quedeterminan la forma de estructurar el árbol de sistemas.

Antes de crear y llenar el árbol de sistemas, planifique su organización. Especialmente en el caso deredes de gran tamaño, la situación ideal es crear el árbol de sistemas sólo una vez.

Dado que cada red es distinta y requiere directivas distintas (y posiblemente incluso unaadministración diferente), McAfee recomienda que se planifique el árbol de sistemas antes deimplementar el software de McAfee ePO.

Independientemente de los métodos que elija para crear y llenar el árbol de sistemas, estudie suentorno cuando planifique su organización.

Acceso de administradorCuando planifique la organización del árbol de sistemas, debe tener en cuenta los requisitos de accesode los usuarios que deben administrar los sistemas.

Por ejemplo, es posible que la administración de la red de su organización esté descentralizada, y lasresponsabilidades sobre las distintas partes de misma estén repartidas entre administradoresdiferentes. Por motivos de seguridad, puede que no disponga de una cuenta de administrador conacceso a toda la red. Si éste es el caso, lo más probable es que no pueda definir directivas nidesplegar agentes mediante una sola cuenta de administrador. Por lo tanto, puede que tenga queorganizar el árbol de sistemas en grupos basados en estas divisiones, y crear cuentas y conjuntos depermisos.

Considere estas cuestiones:

• ¿Quién es el responsable de la administración de cada sistema?

• ¿Quién necesita acceso para ver información sobre los sistemas?

• ¿Quién no debe tener acceso a los sistemas ni a la información sobre los mismos?

El Árbol de sistemasConsideraciones a la hora de planificar el árbol de sistemas 9


Estas cuestiones afectan a la organización del árbol de sistemas y a los conjuntos de permisos que secrean y aplican a las cuentas de usuario.

Límites del entorno y su efecto en la organización de sistemasLa manera de organizar los sistemas para su administración depende de los límites que existan en lared. Estos límites afectan a la organización del árbol de sistemas de forma distinta que a laorganización de la topología de la red.

Le recomendamos que evalúe estos condicionantes de su red y organización y decida si hay quetenerlos en cuenta a la hora de definir la organización del árbol de sistemas.

Límites topológicos

La red está definida por dominios NT o contenedores de Active Directory. Cuanto mejor organizadoesté el entorno de red, más fácil es crear y mantener el árbol de sistemas utilizando las funciones desincronización.

Límites geográficos

La gestión de la seguridad requiere un equilibrio permanente entre protección y rendimiento. Organiceel árbol de sistemas para aprovechar al máximo el ancho de banda de red cuando este sea limitado.Considere cómo se conecta el servidor a todos los componentes de la red, en especial a lasubicaciones remotas que utilizan conexiones WAN o VPN más lentas en lugar de conexiones LAN másrápidas. Puede que desee configurar de manera distinta las directivas de actualización y decomunicación agente-servidor de los sitios remotos con el fin de minimizar el tráfico de red a través deconexiones más lentas.

Límites políticos

Muchas redes de gran tamaño tienen creadas divisiones por individuos o grupos que tienen laresponsabilidad de administrar partes diferentes de la red. En ocasiones, estos límites no coincidencon los límites topológicos o geográficos. En función de las personas que acceden y administran lossegmentos del árbol de sistemas, variará la forma en que se organice su estructura.

Límites funcionales

Algunas redes están divididas por las funciones que desempeñan quienes las utilizan; por ejemplo,Ventas e Ingeniería. Incluso si la red no está divididas por límites funcionales, es posible que debaorganizar los segmentos del árbol de sistemas por funciones si hay grupos distintos que requierendirectivas diferentes.

Es posible que un grupo de la empresa ejecute software específico que requiera directivas deseguridad especiales. Por ejemplo, organizando sus servidores de correo electrónico Exchange Serveren un grupo y definiendo exclusiones específicas para el análisis en tiempo real.

Subredes e intervalos de direcciones IPEn muchos casos, las unidades organizativas de una red utilizan subredes o intervalos de direccionesIP específicos, por lo que puede crear un grupo para una ubicación geográfica y establecer filtros IPpara él. Además, si la red no está dispersa geográficamente, puede utilizar su ubicación, como ladirección IP, como mecanismo de agrupamiento principal.

Si es posible, considere el uso de criterios de clasificación basados en la información sobre direccionesIP para automatizar la creación y el mantenimiento del árbol de sistemas. Defina criterios con máscarasde subred IP e intervalos de direcciones IP para los grupos que desee del árbol de sistemas. Estos filtrosllenan de forma automática las ubicaciones con los sistemas apropiados.

9 El Árbol de sistemasConsideraciones a la hora de planificar el árbol de sistemas


Sistemas operativos y softwareConsidere la posibilidad de agrupar los equipos con sistemas operativos similares para hacer más fácilla gestión de los productos y directivas específicos del sistema operativo. Si tiene sistemas heredados,puede crear un grupo para ellos y desplegar y administrar productos de seguridad en estos sistemas,por separado. Además, si asigna una etiqueta a cada uno de estos sistemas, puede ordenarlosautomáticamente en estos grupos.

Etiquetas y sistemas con características similaresPuede utilizar etiquetas y grupos de etiquetas par a automatizar la clasificación en grupos.

Las etiquetas identifican sistemas con características similares. Si puede organizar los grupos segúnsus características, podrá crear y asignar etiquetas basadas en esos criterios y utilizarlas como criteriode clasificación de los grupos para garantizar que los sistemas se coloquen automáticamente en losgrupos adecuados.

Si es posible, utilice criterios de clasificación basados en etiquetas para rellenar automáticamente losgrupos con los sistemas apropiados. Además, para facilitar la clasificación de los sistemas, puede creargrupos de etiquetas anidados hasta cuatro niveles, con un máximo de 1000 subgrupos de etiquetas encada nivel. Por ejemplo, si los sistemas están organizados por ubicación geográfica, tipo de chasis(servidor, estación de trabajo o portátil), función del sistema (servidor web, SQL o servidor deaplicaciones) y usuario, podría tener estos grupos de etiquetas:

Ubicación Tipo de chasis Plataforma Usuarios

Madrid Sobremesa Windows General

Portátil Macintosh Ventas

Formación

Windows Contabilidad

Administración

Servidores Linux Corporativo

Windows Corporativo

SQL Corporativo

Barcelona Sobremesa Windows General

Portátil Macintosh Ventas

Formación

Windows Contabilidad

Administración

Servidores Linux Corporativo

Windows Corporativo

SQL Corporativo

Sincronización con Active DirectorySi su red ejecuta Active Directory, puede utilizar la sincronización con Active Directory para crear,rellenar y mantener parte del Árbol de sistemas.

Una vez definidas, el Árbol de sistemasse actualiza con los nuevos sistemas (y contenedoressecundarios) de Active Directory.

El Árbol de sistemasSincronización con Active Directory 9


Aproveche la integración con Active Directory para realizar estas tareas de gestión de sistemas:

• Sincronizar con la estructura de Active Directory importando los sistemas y los contenedoressecundarios de Active Directory (como grupos del Árbol de sistemas) y manteniéndolosactualizados con Active Directory. En cada sincronización, en el Árbol de sistemas se actualizantanto los como la estructura para reflejar los sistemas y la estructura de Active Directory.

• Importar sistemas del contenedor de Active Directory (y sus contenedores secundarios) al gruposincronizado como una lista lineal.

• Determinar qué se debe hacer con las posibles entradas de sistemas duplicadas.

• Utilizar la descripción de los sistemas, que se incluye al importarlos de Active Directory.

Utilice este procedimiento para integrar el Árbol de sistemas con la estructura de sistemas de ActiveDirectory:

1 Configure las opciones de sincronización en todos los grupos que sean un punto de asignación en elÁrbol de sistemas. En el mismo lugar, configure si desea:

• Desplegar agentes en los sistemas descubiertos.

• Eliminar sistemas del Árbol de sistemas cuando se eliminan en Active Directory.

• Permitir o no permitir entradas de sistemas duplicadas que existen en otro lugar del Árbol desistemas.

2 Utilice la acción Sincronizar ahora para importar los sistemas (y tal vez la estructura) de ActiveDirectory al Árbol de sistemas según la configuración de sincronización.

3 Utilice una tarea servidor Sincronización con Active Directory/Dominio NT para sincronizar de formaregular los sistemas (y tal vez la estructura de Active Directory) con el Árbol de sistemas según laconfiguración de sincronización.

Tipos de sincronización con Active DirectoryHay dos tipos de sincronización con Active Directory (solo sistemas, y sistemas y estructura). La queutilice dependerá del nivel de integración que desee con Active Directory.

Cada tipo permite controlar la sincronización seleccionando:

• Desplegar agentes automáticamente en los sistemas nuevos de ePolicy Orchestrator. Quizá prefierano activar esta función en la sincronización inicial si va a importar un gran número de sistemas ydispone de un ancho de banda limitado. El MSI del agente tiene un tamaño aproximado de 6 MB.No obstante, tal vez desee desplegar los agentes automáticamente en todos los sistemas nuevosque se descubran en Active Directory durante las sincronizaciones posteriores.

• Eliminar sistemas de ePolicy Orchestrator (y posiblemente eliminar sus agentes) cuando seeliminen en Active Directory.

• Evitar agregar sistemas al grupo si existen en algún otro lugar del árbol de sistemas. Esto permiteque no se creen sistemas duplicados si se mueve o clasifica de forma manual el sistema en otrogrupo.

• Excluir determinados contenedores de Active Directory de la sincronización. Estos contenedores ysus sistemas se ignoran durante la sincronización.

Sistemas y estructuraCuando se utiliza este tipo de sincronización, los cambios que se realizan en la estructura de ActiveDirectory se aplican a la estructura del árbol de sistemas durante la siguiente sincronización. Cuando

9 El Árbol de sistemasTipos de sincronización con Active Directory


se agregan, mueven o eliminan sistemas o contenedores en Active Directory, se agregan, mueven oeliminan también en los lugares correspondientes del árbol de sistemas.

Cuándo utilizar este tipo de sincronización

La sincronización se utiliza para garantizar que el árbol de sistemas (o partes del mismo) tenga unaspecto idéntico al de la estructura de Active Directory.

Si la organización de Active Directory encaja con las necesidades de administración de seguridad delárbol de sistemas y desea que este conserve el mismo aspecto que la estructura de Active Directory,utilice este tipo de sincronización en todas las sincronizaciones.

Solo sistemas (como lista lineal)Utilice este tipo de sincronización para importar los sistemas desde un contenedor de Active Directory,incluidos los de los contenedores secundarios no excluidos, al grupo asignado del árbol de sistemascomo una lista lineal. Entonces puede mover estos sistemas a las ubicaciones adecuadas del árbol desistemas mediante la asignación de criterios de clasificación a los grupos.

Si elige este tipo de sincronización, asegúrese de seleccionar la opción para evitar agregar sistemasotra vez si ya existen en algún lugar del árbol de sistemas. De este modo, impedirá que se dupliquenentradas de sistemas en el árbol.

Cuándo utilizar este tipo de sincronización

Utilice este tipo de sincronización cuando utilice Active Directory como origen habitual de sistemaspara ePolicy Orchestrator, pero sus necesidades organizativas de administración de seguridad nocoincidan con la estructura de contenedores y sistemas de Active Directory.

Sincronización con dominios NTUtilice los dominios NT de su entorno como origen para llenar el árbol de sistemas. Al sincronizar ungrupo con un dominio NT, todos los sistemas del dominio se incluyen en el grupo en forma de listalineal. Puede gestionar estos sistemas en ese único grupo o bien, si sus necesidades organizativas sonmás específicas, crear subgrupos. Utilice un método; por ejemplo, la clasificación automática, parallenar estos subgrupos automáticamente.

Si mueve sistemas a otros grupos o subgrupos del árbol de sistemas, asegúrese de seleccionar laopción que impida volver a agregar sistemas que ya existan en otros lugares del árbol. De este modo,impedirá que se dupliquen entradas de sistemas en el árbol.

A diferencia de la sincronización con Active Directory, en la sincronización con dominios NT solo sesincronizan los nombres de los sistemas; las descripciones de los sistemas no se sincronizan.

Clasificación basada en criteriosAl igual que en versiones anteriores de ePolicy Orchestrator, se puede utilizar información dedirecciones IP para ordenar automáticamente los sistemas gestionados en grupos concretos. Tambiénes posible crear criterios de clasificación por etiquetas, es decir, indicadores que pueden asignarse alos sistemas. Puede utilizar uno o ambos tipos de criterios para colocar los sistemas en el lugaradecuado en el árbol de sistemas.

Para incluir un sistema en un grupo, basta con que cumpla uno de los criterios de clasificación dedicho grupo.

El Árbol de sistemasSincronización con dominios NT 9


Después de crear los grupos y definir los criterios de clasificación, puede realizar una prueba paraconfirmar que los criterios y el orden de clasificación obtienen los resultados previstos.

Tras añadir criterios de clasificación a los grupos, puede utilizar la acción Ordenar ahora. Esta accióntraslada los sistemas seleccionados al grupo adecuado. Los sistemas que no cumplen los criterios declasificación de ningún grupo se envían al grupo Lost&Found.

Los nuevos sistemas que se conectan al servidor por primera vez se añaden automáticamente al grupoadecuado. Sin embargo, si define criterios de clasificación tras la comunicación inicial entre el agente yel servidor, debe ejecutar la acción Ordenar ahora con esos sistemas, para moverlos inmediatamente algrupo apropiado o esperar a la siguiente comunicación entre el agente y el servidor.

Estado de clasificación de los sistemas

La clasificación del árbol de sistemas puede activarse y desactivarse en cualquier sistema o conjuntosde sistemas. Si desactiva la clasificación del árbol de sistemas para un sistema, este se excluye de lasacciones de clasificación, excepto cuando se realiza la acción Prueba de clasificación. Cuando se realizauna prueba de clasificación, se considera el estado de clasificación del sistema y puede moverse uordenarse en la página Prueba de clasificación.

Configuración de la clasificación del árbol de sistemas en el servidor de McAfeeePO

Para llevar a cabo la clasificación, esta debe haberse activado en el servidor y en los sistemas. Laclasificación de sistemas una vez está activada de forma predeterminada. En consecuencia, lossistemas se clasifican en la primera comunicación agente-servidor (o después, si se aplican cambios alos sistemas existentes) y no se vuelven a clasificar.

Prueba de clasificación de sistemas

Utilice esta función para ver dónde se situarían los sistemas durante una acción de clasificación. Lapágina Prueba de clasificación muestra los sistemas y las rutas a la ubicación en la que se situarían.Aunque no muestra el estado de clasificación de los sistemas, si selecciona sistemas en la página(aunque tengan la clasificación desactivada), al hacer clic en Mover sistemas, estos se sitúan en laubicación identificada.

9 El Árbol de sistemasClasificación basada en criterios


Cómo afecta la configuración en la clasificaciónHay tres parámetros de configuración del servidor que determinan si los sistemas deben ordenarse yen qué momento. También es posible determinar si un sistema en particular se va a ordenar,activando o desactivando la clasificación del árbol de sistemas en el sistema en cuestión.

Parámetros de configuración del servidor

El servidor tiene tres parámetros de configuración:

• Desactivar clasificación del árbol de sistemas: si la clasificación por criterios no es adecuada para susnecesidades de administración de seguridad y desea utilizar otras funciones del árbol de sistemaspara organizar los sistemas (como la sincronización con Active Directory), desactive aquí estafunción para impedir que otros usuarios de McAfee ePO configuren por error criterios declasificación en grupos y sitúen los sistemas en lugares inapropiados.

• Ordenar los sistemas tras cada comunicación agente-servidor: los sistemas se vuelven a ordenar cada vez quese produce una comunicación entre el agente y el servidor. Cuando se modifican los criterios declasificación en los grupos, los sistemas se sitúan en el nuevo grupo en la siguiente comunicaciónentre el agente y el servidor.

• Ordenar los sistemas una vez: los sistemas se ordenan en la siguiente comunicación entre el agente y elservidor, y se marcan para no volver a ordenarse durante estas comunicaciones mientras estéseleccionada esta opción. Sin embargo, estos sistemas pueden ordenarse, seleccionándolos yhaciendo clic en Ordenar ahora.

Parámetros de configuración de sistemas

La clasificación del árbol de sistemas puede activarse o desactivarse en cualquier sistema. Si estádesactivada en un sistema, este no se ordenará sea cual sea el método elegido. Sin embargo, estesistema se puede clasificar mediante la acción Prueba de clasificación. Si está activada en un sistema,dicho sistema se ordena siempre con la acción manual Ordenar ahora y también puede ordenarsedurante la comunicación entre el agente y el servidor, dependiendo de los parámetros de clasificacióndel árbol de sistemas elegidos para el servidor.

Criterios de clasificación por direcciones IPEn muchas redes, la información de subredes y direcciones IP refleja diferencias organizativas, comola ubicación geográfica o la función del cargo. Si la organización por direcciones IP coincide con susnecesidades, considere el uso de esta información para crear y mantener parcial o totalmente laestructura del árbol de sistemas estableciendo para dichos grupos criterios de clasificación pordirecciones IP.

En esta versión de ePolicy Orchestrator, esta funcionalidad ha cambiado; ahora permite especificar loscriterios de clasificación por IP de forma aleatoria en todo el árbol. Ya no necesita asegurar que loscriterios de clasificación de direcciones IP del grupo descendiente sea un subconjunto de los delascendiente, siempre que el ascendiente no tenga criterios asignados. Una vez realizada laconfiguración, puede ordenar los sistemas cuando se lleve a cabo la comunicación entre el agente y elservidor, o solo cuando se inicie manualmente una acción de clasificación.

Los criterios de clasificación por direcciones IP no deben solaparse entre los diferentes grupos. Cadaintervalo IP o máscara de subred de los criterios de clasificación de un grupo determinado debe cubrirun conjunto exclusivo de direcciones IP. Si los criterios se solapan, el grupo en el que acaben lossistemas dependerá del orden de los subgrupos en la ficha Árbol de sistemas | Detalles del grupo. Paracomprobar si hay IP solapadas, utilice la acción Comprobar integridad de IP de la ficha Detalles del grupo.

El Árbol de sistemasClasificación basada en criterios 9


Criterios de clasificación basados en etiquetasAdemás de utilizar la información de direcciones IP para ordenar los sistemas en los gruposadecuados, también puede definir criterios de clasificación basados en las etiquetas asignadas a lossistemas.Para ordenar es posible combinar los criterios basados en etiquetas con los basados en direcciones IP.

El orden de los grupos y la clasificaciónPara obtener mayor flexibilidad a la hora de administrar el árbol de sistemas, puede configurar elorden de los subgrupos dentro de un grupo. Este orden de clasificación determina el orden en el quese considerarán los subgrupos cuando se vayan a situar un sistema.En casos en los que varios subgrupos cumplan los criterios, si se cambia este orden también puedecambiar la posición final del sistema en el árbol de sistemas.

Tenga en cuenta además que si utiliza grupos comodín, estos deberán ser el último subgrupo de lalista.

Grupos comodínLos grupos comodín son aquellos cuyos criterios de clasificación están definidos como Todos los demás enla página Criterios de clasificación del grupo. Solo pueden ser grupos comodín los subgrupos situados en laúltima posición en el orden de clasificación. Estos grupos reciben todos los sistemas que, aunque seclasificaron en el grupo ascendiente, no se clasificaron en ninguno de los otros componentes delmismo nivel.

Cómo agregar un sistema al árbol de sistemas una vezclasificado

La primera vez que el agente se comunica con el servidor, este utiliza un algoritmo para colocar elsistema en el árbol de sistemas. Si no encuentra ninguna ubicación adecuada para un sistema, loincluye en el grupo Lost&Found (Recolector).En cada comunicación agente-servidor, el servidor intenta colocar el sistema en el árbol de sistemassegún el GUID del agente (solo los sistemas cuyos agentes ya se han comunicado con el servidortienen un GUID de agente en la base de datos). Si se encuentra un sistema coincidente, se deja en suubicación actual.

Si no se encuentra, el servidor utiliza un algoritmo para asignar los sistemas a los grupos adecuados.El sistema puede colocarse en cualquier grupo basado en criterios del árbol de sistemas, por profundoque esté en la estructura, siempre que ninguno de sus grupos ascendientes tenga criterios que no secumplan. Los grupos ascendientes de un subgrupo basado en criterios no deben tener ningún criterioo bien deben tener criterios que se cumplan.

El orden de clasificación asignado a cada subgrupo (definido en la ficha Detalles del grupo) determina elorden en el que el servidor considera los subgrupos cuando busca un grupo con criterios que secumplan.

1 El servidor busca un sistema sin GUID de agente (el agente no se ha comunicado todavía) y con unnombre coincidente, en un grupo con el mismo nombre que el dominio. Si lo encuentra, coloca elsistema en ese grupo. Esto puede ocurrir después de la primera sincronización con Active Directoryo con dominios NT, o bien cuando se agregan sistemas manualmente al árbol de sistemas.

2 Si no encuentra ningún sistema coincidente, el servidor busca un grupo con el mismo nombre queel dominio de origen del sistema. Si no encuentra ninguno, crea uno en el grupo Lost&Found(Recolector) y coloca el sistema ahí.

9 El Árbol de sistemasCómo agregar un sistema al árbol de sistemas una vez clasificado


3 Las propiedades del sistema se actualizan.

4 El servidor aplica al sistema todas las etiquetas basadas en criterios si el servidor está configuradopara ejecutar los criterios de clasificación en cada comunicación agente-servidor.

5 Lo que ocurre a continuación depende de si está activada la clasificación del árbol de sistemastanto en el servidor como en el sistema.

• Si la clasificación del árbol de sistemas está desactivada en el servidor o en el sistema, elsistema permanece donde está.

• Si la clasificación del árbol de sistemas está activada en el servidor y en el sistema, la ubicacióndel sistema se basa en los criterios de clasificación de los grupos del árbol de sistemas.

Los sistemas que se agregan mediante la sincronización con Active Directory o con dominios NTtienen la clasificación del árbol de sistemas desactivada de forma predeterminada, para que nose ordenen en la primera comunicación agente-servidor.

6 El servidor considera los criterios de clasificación de todos los grupos de primer nivel según suorden de clasificación en la ficha Detalles del grupo del grupo Mi organización. El sistema se coloca enel primer grupo que cumple los criterios o en el grupo comodín que considere.

• Una vez clasificado en un grupo, el servidor considera todos sus subgrupos para ver si cumplenlos criterios, en el orden de clasificación que tengan en la ficha Detalles del grupo.

• Esto continúa hasta que no haya subgrupos con criterios coincidentes para el sistema y este secoloca en el último grupo que cumpla los criterios que se haya encontrado.

7 Si no se encuentra ese grupo de primer nivel, entonces se consideran los subgrupos de los gruposde primer nivel (sin criterios de clasificación) en función de su clasificación.

8 Si tampoco se encuentran grupos de segundo nivel basados en criterios, se consideran los gruposde tercer nivel basados en criterios, pertenecientes a grupos de segundo nivel sin restricciones.

Los subgrupos de los grupos con criterios que no se cumplen no se consideran. Un grupo debe tenercriterios que se cumplen o bien no tener criterios para que sus subgrupos se consideren para unsistema.

9 Este proceso continúa por el árbol de sistemas hasta que un sistema se clasifica en un grupo.

Si en la configuración del servidor, en la clasificación del árbol de sistemas, se ha especificadoordenar solo en la primera comunicación agente-servidor, se incluye un indicador en el sistema. Esteindicador significa que el sistema no se volverá a ordenar en una comunicación agente-servidor,hasta que se cambie la configuración del servidor para activar la clasificación en cada comunicaciónagente-servidor.

10 Si el servidor no puede ordenar el sistema en ningún grupo, lo incluye en el grupo Lost&Found(Recolector) de un subgrupo que toma el nombre del dominio.

Creación y llenado de grupos del árbol de sistemasCree grupos del árbol de sistemas y llénelos con sistemas, ya sea especificando nombres NetBIOS desistemas concretos o importando sistemas directamente desde la red.

También puede llenar los grupos arrastrando los sistemas seleccionados a cualquier grupo del árbol desistemas. Puede utilizar también este método para mover grupos y subgrupos en el árbol de sistemas.

El Árbol de sistemasCreación y llenado de grupos del árbol de sistemas 9


No existe una forma única de organizar un árbol de sistemas y, puesto que cada red es distinta, laorganización del árbol de sistemas será tan exclusiva como el diseño de la red. Aunque no va a utilizartodos y cada uno de los métodos que se ofrecen, sí puede utilizar más de uno.

Por ejemplo, si utiliza Active Directory en la red, probablemente lo que haría es importar loscontenedores de Active Directory en lugar de los dominios NT. Si su organización de Active Directory oNT no encaja con la gestión de seguridad, tal vez prefiera generar el árbol de sistemas en un archivode texto y luego importar el archivo al árbol de sistemas. Si dispone de una red más pequeña, puedecrear el árbol de sistemas personalmente y luego agregar los sistemas uno a uno de forma manual.

Procedimientos• Creación manual de grupos en la página 112

Cree subgrupos en el Árbol de sistemas. Rellene estos subgrupos con sistemas, ya seaespecificando nombres NetBIOS de sistemas concretos o importando sistemasdirectamente desde la red.

• Incorporación manual de sistemas a un grupo existente en la página 113Este procedimiento permite importar sistemas desde el entorno de red a grupos. Tambiénpuede importar un dominio de red o contenedor de Active Directory.

• Exportación de sistemas del árbol de sistemas en la página 114Puede exportar una lista de sistemas del árbol de sistemas a un archivo .txt para su uso enel futuro. Exporte a nivel de grupo o de subgrupo conservando la organización del árbol desistemas.

• Importación de sistemas desde un archivo de texto en la página 115Estos procedimientos permiten crear un archivo de texto con los sistemas y grupos quevaya a importar al árbol de sistemas.

• Clasificación de sistemas en grupos basados en criterios en la página 116Configure e implemente la clasificación para agrupar sistemas. Para ordenar sistemas engrupos, debe estar activada la clasificación en el servidor y en los sistemas y se debenhaber configurado los criterios y el orden de clasificación de los grupos.

• Importación de contenedores de Active Directory en la página 118Importe sistemas de contenedores de Active Directory directamente a su Árbol de sistemasasignando los contenedores de origen de Active Directory a los grupos del Árbol de sistemas.

• Importación de dominios NT a un grupo existente en la página 120Importe sistemas desde un dominio NT a un grupo que haya creado manualmente.

• Planificación de la sincronización del Árbol de sistemas en la página 122Planifique una tarea servidor que actualice el Árbol de sistemas con los cambios del dominio ocontenedor de Active Directory asignado.

• Actualización manual de un grupo sincronizado con un dominio NT en la página 122Este procedimiento permite actualizar un grupo sincronizado con cambios con el dominioNT asociado.

Creación manual de gruposCree subgrupos en el Árbol de sistemas. Rellene estos subgrupos con sistemas, ya sea especificandonombres NetBIOS de sistemas concretos o importando sistemas directamente desde la red.


9 El Árbol de sistemasCreación y llenado de grupos del árbol de sistemas


Procedimiento1 Abra el cuadro de diálogo Nuevos subgrupos.

a Haga clic en Menú | Sistemas | Árbol de sistemas.

b Seleccione un grupo.

c Haga clic en Nuevos subgrupos.

Puede crear varios subgrupos a la vez.

2 Escriba un nombre y haga clic en Aceptar. El nuevo grupo aparece en el Árbol de sistemas.

3 Repita este procedimiento cuantas veces sea necesario hasta que esté listo para rellenar los gruposcon sistemas. Agregue sistemas a los grupos del Árbol de sistemas:

• Escribir personalmente el nombre de los sistemas.

• Importarlos de dominios NT o contenedores de Active Directory. Para facilitar su mantenimiento,puede sincronizarlos regularmente con el grupo.

• Definir en los grupos criterios de clasificación basados en etiquetas o en direcciones IP. Cuandolos agentes se conecten desde sistemas con direcciones IP o etiquetas coincidentes, secolocarán automáticamente en el grupo adecuado.

Incorporación manual de sistemas a un grupo existenteEste procedimiento permite importar sistemas desde el entorno de red a grupos. También puedeimportar un dominio de red o contenedor de Active Directory.


Procedimiento1 Abra la página Sistemas nuevos.


b Haga clic en Sistemas nuevos.

2 Seleccione si desea desplegar el McAfee Agent en los nuevos sistemas y si estos se deben agregaral grupo seleccionado o bien a un grupo de acuerdo con criterios de clasificación.

3 Junto a Sistemas de destino, escriba en el cuadro de texto los nombres NetBIOS de cada sistemaseparados por comas, espacios o saltos de línea. También puede hacer clic en Examinar paraseleccionar los sistemas.



4 Si ha seleccionado Insertar agentes y agregar sistemas al grupo actual, puede activar la clasificaciónautomática del Árbol de sistemas. Haga esto para aplicar los criterios de clasificación a los sistemas.

Especifique las siguientes opciones:

Opción Acción

Versión del agente Seleccione la versión del agente que se va a desplegar.

Ruta de instalación Configure la ruta de instalación del agente o acepte lapredeterminada.

Credenciales para instalación delagente

Especifique credenciales válidas para instalar el agente.

Número de intentos Introduzca un número entero y utilice el cero para los intentoscontinuos.

Intervalo de reintentos Introduzca el número de segundos que transcurrirán entrereintentos.

Anular tras Indique el número de minutos que transcurrirán antes de anular laconexión.

Insertar agente mediante Seleccione un administrador de agentes específico o bien todos losadministradores de agentes.


Exportación de sistemas del árbol de sistemasPuede exportar una lista de sistemas del árbol de sistemas a un archivo .txt para su uso en el futuro.Exporte a nivel de grupo o de subgrupo conservando la organización del árbol de sistemas.

Puede resultar útil tener una lista de sistemas del árbol de sistemas. Puede importar esta lista a suservidor de McAfee ePO para restaurar rápidamente su estructura y organización anterior.

Este procedimiento no elimina sistemas de su árbol de sistemas. Crea un archivo .txt que contiene losnombres y la estructura de sistemas de su árbol de sistemas.


1 Haga clic en Menú | Sistemas | Árbol de sistemas. Aparece la página Árbol de sistemas.

2 Seleccione el grupo o subgrupo que contiene los sistemas que desea exportar y haga clic enAcciones en los sistemas | Exportar sistemas. Aparece la página Exportar sistemas.

3 Seleccione si desea exportar:

• Todos los sistemas de este grupo: exporta los sistemas del Grupo de origen especificado, pero no exportalos sistemas de los grupos incluidos debajo de este nivel.

• Todos los sistemas de este grupo y sus subgrupos: exporta todos los sistemas de este nivel y de losniveles situados debajo de él.


Se abre la página Exportar. Puede hacer clic en el vínculo sistemas para ver la lista de sistemas ohacer clic con el botón secundario del ratón en el vínculo para guardar una copia del archivoExportSystems.txt.



Importación de sistemas desde un archivo de textoEstos procedimientos permiten crear un archivo de texto con los sistemas y grupos que vaya aimportar al árbol de sistemas.

Procedimientos• Creación de un archivo de texto con grupos y sistemas en la página 115

Este procedimiento permite crear un archivo de texto con los nombres NetBIOS de lossistemas de la red que desee importar a un grupo. Puede importar una lista lineal desistemas o bien organizarlos en grupos.

• Importación de sistemas y grupos desde un archivo de texto en la página 115Importe sistemas o grupos de sistemas al Árbol de sistemas desde un archivo de texto quehaya creado y guardado.

Creación de un archivo de texto con grupos y sistemasEste procedimiento permite crear un archivo de texto con los nombres NetBIOS de los sistemas de lared que desee importar a un grupo. Puede importar una lista lineal de sistemas o bien organizarlos engrupos.

Defina los grupos y sistemas que contienen especificando el nombre del grupo y los nombres de lossistemas en un archivo de texto. A continuación, importe esa información a ePolicy Orchestrator. En elcaso de redes de gran tamaño, debe disponer de utilidades de red, como NETDOM.EXE, disponible conel Kit de recursos de Microsoft Windows, para generar archivos de texto completos que contengan lalista completa de los sistemas de la red. Una vez creado el archivo de texto, puede editarlomanualmente para crear grupos de sistemas e importar la estructura completa al árbol de sistemas.

Independientemente de cómo genere el archivo de texto, debe utilizar la sintaxis correcta antes deimportarlo.

Procedimiento1 Los sistemas deben aparecer separados en distintas líneas. Para organizar los sistemas en grupos,

especifique el nombre del grupo seguido de una barra invertida (\) y, a continuación, indiquedebajo de él los sistemas que pertenecen a ese grupo, cada uno en una línea distinta.

GrupoA\sistema1

GrupoA\sistema2

GrupoA\GrupoB\sistema3

GrupoC\GrupoD

2 Compruebe los nombres de los grupos y sistemas, así como la sintaxis del archivo de texto y, acontinuación, guarde el archivo en una carpeta temporal del servidor.

Importación de sistemas y grupos desde un archivo de textoImporte sistemas o grupos de sistemas al Árbol de sistemas desde un archivo de texto que haya creado yguardado.


Procedimiento1 Abra la página Sistemas nuevos.


b Haga clic en Sistemas nuevos.

2 Seleccione Importar sistemas desde un archivo de texto al grupo seleccionado, pero no insertar los agentes.



3 Seleccione si el archivo de importación contiene:

• Sistemas y estructura del árbol de sistemas

• Solo sistemas (como lista lineal)

4 Haga clic en Examinar y seleccione el archivo de texto.

5 Seleccione qué desea hacer con los sistemas que ya existen en otra ubicación del Árbol de sistemas.


Los sistemas se importan al grupo seleccionado en el Árbol de sistemas. Si su archivo de texto tieneorganizados los sistemas en grupos, el servidor crea los grupos e importa los sistemas apropiados.

Clasificación de sistemas en grupos basados en criteriosConfigure e implemente la clasificación para agrupar sistemas. Para ordenar sistemas en grupos, debeestar activada la clasificación en el servidor y en los sistemas y se deben haber configurado loscriterios y el orden de clasificación de los grupos.

Procedimientos• Cómo agregar criterios de clasificación a grupos en la página 116

Los criterios de clasificación de los grupos del árbol de sistemas pueden basarse eninformación de direcciones IP o en etiquetas.

• Activación de la clasificación del Árbol de sistemas en el servidor en la página 117Para ordenar los sistemas, debe estar activada la clasificación del Árbol de sistemas tantoen el servidor como en los sistemas.

• Activación o desactivación de la clasificación del árbol de sistemas en los sistemas en lapágina 117El estado de clasificación de un sistema determina si puede ordenarse en un grupo segúncriterios.

• Clasificación manual de sistemas en la página 118Puede ordenar los sistemas seleccionados en grupos mediante la clasificación basada encriterios.

Cómo agregar criterios de clasificación a gruposLos criterios de clasificación de los grupos del árbol de sistemas pueden basarse en información dedirecciones IP o en etiquetas.


1 Haga clic en Menú | Sistemas | Árbol de sistemas | Detalles del grupo y seleccione el grupo que desee en elárbol de sistemas.

2 Haga clic en Editar junto a Criterios de clasificación. Aparece la página Criterios de clasificación del gruposeleccionado.

3 Seleccione Sistemas que cumplen alguno de los criterios, a continuación, aparecen las selecciones decriterios.

Aunque para un grupo pueden configurarse varios criterios de clasificación, basta con que unsistema cumpla uno de los criterios para ser incluido en él.



4 Configure los criterios. Las opciones incluyen:

• Direcciones IP: utilice este cuadro de texto para definir un intervalo de direcciones IP o máscara desubred como criterio de clasificación. Los sistemas cuya dirección esté incluida en el intervalo omáscara se clasifican en este grupo.

• Etiquetas: agregue etiquetas específicas para garantizar que los sistemas que las tengan y que secoloquen en el grupo ascendiente, se clasifican en este grupo.

5 Repita el procedimiento cuantas veces sea necesario hasta haber reconfigurado todos los criteriosde clasificación del grupo y, a continuación, haga clic en Guardar.

Activación de la clasificación del Árbol de sistemas en el servidorPara ordenar los sistemas, debe estar activada la clasificación del Árbol de sistemas tanto en elservidor como en los sistemas.

Si en la siguiente tarea opta por ordenar solo durante la primera comunicación agente-servidor, todoslos sistemas activados se ordenan en la siguiente comunicación y no se vuelven a ordenar mientrasesta opción esté seleccionada. No obstante, estos sistemas se pueden volver a ordenar de formamanual si se ejecuta la acción Ordenar ahora o se cambia esta configuración para ordenar en todas lascomunicaciones agente-servidor.

Si opta por ordenar en todas las comunicaciones agente-servidor, todos los sistemas activados seordenan en cada comunicación mientras esta opción esté seleccionada.


1 Haga clic en Menú | Configuración | Configuración del servidor y, a continuación, seleccione Clasificación delárbol de sistemas en la lista Categorías de configuración y haga clic en Editar.

2 Seleccione si desea ordenar los sistemas únicamente en la primera comunicación agente-servidor oen todas ellas.

Activación o desactivación de la clasificación del árbol de sistemas en lossistemasEl estado de clasificación de un sistema determina si puede ordenarse en un grupo según criterios.

Es posible cambiar el estado de clasificación de los sistemas en cualquier tabla (como los resultadosde una consulta) o, automáticamente, en los resultados de una consulta planificada.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione los sistemas que

desee.

2 Haga clic en Acciones | Administración del Directorio | Cambiar estado de clasificación y, a continuación,seleccione si desea activar o desactivar la clasificación del árbol de sistemas en los sistemasseleccionados.

3 En el cuadro de diálogo Cambiar estado de clasificación, seleccione si desea activar o desactivar laclasificación del árbol de sistemas en el sistema seleccionado.

Dependiendo de la configuración de clasificación del árbol de sistemas del servidor, estos sistemasse ordenarán en la siguiente comunicación agente-servidor. De otra forma, solo pueden ordenarsemediante la acción Ordenar ahora.



Clasificación manual de sistemasPuede ordenar los sistemas seleccionados en grupos mediante la clasificación basada en criterios.


1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione el grupo quecontenga los sistemas.

2 Seleccione los sistemas y, a continuación, haga clic en Acciones | Administración del Directorio | Ordenarahora. Aparece el cuadro de diálogo Ordenar ahora.

Si desea obtener una vista preliminar de los resultados de la clasificación antes de realizarla, hagaclic en Prueba de clasificación. (No obstante, si mueve sistemas desde la página Prueba de clasificación, seordenan todos los sistemas, incluso si tienen desactivada la clasificación del Árbol de sistemas.)

3 Haga clic en Aceptar para ordenar los sistemas.

Importación de contenedores de Active DirectoryImporte sistemas de contenedores de Active Directory directamente a su Árbol de sistemas asignando loscontenedores de origen de Active Directory a los grupos del Árbol de sistemas.La asignación de los contenedores de Active Directory a los grupos le permite:

• Sincronizar la estructura del Árbol de sistemas con la de Active Directory de forma que cuando seagregan o eliminan contenedores en Active Directory se agrega o elimina también el grupocorrespondiente en el Árbol de sistemas.

• Eliminar sistemas del Árbol de sistemas cuando se eliminan en Active Directory.

• Evitar la duplicación de entradas de sistemas en el Árbol de sistemas cuando ya existen en otrosgrupos.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Detalles del grupo y, a continuación, seleccione un grupo

en el Árbol de sistemas al que desee asignar un contenedor de Active Directory.

No se puede sincronizar el grupo Recolector del Árbol de sistemas.

2 Junto a Tipo de sincronización, haga clic en Editar. Aparece la página Configuración de sincronización para elgrupo seleccionado.

3 Junto a Tipo de sincronización, seleccione Active Directory. Aparecen las opciones de sincronización conActive Directory.



4 Seleccione el tipo de sincronización con Active Directory que desea que se produzca entre estegrupo y el contenedor (y sus subcontenedores) de Active Directory:

• Sistemas y estructura de contenedores: seleccione esta opción si desea que este grupo refleje fielmentela estructura de Active Directory. Al sincronizarla, la estructura del Árbol de sistemas en este grupose modifica para reflejar la del contenedor de Active Directory al que está asignado. Cuando seagregan o eliminan contenedores en Active Directory, se agregan o eliminan también en el Árbolde sistemas. Cuando se agregan, mueven o eliminan sistemas en Active Directory, se agregan,mueven o eliminan también en el Árbol de sistemas.

• Solo sistemas (como lista lineal): seleccione esta opción si desea que solo los sistemas del contenedorde Active Directory (y los contenedores secundarios no excluidos) llenen, única yexclusivamente, este grupo. No se crean subgrupos, como sucede cuando se copia ActiveDirectory.

5 Seleccione si debe crearse una entrada duplicada de un sistema que ya exista en otro grupo delÁrbol de sistemas.

Si solo utiliza la sincronización con Active Directory como punto de partida de la gestión de laseguridad y tiene previsto emplear la funcionalidad de administración del Árbol de sistemas tras asignarlos sistemas, no seleccione esta opción.

6 En la sección Dominio de Active Directory puede:

• Escribir el nombre completo del dominio de Active Directory.

• Seleccionarlo una lista de servidores LDAP ya registrados.

7 Junto a Contenedor, haga clic en Agregar, seleccione el contenedor de origen que desee en el cuadrode diálogo Seleccionar contenedor de Active Directory y haga clic en Aceptar.

8 Para excluir contenedores secundarios concretos, haga clic en Agregar junto a Excepciones, seleccioneel contenedor secundario que desee excluir y haga clic en Aceptar.

9 Seleccione si desea desplegar McAfee Agent automáticamente en los nuevos sistemas. En casoafirmativo, configure las opciones de despliegue.

McAfee recomienda no desplegar McAfee Agent durante la importación inicial si el contenedor es degran tamaño. El despliegue del paquete de McAfee Agent, de 3,62 MB de tamaño, en muchossistemas a la vez puede provocar problemas de tráfico de red. En lugar de ello, importe elcontenedor y, a continuación, despliegue McAfee Agent en grupos de sistemas uno a uno, en vez deen todos a la vez. Considere la posibilidad de volver a esta página y seleccionar esta opción despuésdel despliegue inicial de McAfee Agent para que McAfee Agent se instale automáticamente en losnuevos sistemas que se agreguen a Active Directory.

10 Seleccione si desea eliminar sistemas del Árbol de sistemas cuando se eliminen en el dominio de ActiveDirectory. También tiene la opción de suprimir los agentes de los sistemas eliminados.



11 Si desea sincronizar el grupo con Active Directory de forma inmediata, haga clic en Sincronizar ahora.

Si hace clic en Sincronizar ahora, se guardarán todos los cambios realizados en la configuración desincronización antes de sincronizar el grupo. Si tiene activada una regla de notificación desincronización con Active Directory, se genera un evento para cada sistema que se agregue oelimine. Estos eventos aparecen en el Registro de auditoría y se pueden consultar. Si ha desplegadoagentes en los sistemas agregados, se inicia el despliegue en todos los sistemas agregados. Alfinalizar la sincronización, la hora de Última sincronización se actualiza y muestra la fecha y hora del finde la sincronización, no del final del despliegue de agentes.

Se puede planificar una tarea servidor Sincronización con Active Directory/dominio NT para laprimera sincronización. Esta tarea servidor resulta útil si va a desplegar agentes en nuevos sistemasdurante la primera sincronización, cuando el uso del ancho de banda es especialmente relevante.

12 Cuando finalice la sincronización, compruebe los resultados con el Árbol de sistemas.

Una vez importados los sistemas, distribuya los agentes en ellos si no ha seleccionado hacerloautomáticamente.

Considere definir una tarea servidor Sincronización con Active Directory/dominio NT recurrente paramantener el Árbol de sistemas actualizado con los cambios de los contenedores de Active Directory.

Importación de dominios NT a un grupo existenteImporte sistemas desde un dominio NT a un grupo que haya creado manualmente.

Puede rellenar los grupos automáticamente sincronizando dominios NT completos con los gruposespecificados. Este enfoque es una forma sencilla de agregar todos los sistemas de la red al Árbol desistemas de una sola vez como una lista lineal, sin la descripción de los sistemas.

Si el dominio es grande, puede crear subgrupos para facilitar la organización de la gestión dedirectivas. Para ello, en primer lugar importe el dominio en un grupo del Árbol de sistemas y, acontinuación, cree manualmente subgrupos lógicos.

Para gestionar las mismas directivas en varios dominios, importe cada dominio en un subgrupo delmismo grupo. Los subgrupos heredarán las directivas definidas para el grupo de primer nivel.

Cuando utilice este método:

• Defina criterios de clasificación por direcciones IP o etiquetas en los subgrupos para ordenarautomáticamente los sistemas importados.

• Planifique una tarea servidor Sincronización con Active Directory/Dominio NT recurrente parafacilitar el mantenimiento.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Detalles del grupo y seleccione o cree un grupo en el Árbol

de sistemas.

2 Junto a Tipo de sincronización, haga clic en Editar. Aparece la página Configuración de sincronización para elgrupo seleccionado.

3 Junto a Tipo de sincronización, seleccione Dominio NT. Aparecen las opciones de configuración desincronización de dominios.



4 Junto a Sistemas que existen en otra ubicación del árbol de sistemas, seleccione lo que desea hacer con lossistemas que ya existen en otro grupo del Árbol de sistemas.

No se recomienda seleccionar Agregar sistemas al grupo sincronizado y dejarlos en su ubicación actual en el árbol desistemas, en especial si solo se utiliza la sincronización con dominios NT como punto de partida de lagestión de seguridad.

5 Junto a Dominio, haga clic en Examinar, seleccione el dominio NT al que desee asignar este grupo yhaga clic en Aceptar. También puede escribir el nombre del dominio directamente en el cuadro detexto.

Cuando escriba el nombre del dominio, no utilice el nombre de dominio completo.

6 Seleccione si desea desplegar McAfee Agent automáticamente en los nuevos sistemas. En casoafirmativo, defina la configuración de despliegue.

Se recomienda no desplegar McAfee Agent durante la importación inicial si se trata de un dominio degran tamaño. El despliegue del paquete de McAfee Agent, de 3,62 MB de tamaño, en muchossistemas a la vez puede provocar problemas de tráfico de red. En lugar de ello, importe el dominioy, a continuación, despliegue el agente en grupos de sistemas más pequeños uno a uno, en vez deen todos a la vez. Cuando haya terminado de desplegar McAfee Agent, considere volver a estapágina y seleccionar esta opción tras el despliegue inicial del agente. De esa forma, el McAfee Agentse instalará automáticamente en cualquier nuevo sistema que se agregue al grupo (o sussubgrupos) por la sincronización de los dominios.

7 Seleccione si desea eliminar los sistemas del Árbol de sistemas cuando se eliminen del dominio NT.También tiene la opción de suprimir los agentes de los sistemas eliminados.

8 Si desea sincronizar el grupo con el dominio de forma inmediata, haga clic en Sincronizar ahora yespere a que todos los sistemas del dominio se agreguen al grupo.

Si hace clic en Sincronizar ahora, se guardarán todos los cambios realizados en la configuración desincronización antes de sincronizar el grupo. Si tiene activada una regla de notificación desincronización con dominios NT, se genera un evento para cada sistema agregado o eliminado. Estoseventos aparecen en el Registro de auditoría y se pueden consultar. Si ha optado por desplegar agentesen los sistemas agregados, se inicia el despliegue en todos los sistemas agregados. Cuando finalicela sincronización, se actualiza la hora de Última sincronización. La fecha y la hora corresponden almomento en que haya finalizado la sincronización, no al final del despliegue de agentes.

9 Si desea sincronizar el grupo con el dominio de forma manual, haga clic en Comparar y actualizar.

Si hace clic en Comparar y actualizar, se guardarán todos los cambios realizados en la configuración desincronización.

a Si va a eliminar sistemas del grupo con esta página, seleccione si desea eliminar sus agentes almismo tiempo.

b Seleccione los sistemas que desee agregar y eliminar del grupo y haga clic en Actualizar grupo paraagregar los sistemas seleccionados. Aparece la página Configuración de sincronización.

10 Haga clic en Guardar y vea los resultados en el Árbol de sistemas si ha hecho clic en Sincronizar ahora oActualizar grupo.

Una vez que los sistemas se hayan agregado al Árbol de sistemas, distribuya agentes en ellos si no haseleccionado hacerlo como parte de la sincronización.

Asimismo, considere definir una tarea servidor Sincronización con Active Directory/Dominio NTrecurrente para mantener este grupo actualizado con los nuevos sistemas del dominio NT.



Planificación de la sincronización del Árbol de sistemasPlanifique una tarea servidor que actualice el Árbol de sistemas con los cambios del dominio o contenedorde Active Directory asignado.

Dependiendo de la configuración de sincronización del grupo, este procedimiento:

• Agrega los nuevos sistemas de la red al grupo especificado.

• Agrega los grupos correspondientes cuando se crean nuevos contenedores en Active Directory.

• Elimina los grupos correspondientes cuando se eliminan contenedores en Active Directory.

• Despliega agentes en los nuevos sistemas.

• Elimina los sistemas que ya no están en el dominio o contenedor.

• Aplica directivas y tareas del sitio o grupo a los nuevos sistemas.

• Impide o permite entradas duplicadas de sistemas que existen todavía en el Árbol de sistemas peroque se han movido a otras ubicaciones.

El agente no se puede desplegar de esta forma en todos los sistemas operativos. Es posible que enalgunos sistemas tenga que distribuir el agente manualmente.


Procedimiento1 Abra el Generador de tareas servidor.

a Haga clic en Menú | Automatización | Tareas servidor

b Haga clic en Acciones | Nueva tarea.

2 En la página Descripción, póngale un nombre a la tarea y decida si debe activarse una vez creada; acontinuación, haga clic en Siguiente. Aparece la página Acciones.

3 En la lista desplegable, seleccione Sincronización con Active Directory/Dominio NT.

4 Seleccione si desea sincronizar todos los grupos o solo los seleccionados. Si solo va a sincronizaralgunos grupos sincronizados, haga clic en Seleccionar grupos sincronizados y seleccione los que desee.

5 Haga clic en Siguiente para abrir la página Planificación.

6 Planifique la tarea y, a continuación, haga clic en Siguiente.

7 Revise los detalles de la tarea y, a continuación, haga clic en Guardar.

Además de ejecutarse a la hora planificada, esta tarea puede ejecutarse inmediatamente; para ello,haga clic en Ejecutar junto a la tarea en la página Tareas servidor.

Actualización manual de un grupo sincronizado con un dominioNTEste procedimiento permite actualizar un grupo sincronizado con cambios con el dominio NT asociado.La actualización incluye los siguientes cambios:

• Agrega los sistemas actuales del dominio.

• Elimina del árbol de sistemas los sistemas que ya no están en el dominio.

• Elimina los agentes de todos los sistemas que ya no pertenecen al dominio especificado.




1 Haga clic en Menú | Sistemas | Árbol de sistemas | Detalles del grupo y seleccione el grupo asignado aldominio NT que desee.

2 Junto a Tipo de sincronización, haga clic en Editar. Se abre la página Configuración de sincronización.

3 Seleccione el dominio NT y haga clic en Comparar y actualizar junto a la parte inferior de la página.Aparece la página Comparar y actualizar manualmente.

4 Si va a eliminar sistemas del grupo, seleccione si desea eliminar sus agentes a la vez.

5 Haga clic en Agregar todo o en Agregar para importar los sistemas desde el dominio de red al gruposeleccionado.

Haga clic en Eliminar todo o en Eliminar para eliminar los sistemas del grupo seleccionado.

6 Cuando haya finalizado, haga clic en Actualizar grupo.

Cómo mover sistemas dentro del árbol de sistemasEste procedimiento permite mover sistemas de un grupo a otro del árbol de sistemas. De este modo,puede mover sistemas desde cualquier página que muestre una tabla de sistemas, incluidos losresultados de una consulta.

Además de los pasos descritos, también puede arrastrar y soltar sistemas desde la tabla Sistemas hastacualquier grupo del árbol de sistemas.

Aunque tenga un árbol de sistemas perfectamente organizado que refleje la jerarquía de la red yutilice herramientas y procedimientos automáticos para sincronizarlo periódicamente, es posible quenecesite mover sistemas de forma manual entre grupos. Por ejemplo, puede necesitar moverperiódicamente sistemas del grupo Lost&Found.


1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas, busque los sistemas que desee yselecciónelos.

2 Haga clic en Acciones | Administración del Directorio | Mover sistemas. Aparece la página Nuevo grupo.

3 Seleccione si desea activar o desactivar la clasificación del árbol de sistemas en los sistemasseleccionados cuando los mueva.

4 Seleccione el grupo en el que desee situar los sistemas y haga clic en Aceptar.

Transferencia de sistemas entre servidoresPara transferir sistemas entre servidores de McAfee ePO debe configurar primero la clave decomunicación agente-servidor.

Antes de empezarAntes de transferir sistemas entre servidores de McAfee ePO, es preciso:

El Árbol de sistemasCómo mover sistemas dentro del árbol de sistemas 9


• Intercambiar la clave de comunicación agente-servidor segura entre los servidores

Los siguientes pasos permiten activar una transferencia bidireccional. Si prefiere activarúnicamente transferencias monodireccionales, no necesita importar la clave del servidorde destino al servidor principal.

1 Exportar la clave de comunicación agente-servidor segura desde los dosservidores.

2 Importar la clave de comunicación agente-servidor segura desde elservidor A al servidor B.

3 Importar la clave de comunicación agente-servidor segura desde elservidor B al servidor A.

• Registrar el servidor al que desea transferir el sistema.

Debe activar la opción Transferir sistemas en la página Detalles del asistente Generador deservidores registrados.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas y seleccione los sistemas que desea transferir.

2 Haga clic en Acciones | Agente | Transferir sistemas. Aparece el cuadro de diálogo Transferir sistemas.

3 Seleccione el servidor adecuado en el menú desplegable y haga clic en Aceptar.

Una vez que un sistema gestionado se ha marcado para transferencia, deben producirse doscomunicaciones agente-servidor para que el sistema se muestre en el árbol de sistemas del servidorde destino. El período de tiempo necesario para completar ambas comunicaciones agente-servidordependerá de su configuración. El intervalo de comunicación agente-servidor predeterminado es deuna hora.

9 El Árbol de sistemasTransferencia de sistemas entre servidores


10 Etiquetas

Utilice etiquetas para identificar y ordenar los sistemas. Las etiquetas y los grupos de etiquetaspermiten seleccionar grupos de sistemas y simplifican la creación de tareas y consultas.

Contenido Cree etiquetas con el Generador de nuevas etiquetas Administración de etiquetas Creación, eliminación y modificación de subgrupos de etiquetas Exclusión de sistemas del etiquetado automático Aplicación de etiquetas a los sistemas seleccionados Borrado de etiquetas de los sistemas Aplicación de etiquetas basadas en criterios a todos los sistemas coincidentes Aplicación planificada de etiquetas basadas en criterios

Cree etiquetas con el Generador de nuevas etiquetasUtilice el Generador de nuevas etiquetas para crear etiquetas rápidamente.Las etiquetas pueden utilizar criterios que se evalúan en cada sistema:

• De forma automática durante la comunicación entre el agente y el servidor.

• Cuando se ejecuta la acción Ejecutar criterios de la etiqueta.

• De forma manual en los sistemas seleccionados, con independencia de los criterios, con la acciónAplicar etiqueta.

Las etiquetas sin criterios solo pueden aplicarse de forma manual a sistemas seleccionados.


Procedimiento1 Abra el Generador de nuevas etiquetas: haga clic en Menú | Sistemas | Catálogo de etiquetas | Nueva etiqueta.

2 En la página Descripción, escriba un nombre y una descripción ilustrativa y, a continuación, haga clicen Siguiente. Aparece la página Criterios.

3 Seleccione y configure los criterios y, a continuación, haga clic en Siguiente. Aparece la páginaEvaluación.

Para aplicar la etiqueta manualmente, debe configurar criterios para ella.

10


4 Seleccione si desea que los sistemas se evalúen según los criterios de la etiqueta solo cuando seejecute la acción Ejecutar criterios de la etiqueta o también en cada comunicación agente-servidor; acontinuación, haga clic en Siguiente. Aparece la página Vista preliminar.

Estas opciones no están disponibles si no se han configurado criterios. Cuando se evalúan sistemassegún los criterios de una etiqueta, la etiqueta se aplica a los sistemas que cumplen los criterios yque no han sido excluidos de la etiqueta.

5 Compruebe la información de esta página y haga clic en Guardar.

Si la etiqueta tiene criterios, está página muestra el número de sistemas que recibirán esta etiquetacuando se evalúen según estos criterios.

La etiqueta se agrega en el grupo de etiquetas seleccionado en el Árbol de etiquetas en la página Catálogode etiquetas.

Administración de etiquetasUna vez que se crean las etiquetas mediante el Generador de nuevas etiquetas, puede editarlas,eliminarlas y moverlas entre grupos de etiquetas mediante la lista Acciones.

Siga estos pasos para editar, eliminar, exportar o mover una o varias etiquetas.


Procedimiento

1 Haga clic en Menú | Sistemas | Catálogo de etiquetas.

2 En la lista Etiquetas, seleccione una o varias etiquetas, haga clic en Acciones y seleccione una de estasacciones en la lista.

10 EtiquetasAdministración de etiquetas


Acción Pasos

Editar unaetiqueta

Desde el Generador de edición de etiquetas:1 En la página Descripción, escriba un nombre y una descripción ilustrativa y, a

continuación, haga clic en Siguiente. Aparece la página Criterios.

2 Seleccione y configure los criterios y, a continuación, haga clic en Siguiente. Aparecela página Evaluación.

Para aplicar la etiqueta manualmente, debe configurar criterios para ella.

3 Seleccione si desea que los sistemas se evalúen según los criterios de la etiquetasolo cuando se ejecute la acción Ejecutar criterios de la etiqueta o también en cadacomunicación agente-servidor; a continuación, haga clic en Siguiente. Aparece lapágina Vista preliminar.

Estas opciones no están disponibles si no se han configurado criterios. Cuando seevalúan sistemas según los criterios de una etiqueta, la etiqueta se aplica a lossistemas que cumplen los criterios y que no han sido excluidos de la etiqueta.

4 Compruebe la información de esta página y haga clic en Guardar.

Si la etiqueta tiene criterios, está página muestra el número de sistemas querecibirán esta etiqueta cuando se evalúen según sus criterios.

La etiqueta se actualiza en el grupo de etiquetas seleccionado en el Árbol de etiquetas enla página Catálogo de etiquetas.

Eliminar unaetiqueta

Cuando se hace clic en Eliminar, aparece el cuadro de diálogo de confirmación. Hagaclic en Aceptar para eliminar la etiqueta.

Exportar unaetiqueta

Cuando se hace clic en Exportar tabla, aparece la página Exportar datos.

Moveretiquetas

Desde el cuadro de diálogo Mover etiquetas:1 Seleccione el grupo de etiquetas en el que desee que aparezcan las etiquetas.

2 Haga clic en Aceptar para completar el traslado de las etiquetas.

También puede arrastrar y colocar las etiquetas en los grupos de etiquetas del Árbol deetiquetas.

Creación, eliminación y modificación de subgrupos de etiquetasLos subgrupos de etiquetas le permiten anidar grupos de etiquetas hasta una profundidad de cuatroniveles, con 1000 subgrupos de etiquetas dentro de un mismo grupo principal. Estos grupos deetiquetas le permiten utilizar la clasificación basada en criterios para agregar automáticamente lossistemas a los grupos correctos.

Siga estos pasos para crear, eliminar o modificar un subgrupo de etiquetas.


Procedimiento1 Haga clic en Menú | Sistemas | Catálogo de etiquetas.

2 En la página Catálogo de etiquetas, seleccione una de estas acciones.

EtiquetasCreación, eliminación y modificación de subgrupos de etiquetas 10


Acción Pasos

Crear unsubgrupo deetiquetas

1 En la lista jerárquica del Árbol de etiquetas, seleccione el grupo de etiquetas (o elgrupo de etiquetas principal) donde desee crear el nuevo subgrupo deetiquetas.

Mis etiquetas es el grupo de etiquetas de primer nivel que se agrega durante lainstalación de ePolicy Orchestrator.

2 Haga clic en Nuevo subgrupo para ver el cuadro de diálogo Nuevo subgrupo.

3 En el campo Nombre, escriba un nombre descriptivo para el nuevo subgrupo deetiquetas.

4 Cuando haya terminado, haga clic en Aceptar para crear un nuevo subgrupo deetiquetas.

Cambiarle elnombre a unsubgrupo deetiquetas

1 En la lista jerárquica del Árbol de etiquetas, seleccione el subgrupo de etiquetas alque desee cambiarle el nombre.

2 Haga clic en Acciones del árbol de etiquetas | Cambiar nombre del grupo para ver el cuadrode diálogo Cambiar nombre del subgrupo.

3 En el campo Nombre, escriba el nuevo nombre del subgrupo de etiquetas.

4 Cuando haya terminado, haga clic en Aceptar y el subgrupo de etiquetascambiará de nombre.

Eliminar unsubgrupo deetiquetas

1 En la lista jerárquica del Árbol de etiquetas, seleccione el subgrupo de etiquetasque desee eliminar.

2 Haga clic en Acciones | Eliminar y aparecerá un cuadro de diálogo de confirmaciónAcción: Eliminar.

3 Si está seguro de que desea eliminar el subgrupo de etiquetas, haga clic enAceptar y será eliminado.

Exclusión de sistemas del etiquetado automáticoEste procedimiento permite excluir sistemas para no aplicarles etiquetas específicas.

Otra opción es utilizar una consulta para recopilar los sistemas y después excluir las etiquetascorrespondientes a esos sistemas de los resultados de la consulta.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione el grupo que

contenga los sistemas en el Árbol de sistemas.

2 Seleccione uno o varios sistemas en la tabla Sistemas y, a continuación, haga clic en Acciones | Etiqueta| Excluir etiqueta.

3 En el cuadro de diálogo Excluir etiqueta, seleccione el grupo de etiquetas y la etiqueta que excluir y, acontinuación, haga clic en Aceptar.

Para que la lista quede limitada a determinadas etiquetas, escriba el nombre de la etiqueta en elcuadro de texto situado debajo de Etiquetas.

10 EtiquetasExclusión de sistemas del etiquetado automático


4 Compruebe si los sistemas se han excluido de la etiqueta:

a Abra la página Detalles de etiqueta: haga clic en Menú | Sistemas | Catálogo de etiquetas y, a continuación,seleccione la etiqueta o el grupo de etiquetas en la lista de etiquetas.

b Junto a Sistemas con etiqueta, haga clic en el vínculo del número de sistemas excluidos de laaplicación de etiquetas basada en criterios. Aparece la página Sistemas excluidos de la etiqueta.

c Compruebe si los sistemas aparecen en la lista.

Aplicación de etiquetas a los sistemas seleccionadosAplique una etiqueta manualmente a los sistemas seleccionados en el Árbol de sistemas.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y seleccione el grupo que contenga los

sistemas que desee.

2 Seleccione los sistemas y, a continuación, haga clic en Acciones | Etiqueta | Aplicar etiqueta.

3 En el cuadro de diálogo Aplicar etiqueta, seleccione el grupo de etiquetas y la etiqueta que aplicar y,continuación, haga clic en Siguiente.


4 Compruebe que se han aplicado las etiquetas:

a Haga clic en Menú | Sistemas | Catálogo de etiquetas y, a continuación, seleccione una etiqueta o ungrupo de etiquetas en la lista de etiquetas.

b Junto a Sistemas con etiqueta, en el panel de detalles, haga clic en el vínculo del número desistemas a los que se ha aplicado un etiquetado manual. Aparece la página Sistemas con una etiquetaaplicada manualmente.


Borrado de etiquetas de los sistemasElimine etiquetas de los sistemas seleccionados.


1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione el grupo quecontenga los sistemas que desee.

2 Seleccione los sistemas y, a continuación, haga clic en Acciones | Etiqueta | Borrar etiqueta.

EtiquetasAplicación de etiquetas a los sistemas seleccionados 10


3 En el cuadro de diálogo Borrar etiqueta, lleve a cabo uno de estos pasos y, a continuación, haga clic enAceptar.• Eliminar una etiqueta concreta: seleccione el grupo de etiquetas y, continuación, seleccione la

etiqueta.

Para limitar la lista a determinadas etiquetas, escriba el nombre de la etiqueta en el cuadro detexto situado debajo de Etiquetas.

• Eliminar todas las etiquetas: seleccione Borrar todo.

4 Compruebe que se han aplicado las etiquetas:


b Junto a Sistemas con etiqueta, en el panel de detalles, haga clic en el vínculo del número desistemas a los que se ha aplicado un etiquetado manual. Aparece la página Sistemas con una etiquetaaplicada manualmente.


Aplicación de etiquetas basadas en criterios a todos lossistemas coincidentes

Este procedimiento permite aplicar una etiqueta basada en criterios a todos los sistemas no excluidosque los cumplan.


Procedimiento1 Haga clic en Menú | Sistemas | Catálogo de etiquetas y, a continuación, seleccione una etiqueta o un grupo

de etiquetas de la lista Etiquetas.

2 Haga clic en Acciones | Ejecutar criterios de la etiqueta.

3 En el panel Acción, especifique si desea restablecer los sistemas etiquetados y excluidosmanualmente.

Esto elimina la etiqueta de los sistemas que no cumplen los criterios y la aplica a los sistemas que sílos cumplen, pero que estaban excluidos de la aplicación de esa etiqueta.


5 Compruebe que los sistemas tienen la etiqueta aplicada:


b Junto a Sistemas con etiqueta, en el panel de detalles, haga clic en el vínculo del número desistemas con etiqueta aplicada según criterios. Aparece la página Sistemas con una etiqueta aplicada porcriterios.


La etiqueta se aplica a todos los sistemas que cumplen sus criterios.

10 EtiquetasAplicación de etiquetas basadas en criterios a todos los sistemas coincidentes


Aplicación planificada de etiquetas basadas en criteriosEste procedimiento permite planificar una tarea regular que aplique una etiqueta a todos los sistemasque cumplan su criterios.


1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, en Acciones | Nueva tarea. Aparece lapágina Generador de tareas.

2 En la página Descripción, asigne un nombre y describa la tarea, seleccione si se debe activar una vezcreada y haga clic en Siguiente. Aparece la página Acciones.

3 Seleccione Ejecutar criterios de la etiqueta en la lista desplegable y elija la etiqueta que desee en la listadesplegable de etiquetas.

4 Seleccione si desea restablecer los sistemas etiquetados y excluidos manualmente.

Esto elimina la etiqueta de los sistemas que no cumplen los criterios y la aplica a los sistemas que sílos cumplen, pero que estaban excluidos de la aplicación de esa etiqueta.

5 Haga clic en Siguiente para abrir la página Planificación.

6 Planifique la tarea para que se ejecute en el momento que desee y haga clic en Siguiente.

7 Revise los valores de configuración y haga clic en Guardar.

La tarea servidor se agrega a la lista de la página Tareas servidor. Si ha optado por activar la tarea en elasistente Generador de tareas servidor, ésta se ejecuta a la siguiente hora planificada.

EtiquetasAplicación planificada de etiquetas basadas en criterios 10


10 EtiquetasAplicación planificada de etiquetas basadas en criterios


11 Comunicación entre el agente y elservidor

Los sistemas cliente utilizan McAfee Agent para comunicarse con el servidor de McAfee ePO. Supervisey administre los agentes desde la consola de ePolicy Orchestrator.

Contenido Uso del agente desde el servidor de McAfee ePO Administración de la comunicación agente-servidor

Uso del agente desde el servidor de McAfee ePOLa interfaz de McAfee ePO incluye páginas en las que se pueden configurar las tareas y las directivasdel agente, y en las que se pueden consultar las propiedades del sistema y del agente, así como otrosproductos de McAfee.

Contenido Comunicación agente-servidor SuperAgents y su funcionamiento Agente RelayServer Respuesta a eventos de directivas Ejecución inmediata de tareas cliente Localización de agentes inactivos Windows y las propiedades de productos que comunica el agente Consultas proporcionadas por McAfee Agent

Comunicación agente-servidorEl agente McAfee Agent tiene que comunicarse con un servidor de McAfee ePO periódicamente paragarantizar que todas las opciones de configuración estén actualizadas, enviar eventos, etc.

A este tipo de comunicaciones se lo denomina comunicación agente-servidor . En cada comunicaciónagente-servidor, el agente McAfee Agent recopila sus propiedades del sistema actuales, así como loseventos que aún no se han enviado, y los envía al servidor. El servidor envía directivas y tareasnuevas o modificadas al agente McAfee Agent, así como la lista de repositorios, en caso de que estahaya cambiado desde la última comunicación agente-servidor. El agente McAfee Agent implementa lasnuevas directivas de forma local en el sistema gestionado y aplica cualquier cambio sufrido porrepositorios o tareas.

El servidor de McAfee ePO utiliza el protocolo de red TLS (Seguridad de la capa de transporte)estándar del sector para transmisiones de red seguras.

11


Cuando el agente McAfee Agent se instala por primera vez, se comunica con el servidor a intervalosaleatorios en un plazo de seis segundos. A partir de ese momento, el agente McAfee Agent secomunica cuando se produce una de las siguientes situaciones:

• Transcurre el intervalo de comunicación agente-servidor (ASCI).

• Se envían llamadas de activación de McAfee Agent desde el servidor de McAfee ePO o losadministradores de agentes.

• Se ejecuta una activación planificada en los sistemas cliente.

• Se inicia la comunicación manualmente desde el sistema gestionado.

• Se envían llamadas de activación de McAfee Agent desde el servidor de McAfee ePO.

Intervalo de comunicación agente-servidorEl intervalo de comunicación agente-servidor (ASCI) determina la frecuencia con la que el agenteMcAfee Agent se pone en contacto con el servidor de McAfee ePO.

El intervalo de comunicación agente-servidor (ASCI) se establece en la ficha General de la páginaDirectiva de McAfee Agent. El valor predeterminado de 60 minutos indica que el agente se pone en contactocon el servidor de McAfee ePO una vez cada hora. A la hora de decidir la modificación del intervalo,tenga en cuenta que el agente realiza cada una de las siguientes acciones en cada ASCI:

• Recopila y envía propiedades.

• Envía los eventos no prioritarios que se han producido desde la última comunicaciónagente-servidor.

• Implementa directivas.

• Recibe nuevas directivas y tareas. Esta acción podría activar otras acciones que consuman grancantidad de recursos.

Aunque estas actividades no suponen una carga adicional para un solo equipo, existen algunosfactores que pueden provocar que la demanda acumulada en la red, en los servidores de McAfee ePOo en los administradores de agentes sea importante.

• Cuántos sistemas son gestionados por ePolicy Orchestrator.

• Si su organización tiene necesidades estrictas de respuesta ante amenazas.

• Si la red o la ubicación física de los clientes en relación con los servidores o los administradores deagentes está muy distribuida.

• Si el ancho de banda disponible no es adecuado.

En general, si su entorno incluye estas variables, es probable que desee que las comunicacionesagente-servidor se realicen con menor frecuencia. Para clientes que desempeñen funciones deimportancia crítica, puede ser conveniente definir un intervalo con una frecuencia mayor.

Gestión de interrupciones de la comunicación agente-servidorLa gestión de interrupciones resuelve los problemas que impiden que un sistema se conecte a unservidor de McAfee ePO.

Las interrupciones en la comunicación pueden producirse por muchas razones, y el algoritmo deconexión agente-servidor está diseñado para reintentar la comunicación si falla en su primer intento.

El agente McAfee Agent intenta de manera cíclica los siguientes métodos de conexión hasta seis veceso hasta que obtiene una respuesta determinada.

11 Comunicación entre el agente y el servidorUso del agente desde el servidor de McAfee ePO


1 Dirección IP

2 Nombre de dominio cualificado completo

3 NetBIOS

El agente repite esos tres métodos de conexión en ese orden un máximo de seis veces para un totalde 18 intentos de conexión. No hay espera entre los intentos de conexión. El agente detiene este ciclosi un intento de conexión da cualquiera de los siguientes resultados:

• Sin errores

• Error de descarga

• Error de carga

• El agente se está apagando

• Transferencia cancelada

• Servidor ocupado (código de estado del servidor de McAfee ePO)

• Carga correcta (código de estado del servidor de McAfee ePO)

• El agente necesita nuevas claves

• No hay paquetes para recibir (código de estado del servidor de McAfee ePO)

• El agente necesita volver a generar el GUID (código de estado del servidor de McAfee ePO)

Otros resultados, como conexión rechazada, no se ha podido conectar, tiempo de espera de conexiónagotado u otros errores, provocan que el agente lo vuelva a intentar inmediatamente utilizando elmétodo de conexión en la lista hasta el siguiente intervalo de comunicación agente-servidor.

Llamadas de activación y tareasUna llamada de activación del agente McAfee Agent genera una comunicación agente-servidor sinnecesidad de esperar a que transcurra el intervalo de comunicación agente-servidor (ASCI) actual.

La tarea cliente de activación del cliente solo se admite en plataformas Windows. Utilice las acciones delárbol de sistemas para activar el agente en sistemas operativos basados en Unix y Macintosh.

Hay dos formas de enviar una llamada de activación:

• Manualmente desde el servidor: es la forma más habitual y requiere que el puerto decomunicación de activación del agente esté abierto.

• De forma planificada por el administrador: resulta muy útil cuando está desactivada lacomunicación manual agente-servidor por una directiva. El administrador puede crear y desplegaruna tarea, de activación, que activa el agente y, a continuación, inicia una comunicaciónagente-servidor.

A continuación, se enumeran algunas razones para enviar una llamada de activación del agente:

Comunicación entre el agente y el servidorUso del agente desde el servidor de McAfee ePO 11


• Puede realizar un cambio en una directiva que desea implementar de forma inmediata, sin tenerque esperar a que transcurra el ASCI planificado.

• Ha creado una nueva tarea que desea que se ejecute de forma inmediata. La opción Ejecutar tareaahora crea una tarea y, a continuación, la asigna a sistemas cliente específicos y envía llamadas deactivación.

• Una consulta ha generado un informe que indica que un cliente está en estado no conforme ydesea comprobar su estado como parte de un procedimiento de solución de problemas.

Si ha convertido un agente de un sistema Windows determinado para utilizarlo como SuperAgent,puede enviar llamadas de activación a segmentos de difusión de la red específicos. Los SuperAgentsdistribuyen el impacto que tienen en el ancho de banda las llamadas de activación del agente.

Envío manual de llamadas de activación a sistemas individualesEl envío manual de una llamada de activación del agente o el SuperAgent en el árbol de sistemas esmuy útil cuando realiza cambios de directivas y desea que los agentes contacten con el servidor paraenviar o recibir información actualizada antes de la próxima comunicación agente-servidor.


1 Haga clic en Menú | Sistemas | Árbol de sistemas y seleccione el grupo que contiene los sistemas dedestino.

2 Seleccione los sistemas correspondientes en la lista y haga clic en Acciones | Agente | Activar agentes.

3 Compruebe que los sistemas seleccionados aparecen en la sección Sistemas de destino.

4 Elija si desea enviar una Llamada de activación del agente o una Llamada de activación del SuperAgent, junto a Tipode llamada de activación, según corresponda.

5 Acepte el valor predeterminado Ejecución aleatoria (0 minutos) o indique un intervalo diferente (de 0 a60 minutos). Piense el número de sistemas que recibirán la llamada de activación de formainmediata y la cantidad de ancho de banda disponible. Si especifica 0, los agentes responden deforma inmediata.

6 Para enviar las propiedades incrementales de los productos como resultado de esta llamada deactivación, anule la selección de Obtener propiedades completas.... El valor predeterminado es enviar laspropiedades completas de los productos.

7 Para actualizar todas las directivas y tareas durante esta llamada de activación, seleccione Forzaractualización completa de directivas y tareas.

8 Introduzca los valores de Número de intentos, Intervalo entre reintentos y Anular tras para esta llamada deactivación si no desea utilizar los valores predeterminados.

9 Seleccione si desea activar el agente mediante Todos los administradores de agentes o mediante el Últimoadministrador de agentes que se ha conectado.

10 Haga clic en Aceptar para enviar la llamada de activación del agente o SuperAgent.

Envío manual de llamadas de activación a un grupoSe puede enviar una llamada de activación del agente o el SuperAgent a un grupo completo del árbolde sistemas en una sola tarea. Esto resulta útil cuando realiza cambios en la directiva y desea que losagentes contacten con el servidor para enviar o recibir información actualizada, antes de la siguientecomunicación agente-servidor.




1 Haga clic en Menú | Sistemas | Árbol de sistemas.

2 Seleccione el grupo de destino en el Árbol de sistemas y haga clic en la ficha Detalles del grupo.

3 Haga clic en Acciones | Activar agentes.

4 Compruebe que el grupo seleccionado aparece junto a Grupo de destino.

5 Seleccione si desea enviar la llamada de activación del agente a Todos los sistemas de este grupo o aTodos los sistemas de este grupo y sus subgrupos.

6 Elija si desea enviar una Llamada de activación del agente o una Llamada de activación del SuperAgent, junto aTipo.

7 Acepte el valor predeterminado Ejecución aleatoria (0 minutos) o indique un intervalo diferente (de 0 a60 minutos). Si especifica 0, los agentes se activan de forma inmediata.

8 Para enviar las propiedades mínimas de los productos como resultado de esta llamada deactivación, anule la selección de Obtener propiedades completas. El valor predeterminado es enviar laspropiedades completas de los productos.

9 Para actualizar todas las directivas y tareas durante esta llamada de activación, seleccione Forzaractualización completa de directivas y tareas.

10 Haga clic en Aceptar para enviar la llamada de activación del agente o SuperAgent.

SuperAgents y su funcionamientoUn SuperAgent es un agente que actúa como intermediario entre el servidor de McAfee ePO y otrosagentes del mismo segmento de difusión de la red. Solo puede convertir un agente de Windows enSuperAgent.

El SuperAgent almacena en caché la información recibida de un servidor de McAfee ePO, del Repositorioprincipal, o de un Repositorio distribuido de réplica, y la distribuye a los agentes de la subred de sured. La función Almacenamiento en caché en diferido permite a los SuperAgents recuperar datos delos servidores de McAfee ePO solo cuando lo solicita un nodo de agente local. La creación de unajerarquía de SuperAgents junto con el uso del almacenamiento en caché en diferido ahorra más anchode banda y minimiza el tráfico de red WAN.

Un SuperAgent también puede difundir llamadas de activación a otros agentes que se encuentren enla misma subred de la red. El SuperAgent recibe una llamada de activación del agente desde elservidor de McAfee ePO y, a continuación, activa los agentes de su subred.

Esto es una alternativa al envío de llamadas de activación del agente a cada agente de la red o de unatarea de activación del agente a cada equipo.

SuperAgents y llamadas de activación de difusión Si piensa utilizar llamadas de activación del agente para iniciar la comunicación entre el agente y elservidor, puede convertir un agente de cada segmento de difusión de la red en un SuperAgent.

Los SuperAgents distribuyen en el ancho de banda de la red la carga de las llamadas de activación quese producen al mismo tiempo. En lugar de enviar llamadas de activación desde el servidor a cada unode los agentes, el servidor envía la llamada de activación a todos los SuperAgents del segmento delárbol de sistemas seleccionado.



El proceso es el siguiente:

1 El servidor envía una llamada de activación a todos los SuperAgents.

2 Los SuperAgents envían una llamada de activación a todos los agentes del mismo segmento dedifusión.

3 Todos los agentes que han recibido una notificación (los agentes normales que hayan sido avisadospor un SuperAgent y todos los SuperAgents) intercambian datos con el servidor de McAfee ePO o eladministrador de agentes.

Cuando envía una llamada de activación de SuperAgent, los agentes sin un SuperAgent operativo ensu segmento de difusión no reciben el aviso para comunicarse con el servidor.

Sugerencias para el despliegue de SuperAgents

Para desplegar suficientes SuperAgents en las ubicaciones adecuadas, debe analizar primero lossegmentos de difusión de su entorno y seleccionar un sistema en cada uno de ellos (preferiblementeun servidor) para que albergue el SuperAgent. Si utiliza SuperAgents, compruebe que todos losagentes estén asignados a un SuperAgent.

Las llamadas de activación del agente y el SuperAgent emplean los mismos canales seguros. Verifiqueque los siguientes puertos no estén bloqueados por un cortafuegos en el cliente:

• El puerto de comunicación de activación del agente (8081 de forma predeterminada)

• El puerto de comunicación de difusión del agente (8082 de forma predeterminada)

Conversión de agentes en SuperAgentsDurante el proceso de actualización global, cuando el SuperAgent recibe una actualización del servidorde McAfee ePO, envía llamadas de activación a todos los agentes de su red. Configure las opciones dedirectiva del SuperAgent para convertir un agente en SuperAgent.


Procedimiento

1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y seleccione un grupo en el árbol de sistemas.Todos los sistemas que pertenecen a este grupo aparecen en el panel de detalles.

2 Seleccione un sistema y, a continuación, haga clic en Acciones | Agente | Modificar directivas en un solosistema. Aparece la página Asignación de directivas correspondiente a ese sistema.

3 En la lista desplegable de productos, seleccione McAfee Agent. Las categorías de directivas de McAfeeAgent aparecen con la directiva asignada del sistema.

4 Si la directiva se hereda, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente.

5 En la lista desplegable Directiva asignada, seleccione una directiva General.

Desde esta ubicación, puede editar la directiva seleccionada o crear una nueva.

6 Seleccione si desea bloquear la herencia de directivas para impedir que a los sistemas que heredanesta directiva se les asigne otra en su lugar.

7 En la ficha SuperAgent, seleccione Convertir agentes en SuperAgents para activar la difusión de llamadas deactivación.


9 Envíe una llamada de activación del agente.



Almacenamiento en caché de los SuperAgents e interrupciones decomunicaciónEl SuperAgent almacena en caché el contenido de su repositorio de una manera concreta diseñadapara minimizar el uso de la red WAN.

Si se ha convertido un agente en SuperAgent, puede almacenar en caché el contenido del servidor deMcAfee ePO, del repositorio distribuido o de otros SuperAgents para distribuirlo de forma local a otrosagentes, con lo que se reduce el uso de ancho de banda de la WAN. Para activar esta función,seleccione Activar almacenamiento en caché en diferido en la página de opciones de directiva McAfee Agent |SuperAgent a la que se accede desde Menú | Directiva | Catálogo de directivas.

Los SuperAgents no pueden almacenar en caché contenido de repositorios HTTP o FTP de McAfee.

Cómo funciona la caché

La primera vez que un sistema cliente solicita contenido, el SuperAgent asignado a ese sistemaalmacena en caché el contenido correspondiente. A partir de momento, la memoria caché se actualizasiempre que en el Repositorio principal hay disponible una nueva versión del paquete solicitado.Cuando se crea una estructura jerárquica de SuperAgents, el SuperAgent secundario recibe laactualización de contenido solicitada de la caché del principal.

El SuperAgent garantiza que solo se almacena el contenido que solicitan los agentes que tieneasignados, ya que no extrae ningún contenido de los repositorios hasta que lo solicita un cliente. Deesta forma, se minimiza el tráfico entre el SuperAgent y los repositorios. Mientras que el SuperAgentestá recuperando el contenido del repositorio, se interrumpen las solicitudes de contenido que realicenlos sistemas cliente.

El SuperAgent debe tener acceso al repositorio. Sin este acceso, los agentes que reciban lasactualizaciones del SuperAgent nunca recibirán contenido nuevo. Cerciórese de que la directiva delSuperAgent incluya acceso al repositorio.

Los agentes que se haya configurado para utilizar el SuperAgent como repositorio reciben el contenidoalmacenado en caché en el SuperAgent en lugar de directamente del servidor de McAfee ePO. De estaforma se mejora el rendimiento del sistema del agente, ya que la mayoría del tráfico de red se lleva acabo de forma local entre el SuperAgent y sus clientes.

Si se vuelve a configurar el SuperAgent para que utilice un nuevo repositorio, la caché se actualizapara reflejarlo.

Cuándo se vacía la caché

Los SuperAgents vacían el contenido de su caché en dos casos.

• Si ya ha pasado el Intervalo de verificación de nuevo contenido de los repositorios desde la últimavez que se hayan solicitado actualizaciones, el SuperAgent descarga las actualizaciones desde elRepositorio principal, las procesa y vacía completamente la caché si hay nuevo contenidodisponible.

• Cuando se realiza una actualización global, los SuperAgents reciben una llamada de activación quevacía todo el contenido de la caché.

• De manera predeterminada, los SuperAgents se vacían cada 30 minutos. Cuando elSuperAgent vacía su caché, elimina de su repositorio todos los archivos que noaparezcan en Replica.log. Se eliminan igualmente los archivos personales que hayacolocado el usuario en esa carpeta.

• No se recomienda utilizar el almacenamiento en caché de los SuperAgents encombinación con la replicación de repositorios.



Cómo se gestionan las interrupciones de comunicación

Cuando un SuperAgent recibe una solicitud de contenido que es posible que sea obsoleto, elSuperAgent intenta contactar con el servidor de McAfee ePO para ver si hay nuevo contenidodisponible. Si se agota el tiempo de espera de la conexión, el SuperAgent distribuye el contenido de supropio repositorio. De esta forma, se garantiza que el solicitante recibirá contenido aunque seaobsoleto.

El almacenamiento en caché de los SuperAgents no se debe utilizar en combinación con la actualizaciónglobal. Ambas funciones tienen el mismo propósito en su entorno gestionado: mantener actualizadoslos repositorios distribuidos. Sin embargo, no son funciones complementarias. Utilice el almacenamientoen caché de los SuperAgents cuando su prioridad sea la limitación del uso de ancho de banda. Utilice laactualización global cuando su prioridad sea la actualización rápida de la empresa.

Jerarquía de SuperAgents Una jerarquía de SuperAgents puede atender a los agentes de la misma red con una utilización detráfico de red mínimo.

Un SuperAgent almacena en caché las actualizaciones de contenido del servidor de McAfee ePO o delrepositorio distribuido y las distribuye a los agentes de la red, con lo que se reduce el tráfico de redWAN. Siempre es conveniente tener más de un SuperAgent para equilibrar la carga de red.

Asegúrese de activar el Almacenamiento en caché en diferido antes de configurar la jerarquía de SuperAgents.

Creación de una jerarquía de SuperAgentsUtilice la directiva Repositorio para crear la jerarquía. McAfee recomienda que se cree una jerarquía detres niveles de SuperAgents en la red.

La creación de una jerarquía de SuperAgents evita la descarga repetitiva de actualizaciones decontenido del servidor de McAfee ePO o del repositorio distribuido. Por ejemplo, en una red de clientescon dos SuperAgents (SuperAgent 1 y SuperAgent 2) y un repositorio distribuido, configure lajerarquía de forma que los sistemas cliente reciban las actualizaciones de contenido del SuperAgent 1.El SuperAgent 1 recibe las actualizaciones del SuperAgent 2 y las almacena en caché; a continuación,el SuperAgent 2 recibe las actualizaciones del repositorio distribuido y las almacena en caché.

Los SuperAgents no pueden almacenar en caché contenido de repositorios HTTP o FTP de McAfee.

Al crear una jerarquía, debe evitar que se forme un ciclo de SuperAgents; por ejemplo, que elSuperAgent 1 esté configurado para extraer actualizaciones del SuperAgent 2, el SuperAgent 2 estéconfigurado para extraer actualizaciones del SuperAgent 3 y el SuperAgent 3 esté, a su vez,configurado para extraer actualizaciones del SuperAgent 1.

Para garantizar que el SuperAgent principal tenga la actualización de contenido más reciente, debenactivarse las llamadas de activación de los SuperAgents.

Si los SuperAgents no proporcionan a los agentes la última actualización de contenido, los agentesrechazan la actualización de contenido recibida del SuperAgent y recurren al siguiente repositorioconfigurado en la directiva.

Organización de SuperAgents en una jerarquía Las directivas General y Repositorio se pueden modificar para activar y configurar la jerarquía deSuperAgents.




Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas; a continuación, en el menú desplegable Producto,

seleccione McAfee Agent y en el menú desplegable Categoría, seleccione General.

2 Haga clic en la directiva My Default para comenzar a editar la directiva. Para crear una directiva, hagaclic en Acciones | Nueva directiva.

La directiva McAfee Default no se puede modificar.

3 En la ficha SuperAgent, seleccione Convertir agentes en SuperAgents para convertir el agente en unSuperAgent y actualizar su repositorio con el contenido más reciente.

4 Seleccione Utilizar sistemas con SuperAgents como repositorios distribuidos para utilizar los sistemas quealbergan SuperAgents como repositorios para los sistemas de su segmento de difusión y, acontinuación, proporcione la Ruta del repositorio.

5 Seleccione Activar almacenamiento en caché en diferido para permitir que los SuperAgents almacenencontenido en caché cuando se reciba del servidor de McAfee ePO.


La página Catálogo de directivas muestra las directivas de tipo General.

7 Cambie la Categoría a Repositorio y haga clic en la directiva My Default para empezar a editar la directiva.Si desea crear una directiva, haga clic en Acciones | Nueva directiva.

8 En la ficha Repositorios, seleccione Utilizar orden de la lista de repositorios.

9 Haga clic en Autorizar automáticamente a los clientes el acceso a los repositorios recién agregados para agregarnuevos repositorios de SuperAgents a la lista; a continuación, haga clic en Subir al principio paraorganizar los SuperAgents en una jerarquía.

Organice la jerarquía de repositorios de tal forma que el SuperAgent principal esté siempre alprincipio de la lista de repositorios.


Tras configurar la jerarquía de SuperAgent, puede crear y ejecutar la tarea Estadísticas de McAfeeAgent para generar un informe del ahorro de ancho de banda de red.

Agente RelayServerSi la configuración de su red bloquea la comunicación entre el agente McAfee Agent y el servidor deMcAfee ePO, el agente no puede recibir actualizaciones de contenido, directivas ni enviar eventos.

La función de retransmisión (RelayServer) puede activarse en agentes que tienen conectividad directacon el servidor de McAfee ePO o los administradores de agentes, para facilitar la comunicación entrelos sistemas cliente y el servidor de McAfee ePO. Puede configurar más de un agente comoRelayServer para mantener el equilibrio de carga de la red.

• La función de retransmisión se puede activar en el agente McAfee Agent 4.8 o enversiones posteriores.

• El servidor de McAfee ePO solamente puede iniciar la comunicación (por ejemplo,mostrar registros del agente) con un agente conectado directamente.

• Los sistemas AIX no admiten la función de retransmisión.



Comunicación entre agentes RelayServerAl activar la capacidad de retransmisión en la red, un agente McAfee Agent se convierte en agenteRelayServer. Un agente McAfee Agent con capacidad de retransmisión puede acceder al servidor deMcAfee ePO.

Cuando un agente McAfee Agent no se puede conectar con el servidor de McAfee ePO, difunde unmensaje para descubrir cualquier agente McAfee Agent que tenga capacidad de retransmisión en sured. Los agentes RelayServer responden al mensaje y el agente McAfee Agent establece una conexióncon el agente RelayServer que haya respondido primero.

Más adelante, si un agente McAfee Agent no se puede conectar con el servidor de McAfee ePO, intentaconectarse con el agente RelayServer que haya respondido primero al mensaje de descubrimiento. Elagente McAfee Agent descubre los agentes RelayServer de la red en cada comunicaciónagente-servidor y almacena en caché los detalles de los cinco primeros agentes RelayServerexclusivos que hayan respondido al mensaje de descubrimiento. Si el agente RelayServer actual noconsigue conectar con el servidor de McAfee ePO o no dispone de la actualización del contenidorequerida, el agente McAfee Agent se conecta con el siguiente agente RelayServer que esté disponibleen su caché.

En un sistema cliente Windows, tras activar la capacidad de retransmisión a través de la directiva, seinstala un nuevo servicio MfeServiceMgr.exe. Inicie o detenga este servicie para controlar la capacidad deretransmisión del sistema cliente.

Una vez que el agente McAfee Agent termina de cargar o descargar contenido del servidor de McAfeeePO, el agente RelayServer desconecta al agente McAfee Agent del servidor de McAfee ePO.

Consideraciones importantes

• Los agentes McAfee Agent necesitan el protocolo UDP (User Datagram Protocol) para descubriragentes RelayServer en la red.

• Un agente RelayServer solo se conecta con los servidores que aparezcan en su archivo SiteList.xml. Le recomendamos que incluya el archivo sitelist.xml del agente RelayServer comosuperconjunto de las listas de sitios de todos los agentes McAfee Agent que estén configuradospara conectarse a través de ese agente RelayServer.

Activación de la función de retransmisión Configure y asigne directivas para activar la función de retransmisión en un agente.

Si activa un sistema no Windows como RelayServer, asegúrese de agregar manualmente una excepciónpara el proceso cmamesh y el puerto del administrador de servicios en iptables e ip6tables.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione un grupo del

Árbol de sistemas. Todos los sistemas que pertenezcan a este grupo aparecen en el panel dedetalles.

2 Seleccione un sistema y haga clic en Acciones | Agente | Modificar directivas en un solo sistema. Aparecerá lapágina Asignación de directivas correspondiente a ese sistema.


4 Si la directiva se hereda, seleccione Interrumpir herencia y asignar la directiva y la configuración siguiente.



5 En la lista desplegable Directiva asignada, seleccione una directiva General.

Desde esta ubicación, puede editar la directiva seleccionada o crear una nueva.

6 Seleccione si desea bloquear la herencia de directivas para impedir que a los sistemas que heredanesta directiva se les asigne otra en su lugar.

7 En la ficha SuperAgent, seleccione Activar RelayServer para activar la función de retransmisión.

• Compruebe que configura el Puerto del Administrador de servicios como 8083.

• McAfee recomienda que active la función de retransmisión en la red de la empresa.

• Los agentes RelayServer no se pueden conectar a los servidores de McAfee ePOutilizando la configuración de proxy.



• Tras el primer intervalo de comunicación agente-servidor, el estado del RelayServer seactualiza en la página Propiedades de McAfee Agent o en la interfaz de usuario deMcTray en el sistema cliente.

• En un sistema cliente Windows, el archivo de registro SvcMgr_<nombre del sistema>.log se guarda en C:\Datos de programa\McAfee\Common Framework\DB.

Recopilación de estadísticas de McAfee Agent Ejecute la tarea cliente Estadísticas de McAfee Agent en los nodos gestionados para recopilarestadísticas relativas a la jerarquía de McAfee Agent.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione un grupo del Árbol

de sistemas. Todos los sistemas que pertenezcan a este grupo aparecen en el panel de detalles.

2 Seleccione un sistema y, a continuación, haga clic en Acciones | Agente | Modificar tareas en un solo sistema.Aparecen las tareas cliente asignadas a ese sistema.

3 Haga clic en Acciones | Nueva asignación de tarea cliente.

4 En la lista de productos, seleccione McAfee Agent y, a continuación, Estadísticas de McAfee Agent como elTipo de tarea.

5 Haga clic en Crear nueva tarea. Aparece la página Nueva tarea cliente.

6 Seleccione la opción adecuada y, a continuación, haga clic en Guardar.

Una vez que se despliega la tarea en el sistema cliente y se comunica el estado a ePolicyOrchestrator, se restablecen las estadísticas a 0.

Desactivación del servicio de retransmisiónLa directiva General permite desactivar los servicios de retransmisión en el McAfee Agent.




Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione un grupo del Árbol

de sistemas. Todos los sistemas que pertenezcan a este grupo aparecen en el panel de detalles.

2 Seleccione el sistema en el que se ha activado la función de retransmisión y haga clic en Acciones |Agente | Modificar directivas en un solo sistema. Aparecerá la página Asignación de directivas correspondiente aese sistema.


4 En la lista desplegable Directiva asignada, seleccione la directiva General implementada en el sistemacliente.

5 En la ficha SuperAgent, desactive Activar RelayServer para desactivar la función de retransmisión en elsistema cliente.



Respuesta a eventos de directivasConfigure una respuesta automática en ePolicy Orchestrator que sea filtrada de manera que se veanúnicamente los eventos de directivas.


1 Haga clic en Menú | Automatización | Respuestas automáticas para abrir la página Respuestas automáticas.

2 Haga clic en Acciones | Nueva repuesta.

3 Introduzca un Nombre para la respuesta y, si lo desea, una Descripción.

4 Seleccione Eventos de notificación de ePO como Grupo de eventos y Cliente, Amenaza o Servidor como Tipo deevento.

5 Haga clic en Activada para activar la respuesta y, a continuación, en Siguiente.

6 En Propiedades disponibles, seleccione Descripción del evento.

7 Haga clic en ... en la fila de Descripción del evento y elija una de las siguientes opciones:

• El agente no ha podido recopilar propiedades para ningún producto individual (gestionado): este evento se genera yse reenvía cuando se produce por primera vez un fallo de recopilación de propiedades. No segenera un evento de acción correcta posterior. Cada producto individual (gestionado) con fallosgenera un evento independiente.

• El agente no ha podido implementar directivas para ningún producto individual (gestionado): este evento se generay se reenvía cuando se produce por primera vez un fallo de implementación de directivas. No segenera un evento de acción correcta posterior. Cada producto individual (gestionado) con fallosgenera un evento independiente.

8 Introduzca la información en el filtro según corresponda y haga clic en Siguiente.

9 Seleccione las opciones Agregación, Agrupación y Regulación según sus necesidades.



10 Elija un tipo de acción e introduzca el comportamiento deseado en función del tipo de acción; acontinuación, haga clic en Siguiente.

11 Revise el resumen del comportamiento de la respuesta. Si es correcto, haga clic en Guardar.

La respuesta automática llevará a cabo la acción descrita cuando se produzca un evento de directiva.

Ejecución inmediata de tareas clienteCuando ePolicy Orchestrator se comunica con McAfee Agent, puede ejecutar tareas cliente de manerainmediata utilizando la acción Ejecutar tarea cliente ahora.Cuando se planifica la ejecución de las tareas, en lugar de ejecutarlas inmediatamente McAfee Agentpone las tareas en una cola. Aunque una tarea se ponga en la cola de forma inmediata, solo comienzaa ejecutarse si no hay ninguna otra tarea antes que ella en la cola. Se ejecutan las tareas que secrean durante el procedimiento Ejecutar tarea cliente ahora y la tarea se elimina del cliente cuando hafinalizado.

Ejecutar tarea cliente ahora solo se puede utilizar en sistemas cliente Windows.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas.

2 Seleccione uno o varios sistemas en los que ejecutar una tarea.

3 Haga clic en Acciones | Agente | Ejecutar tarea cliente ahora.

4 Seleccione McAfee Agent como Producto y el Tipo de tarea.

5 Para ejecutar una tarea existente, haga clic en el Nombre de la tarea y, a continuación, en Ejecutar tareaahora.

6 Para definir una tarea nueva, haga clic en Crear nueva tarea.

a Introduzca la información adecuada para la tarea que va a crear.

Si crea una tarea de McAfee Agent de tipo Despliegue de productos o Actualización del producto durante esteprocedimiento, una de las opciones disponibles es Ejecutar en cada implementación de directiva. Estaopción no provoca ningún efecto, ya que la tarea se elimina una vez finalizada.

Aparece la página Estado de ejecución de la tarea cliente, que muestra el estado de todas las tareas enejecución. Una vez que las tareas han finalizado, se pueden ver los resultados en el Registro de auditoría yel Registro de tareas servidor.

Localización de agentes inactivosUn agente inactivo es aquel que no se ha comunicado con el servidor de McAfee ePO durante elperíodo de tiempo especificado por el usuario.

Algunos agentes pueden haber sido desactivados o desinstalados por los usuarios. En otros casos, esposible que el sistema que alberga el agente haya sido eliminado de la red. McAfee recomiendarealizar búsquedas semanales de forma regular para localizar los sistemas con agentes inactivos.




1 Haga clic en Menú | Informes | Consultas e informes.

2 En la lista Grupos, seleccione el grupo compartido McAfee Agent.

3 Haga clic en Ejecutar en la fila Agentes inactivos para ejecutar la consulta.

La configuración predeterminada de esta consulta indica los sistemas que no se han comunicadocon el servidor de McAfee ePO en el último mes. Puede especificar horas, días, semanas, trimestreso años.

Cuando encuentre agentes inactivos, debe revisar sus registros de actividad para localizar losproblemas que puedan interferir con la comunicación agente-servidor. Los resultados de la consultapermiten realizar distintas acciones con los sistemas identificados, como enviar un comando ping, oeliminar, activar y volver a desplegar un agente.

Windows y las propiedades de productos que comunica elagenteMcAfee Agent comunica las propiedades de los sistemas a ePolicy Orchestrator desde sus sistemasgestionados. Las propiedades varían en función del sistema operativo. Las que se incluyen acontinuación son las que comunica Windows.

Propiedades del sistema

Esta lista muestra los datos del sistema que comunican los sistemas operativos de sus nodos a ePolicyOrchestrator. Revise los detalles de su sistema antes de llegar a la conclusión de que las propiedadesdel sistema se han comunicado de forma incorrecta.

GUID del agente

Número de serie de CPU

Velocidad de la CPU (MHz)

Tipo de CPU

Propiedades personalizadas 1-4

Tipo de comunicación

Idioma predeterminado

Descripción

Nombre DNS

Nombre de dominio

Etiquetas excluidas

Espacio libre en disco

Memoria disponible

Espacio disponible en disco del sistema

Productos instalados

Dirección IP

Dirección IPX

Es un sistema operativo de 64 bits

Último error de secuencia

Es un portátil

Última comunicación

Dirección MAC

Estado gestionado

Tipo de administración

Número de CPU

Sistema operativo

Número de compilación del SO

Identificador OEM del SO

Plataforma del SO

Versión de Service Pack del SO

Tipo de SO

Versión del SO

Errores de secuencia

Clave de servidor

Dirección de subred

Máscara de subred

Descripción del sistema

Ubicación del sistema

Nombre del sistema

Clasificación del árbol de sistemas

Etiquetas

Zona horaria

Para transferir

Espacio total en disco

Memoria física total

Espacio en disco utilizado

Nombre de usuario

Vdi



Propiedades del agente

Cada producto de McAfee determina las propiedades que comunica a ePolicy Orchestrator y, de ellas,aquellas que se incluyen en un conjunto de propiedades mínimas. Esta lista muestra las clases dedatos de productos que el software de McAfee instalado en su sistema comunica a ePolicyOrchestrator. Si encuentra errores en los valores, revise los detalles de los productos; no concluyadirectamente que se han comunicado de forma incorrecta.

GUID del agente

Hash de la clave de comunicación agente-servidor segura

Intervalo de comunicación agente-servidor

Llamada de activación del agente

Puerto de comunicación de activación del agente

Nodo del clúster

Estado del servicio de clúster

Nombre del clúster

Host de clúster

Nodos miembros del clúster

Ruta del recurso de quórum del clúster

Dirección IP del clúster

Versión de archivo DAT

Versión del motor

Forzar el reinicio automático tras

Versión de HotFix/parche

Ruta de instalación

Idioma

Estado de última implementación de directiva

Estado de última recopilación de propiedades

Estado de licencia

Preguntar al usuario cuando se necesita reiniciar

Intervalo de implementación de directivas

Versión del producto

Versión del complemento

Se admite Ejecutar ahora

Service Pack

Mostrar icono de McAfee en la bandeja del sistema

RelayServer

Funcionalidad SuperAgent

Repositorio SuperAgent

Directorio del repositorio SuperAgent

Puerto de comunicación de activación del SuperAgent

Visualización de las propiedades de McAfee Agent y los productosUn paso común para solucionar problemas es verificar que los cambios en directivas realizadoscorresponden a las propiedades recuperadas de un sistema.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas.

2 En la ficha Sistemas, haga clic en la fila correspondiente al sistema que desea examinar.

Aparece información sobre las propiedades del sistema, los productos instalados y el agente. En laparte superior de la página Información del sistema aparecen las ventanas Resumen, Propiedades y Eventosde amenazas. También se muestran las fichas Propiedades del sistema, Productos, Eventos de amenazas, McAfee Agenty Elementos relacionados.

Consultas proporcionadas por McAfee AgentMcAfee Agent agrega varias consultas estándar al entorno de ePolicy Orchestrator.

Las siguientes consultas se instalan en el grupo compartido de McAfee Agent.



Tabla 11-1 Consultas proporcionadas por McAfee Agent

Consulta Descripción

Resumen de comunicacionesdel agente

Muestra en un gráfico de sectores los sistemas gestionados indicandosi los agentes se han comunicado con el servidor de McAfee ePOdurante el último día.

Estado de los administradoresde agentes

Muestra en un gráfico de sectores el estado de comunicación de losadministradores de agentes durante la última hora.

Información de estadísticasdel agente

Gráfico de barras que muestra las siguientes estadísticas del agente:• Número de conexiones con los agentes RelayServer fallidas

• Número de intentos de conectar con el agente RelayServer trasalcanzar el máximo de conexiones admitidas

• Ancho de banda que se ahorra gracias al uso de la jerarquía deSuperAgents

Resumen de versiones delagente

Muestra en un gráfico de sectores los agentes instalados en lossistemas gestionados, por número de versión.

Agentes inactivos Muestra en una tabla todos los sistemas gestionados cuyos agentesno se han comunicado durante el último mes.

Nodos gestionados que tienenfallos de implementación dedirectivas de productosindividuales (gestionados)

Muestra un gráfico de barras de un grupo en el que aparece elmáximo de nodos gestionados (especificados en el asistenteGenerador de consultas) que han tenido al menos un error deimplementación de directivas.

Puede realizar una consulta sobre los errores de implementación dedirectivas en los productos gestionados en el servidor de McAfee ePO5.0 o posterior.

Nodos gestionados que tienenfallos de recopilación depropiedades de productosindividuales (gestionados)

Muestra un gráfico de barras de un grupo en el que aparece elmáximo de nodos gestionados (especificados en el asistente Generadorde consultas) que han tenido al menos un error de recopilación depropiedades.

Puede realizar una consulta sobre los errores de recopilación depropiedades de los productos gestionados en el servidor de McAfeeePO 5.0 o posterior.

Repositorios y porcentaje deutilización

Muestra en un gráfico de sectores la utilización de los repositoriosindividuales como porcentaje de todos los repositorios.

Uso de los repositorios enfunción de las extracciones dearchivos DAT y del motor

Muestra un gráfico de barras apiladas que representa las extraccionesde archivos DAT y del motor por repositorio.

Sistemas por administradorde agentes

Muestra en un gráfico de sectores el número de sistemas gestionadospor administrador de agentes.

Administración de la comunicación agente-servidorModifique la configuración de ePolicy Orchestrator para adaptar la comunicación agente-servidor a lasnecesidades de su entorno.

11 Comunicación entre el agente y el servidorAdministración de la comunicación agente-servidor


Cómo permitir a los usuarios guardar en caché las credencialesde despliegue del agente Para poder desplegar agentes desde el servidor de McAfee ePO en los sistemas de la red, losadministradores deben proporcionar credenciales. Puede elegir si desea permitir que las credencialesde despliegue de agentes se puedan almacenar en caché para cada usuario.

Una vez que las credenciales del usuario se han guardado en caché, dicho usuario puede desplegaragentes sin necesidad de volver a introducir las credenciales. Las credenciales se guardan en cachépara el usuario en particular, es decir, un usuario que no haya proporcionado ya las credenciales nopodrá desplegar agentes sin introducir primero sus propias credenciales.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Credenciales de despliegue del agente en

Categorías de configuración y, a continuación, haga clic en Editar.

2 Seleccione la casilla de verificación para que las credenciales de despliegue del agente se puedanguardar en caché.

Modificación de los puertos de comunicación del agente Puede cambiar algunos de los puertos que se utilizan para la comunicación con el agente en suservidor de McAfee ePO.

Se puede modificar la configuración de estos puertos de comunicación con el agente:

• Puerto seguro de comunicación agente-servidor

• Puerto de comunicación de activación del agente

• Puerto de comunicación de difusión del agente


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Puertos en Categorías de configuración y,

a continuación, haga clic en Editar.

2 Seleccione si desea activar el puerto 443 como puerto seguro para las comunicacionesagente-servidor, introduzca los puertos que se utilizarán para las llamadas de activación del agentey la difusión del agente. A continuación, haga clic en Guardar.

Comunicación entre el agente y el servidorAdministración de la comunicación agente-servidor 11


11 Comunicación entre el agente y el servidorAdministración de la comunicación agente-servidor


12 Administrador de software

Utilice el Administrador de software para revisar y adquirir software y componentes de software de McAfee.

Contenido El Administrador de software Incorporación, actualización y eliminación de software mediante el Administrador de software Verificación de compatibilidad de productos

El Administrador de softwareEl Administrador de software elimina la necesidad de acceder al sitio web de descarga de productos deMcAfee para obtener nuevo software y actualizaciones.

Puede utilizar el Administrador de software para descargar:

• Software con licencia

• Software de evaluación

• Actualizaciones de software

• Documentación de productos

Los archivos DAT y los motores no están disponibles en el Administrador de software.

Software con licencia

El software con licencia es cualquier software que la organización haya comprado a McAfee. En elAdministrador de software en la consola de ePolicy Orchestrator, el software adquirido por su empresaque aún no esté instalado en su servidor aparece en la categoría de productos Software no incorporado. Elnúmero que hay junto a cada categoría de la lista Categorías de productos indica cuántos productos haydisponibles.

Software de evaluación

Es el software para el que su organización aún no tiene una licencia. Puede instalar software deevaluación en su servidor, pero su funcionalidad será limitada hasta que adquiera la licencia delproducto.

Actualizaciones de software

Cuando haya disponible una nueva actualización para el software que está utilizando, puede incorporarlos nuevos paquetes y extensiones mediante el Administrador de software. Las actualizaciones desoftware disponibles aparecen en la categoría Actualizaciones disponibles.

12


Documentación de productos

El Administrador de software ofrece la documentación de productos nueva y actualizada. Lasextensiones de ayuda se pueden instalar de forma automática. Asimismo, desde el Administrador desoftware se puede descargar documentación en formato PDF o HTML, como guías de productos onotas de versión.

Acerca de las dependencias de componentes de software

Muchas de las aplicaciones de software que puede instalar para utilizarlas con su servidor de McAfeeePO tienen dependencias predefinidas en otros componentes. Las dependencias de extensiones deproductos se instalan automáticamente. Para el resto de componentes de producto, debe revisar lalista de dependencias en la página de detalles de componentes e instalarlas.

Incorporación, actualización y eliminación de softwaremediante el Administrador de software

Desde el Administrador de software puede incorporar, actualizar y eliminar componentes de productosgestionados de su servidor.

Desde el Administrador de software se puede acceder tanto al software con licencia como al deevaluación.

La disponibilidad del software, así como su pertenencia a la categoría Con licencia o Evaluación, depende desu clave de licencia. Para obtener más información, póngase en contacto su administrador.


Procedimiento1 Haga clic en Menú | Software | Administrador de software.

2 En la lista Categorías de productos de la página Administrador de software, seleccione una de las siguientescategorías o utilice el cuadro de búsqueda para localizar su software:

• Actualizaciones disponibles: muestra las actualizaciones disponibles para componentes de softwarecon licencia ya instalados o incorporados en el servidor de McAfee ePO.

• Software incorporado: esta categoría muestra todo el software (Con licencia y de Evaluación) instalado oincorporado en este servidor.

Si ha añadido recientemente la licencia para un producto que aparece como Evaluación, haga clicen Actualizar para actualizar el número de productos con licencia y que el producto aparezca comoCon licencia en Software incorporado.

• Software no incorporado: esta categoría muestra el software que está disponible, pero que no estáinstalado en este servidor.

• Software (por etiqueta): esta categoría muestra el software por función, según la descripción de lassuites de productos de McAfee.

3 Cuando haya localizado el software adecuado, haga clic en:

• Descargar para descargar la documentación del producto en una ubicación de su red.

• Incorporar para incorporar una extensión o paquete de producto a este servidor.

12 Administrador de softwareIncorporación, actualización y eliminación de software mediante el Administrador de software


• Actualizar para actualizar un paquete o extensión ya instalada o incorporada a este servidor.

• Eliminar para desinstalar un paquete o extensión ya instalada o incorporada a este servidor.

4 En la página Resumen de incorporación de software, revise y acepte los detalles de producto y el Acuerdode licencia de usuario final (EULA) y, a continuación, haga clic en Aceptar para completar laoperación.

Verificación de compatibilidad de productosPuede configurar una Verificación de compatibilidad de productos para descargar automáticamente una Lista decompatibilidad de productos de McAfee. Esta lista identifica los productos que ya no son compatibles en elentorno de ePolicy Orchestrator.

ePolicy Orchestrator realiza esta comprobación siempre que la instalación y el inicio de una extensiónpuedan dejar el servidor en un estado no deseable. Esta comprobación se efectúa en las siguientessituaciones:

• Durante una ampliación desde una versión de ePolicy Orchestrator a la versión 5.1 o posterior.

• Cuando se instala una extensión desde el menú Extensiones.

• Antes de recuperar una extensión desde el Administrador de software.

• Cuando se recibe una nueva lista de compatibilidad de McAfee.

• Cuando se ejecuta la Herramienta de migración de datos. Consulte la Guía de instalación del softwareMcAfee ePolicy Orchestrator 5.1.0 para obtener detalles.

Verificación de compatibilidad de productos

La Verificación de compatibilidad de productos emplea un archivo XML, la Lista de compatibilidad de productos, paradeterminar qué extensiones de producto se sabe que no son compatibles con una versión de ePolicyOrchestrator.

El paquete de software de ePolicy Orchestrator que se descarga del sitio web de McAfee incluye unalista de compatibilidad de productos inicial. Cuando se ejecuta la configuración de ePolicy Orchestratordurante una instalación o ampliación, ePolicy Orchestrator recupera de manera automática la últimalista de extensiones compatibles de un origen de McAfee de confianza a través de Internet. Si elorigen de Internet no está disponible, o si no se puede verificar la lista, ePolicy Orchestrator utiliza laversión más reciente de la que disponga.

El servidor de McAfee ePO actualiza la Lista de compatibilidad de productos, que es un archivo de pequeñotamaño, en segundo plano una vez al día.

Corrección

Cuando vea la lista de extensiones incompatibles a través del instalador o de la Utilidad de compatibilidad deampliaciones de ePolicy Orchestrator, recibirá un aviso si hay una extensión de sustitución conocidadisponible.

En algunos casos, durante una ampliación:

• Una extensión "bloquea" la ampliación y debe sustituirse antes de que pueda continuar laampliación.

• Una extensión se "desactiva," pero debe actualizarla una vez finalizada la ampliación de ePolicyOrchestrator.

Consulte Extensiones bloqueadas o desactivadas para obtener más información.

Administrador de softwareVerificación de compatibilidad de productos 12


Desactivación de la actualización automáticaEs posible desactivar las actualizaciones automáticas de la Lista de compatibilidad de productos para evitarque se descargue una nueva lista.

La descarga se produce como parte de una tarea que se ejecuta en segundo plano o cuando seactualiza el contenido del Administrador de software. Esta opción es especialmente útil cuando el servidorde McAfee ePO no tiene acceso de entrada a Internet. Consulte Cambio de descarga de Lista decompatibilidad de productos para obtener detalles.

Al volver a activar la descarga de la Lista de compatibilidad de productos se vuelven a activar también lasactualizaciones automáticas en el Administrador de software de la Lista de compatibilidad de productos.

Uso de una Lista de compatibilidad de productos descargada de forma manualEs posible utilizar una Lista de compatibilidad de productos descargada de forma manual, por ejemplo si suservidor de McAfee ePO no tiene acceso a Internet.

Puede descargar la lista manualmente:

• Al instalar ePolicy Orchestrator. Consulte Extensiones bloqueadas o desactivadas para obtener másinformación.

• Al utilizar Configuración del servidor | Lista de compatibilidad de productos para cargar de forma manual unaLista de compatibilidad de productos. Esta lista surte efecto de forma inmediata tras la carga.

Desactive la actualización automática de la lista para evitar que se sobrescriba la Lista de compatibilidadde productos descargada manualmente. Consulte Cambio de descarga de Lista de compatibilidad de productospara obtener detalles.

• Haga clic en ProductCompatibilityList.xml para descargar la lista de forma manual.

Extensiones bloqueadas o desactivadasSi existe alguna extensión bloqueada en la Lista de compatibilidad de productos, no se podrá ampliar elsoftware ePolicy Orchestrator. Si una extensión está desactivada no se bloquea la ampliación, pero laextensión no se inicializa tras la ampliación hasta que se instale una extensión de sustitución conocidaen su lugar.

Opciones de lista de comandos para la instalación de la lista de compatibilidad deproductosPuede utilizar estas opciones de línea de comandos con el comando setup.exe para configurar lasdescargas de la Lista de compatibilidad de productos.

Opción Definición

setup.exe DISABLEPRODCOMPATUPDATE=1 Desactiva ladescargaautomática de laLista de compatibilidadde productos desde elsitio web deMcAfee.

setup.exePRODCOMPATXML=<nombre_de_archivo_completo_incluida_ruta_de_acceso>

Especifica unarchivo de Lista decompatibilidad deproductosalternativo.

Se pueden utilizar las dos opciones de línea de comandos juntas en la cadena de un comando.

12 Administrador de softwareVerificación de compatibilidad de productos


https://epo.mcafee.com/ProductCompatibilityList.xml

Reconfiguración de la lista de compatibilidad de productosPuede descargar automáticamente la lista de compatibilidad de productos de Internet o si se va autilizar una lista descargada de forma manual para identificar los productos que ya no son compatiblescon su entorno de ePolicy Orchestrator.

Antes de empezarSi decide cargar manualmente la lista de compatibilidad de productos descargada, debeutilizar un archivo XML válido proporcionado por McAfee.

Si realiza cambios en el archivo XML de la lista de compatibilidad de productos, el archivoqueda invalidado.


1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Lista de compatibilidad de productos enCategorías de configuración y, a continuación, haga clic en Editar.

Aparece una lista de extensiones no compatibles que se han desactivado, en una tabla en la páginaque se abre.

2 Haga clic en Desactivado para detener las descargas automáticas y regulares de la lista decompatibilidad de productos de McAfee.

3 Haga clic en Examinar para ir a Cargar lista de compatibilidad de productos y, a continuación, haga clic enGuardar.

Ahora que ha desactivado la descarga automática de la lista de compatibilidad de productos, suservidor de McAfee ePO utiliza la misma lista hasta que se cargue una nueva, o bien conecte elservidor a Internet y active la descarga automática.

Administrador de softwareVerificación de compatibilidad de productos 12


12 Administrador de softwareVerificación de compatibilidad de productos


13 Despliegue de productos

ePolicy Orchestrator simplifica el proceso de despliegue de productos de seguridad a los sistemasgestionados de su red gracias a una interfaz de usuario que permite configurar y planificar losdespliegues.Son dos los procesos que puede seguir para desplegar productos mediante ePolicy Orchestrator:

• Proyectos de Despliegue de productos, que agilizan el proceso de despliegue y proporcionan másfuncionalidad.

• Tareas y objetos tarea cliente creados y gestionados de forma individual.

Contenido Elección del método de despliegue de productos Ventajas de los proyectos de despliegue de productos Descripción de la página Despliegue de productos Visualización de los registros de auditoría de despliegue de productos Despliegue de productos mediante un proyecto de despliegue Supervisión y edición de proyectos de despliegue Ejemplo de despliegue de un nuevo McAfee Agent

Elección del método de despliegue de productosLa elección del método de despliegue de productos que debe utilizar depende de lo que ya tengaconfigurado.Los proyectos de Despliegue de productos ofrecen un flujo de trabajo simplificado y una mejora en lafuncionalidad para desplegar productos en sus sistemas gestionados por ePolicy Orchestrator. Sinembargo, no puede utilizar un proyecto de Despliegue de productos para que gestione o actúe sobreobjetos tarea cliente y tareas creadas en una versión del software anterior a la 5.0.

Si desea mantener y continuar utilizando tareas y objetos cliente creados fuera de un proyecto deDespliegue de productos, utilice la biblioteca y las interfaces de asignación de objetos tarea cliente. Puedemantener estas tareas y objetos existentes mientras utiliza la interfaz de proyectos de Despliegue deproductos para crear nuevos despliegues.

Ventajas de los proyectos de despliegue de productosLos proyectos de despliegue de productos simplifican el proceso de despliegue de productos deseguridad en su sistema gestionado reduciendo el tiempo y los costes necesarios para planificar ymantener despliegues en toda la red.Los proyectos de despliegue de productos simplifican el proceso de despliegue mediante laconsolidación de muchos de los pasos necesarios para crear y administrar tareas de despliegue deproductos de manera individual. Además, permiten:

13


• Ejecutar un despliegue de manera continua: esto permite configurar el proyecto de desplieguepara que cuando se agreguen nuevos sistemas que se ajusten a sus criterios, los productos sedesplieguen de manera automática.

• Detener un despliegue que se está ejecutando: si, por algún motivo, se ve obligado a detenerun despliegue una vez que se ha iniciado, puede hacerlo sin problema. A continuación, puedereanudar el proceso cuando esté preparado.

• Desinstalar un producto desplegado anteriormente: si se ha completado un proyecto dedespliegue y desea desinstalar el producto asociado de los sistemas asignados al proyecto, bastacon seleccionar Desinstalar en la lista de acciones.

La tabla siguiente compara los dos procesos para desplegar productos: tareas cliente individuales yproyectos de despliegue de productos.

Tabla 13-1 Comparación de los métodos de despliegue de productos

Tareas cliente Comparación delfuncionamiento

Proyecto de despliegue de productos

Nombre ydescripción

Igual Nombre y descripción

Recopilación desoftware deproductos paradesplegar

Igual Recopilación de software de productos para desplegar

Uso de etiquetaspara seleccionarsistemas dedestino

Mejora en proyectos dedespliegue de productos

Seleccione cuándo realizar el despliegue:• Continuo: los despliegues de tipo continuo utilizan

los grupos del árbol de sistemas o etiquetas paramover sistemas a dichos grupos o asignarlesetiquetas, y que el despliegue se aplique a estossistemas.

• Fijo: los despliegues de tipo fijo emplean un grupofijo, o definido, de sistemas. La selección de lossistemas se realiza mediante el árbol de sistemas olas consultas de sistemas gestionados.

Planificación deldespliegue

Similar La planificación simplificada de los desplieguespermite ejecutar los despliegues de forma inmediatao bien una vez a la hora planificada.

No disponible Nuevo en proyectos dedespliegue de productos

Supervise el estado de despliegue actual, porejemplo, los despliegues que se han planificado perono han comenzado, los que están en curso, o losdetenidos, interrumpidos o finalizados.


Consulte una instantánea histórica de los datos delnúmero de sistemas que recibirán el despliegue.

Solo para despliegues fijos.

13 Despliegue de productosVentajas de los proyectos de despliegue de productos


Tabla 13-1 Comparación de los métodos de despliegue de productos (continuación)

Tareas cliente Comparación delfuncionamiento

Proyecto de despliegue de productos


Vea el estado de los despliegues en cada sistema,por ejemplo, los sistemas instalados, pendientes ycon error.


Modifique una asignación de despliegue existente,para ello puede:• Crear un nuevo despliegue para modificar uno

existente.

• Editar

• Duplicar

• Eliminar

• Detener e interrumpir un despliegue.

• Continuar y reanudar un despliegue.

• Desinstalar

Despliegue de productosVentajas de los proyectos de despliegue de productos 13


Descripción de la página Despliegue de productosLa página Despliegue de productos es el lugar donde se crean, supervisan y administran los proyectosde despliegue de productos.

La página se divide en dos áreas principales (área 1 y área 2 en la imagen siguiente); a su vez, elárea 2 se divide en cinco áreas más pequeñas.

Figura 13-1 Página Despliegue de productos

Las áreas principales son:

1 Resumen del despliegue: contiene los despliegues de productos y permite filtrarlos por tipo yestado, así como ver rápidamente su evolución. Si hace clic en un despliegue, aparecen susdetalles en el área de detalles del despliegue.

Un icono de signo de exclamación indica que hay una desinstalación del despliegue en curso, o bienque el paquete que utiliza el despliegue ha sido movido o eliminado.

2 Detalles del despliegue: muestra los detalles del despliegue seleccionado e incluye las áreassiguientes:

13 Despliegue de productosDescripción de la página Despliegue de productos


2a Monitor de estado: la presentación del progreso y el estado varía en función del tipo dedespliegue y de su estado:• En los despliegues continuos aparece un calendario si el despliegue está pendiente o un

gráfico de barras mientras se está efectuando.

• En los despliegues fijos se muestra un calendario si el despliegue está pendiente, un gráficode barras si se ha seleccionado Actual o un histograma si se ha seleccionado Duración.

2b Detalles: permite comprobar los detalles de configuración del despliegue, su estado y, si esnecesario, hacer clic en Ver detalles de la tarea para abrir la página Editar despliegue.

2c Nombre del sistema: muestra una lista, que se puede filtrar, de sistemas de destino que recibiránel despliegue. Los sistemas que se muestran varían según el tipo de despliegue y si seseleccionaron de forma individual, como etiquetas, como grupos del árbol de sistemas omediante tablas de salida de consultas.

Al hacer clic en Acciones en sistemas, aparece la lista filtrada de sistemas en un cuadro de diálogocon otros detalles y podrá realizar acciones en los sistemas, como actualizarlos y activarlos.

2d Estado: muestra una barra de tres secciones que indica el progreso del despliegue y su estado.

2e Etiquetas: muestra las etiquetas asociadas con la fila de sistemas.

Visualización de los registros de auditoría de despliegue deproductos

Los registros de auditoría de los proyectos de despliegue contienen los registros de todos losdespliegues realizados desde la consola mediante la función Despliegue de productos.

Estas entradas del registro de auditoría se muestran en una tabla que puede ordenarse del área dedetalles de despliegue de la página Despliegue de productos, así como en la página Registro de auditoría, quecontiene las entradas del registro de todas las acciones de usuarios susceptibles de ser auditadas.Puede utilizar estos registros para realizar un seguimiento, crear, editar, duplicar, eliminar y desinstalardespliegues de productos. Haga clic en cualquier entrada del registro para ver los detalles.

Despliegue de productos mediante un proyecto de despliegueEl despliegue de productos de seguridad en los sistemas gestionados utilizando un proyecto dedespliegue permite seleccionar con facilidad los productos que se van a desplegar, los sistemas dedestino y la planificación del proceso.


Procedimiento1 Haga clic en Menú | Software | Despliegue de productos.

2 Haga clic en Nuevo despliegue para abrir la página Nuevo despliegue e iniciar un nuevo proyecto.

3 Escriba una nombre y una descripción para el despliegue. Este nombre aparece en la páginaDespliegue de productos una vez que se guarda el despliegue.

Despliegue de productosVisualización de los registros de auditoría de despliegue de productos 13


4 Elija el tipo de despliegue:

• Continuo: utiliza grupos del Árbol de sistemas o etiquetas para configurar los sistemas quereciben el despliegue. Esto permite que tales sistemas cambien a medida que son agregados oeliminados de los grupos o las etiquetas.

• Fijo: utiliza un grupo de sistemas fijo, o definido, para recibir el despliegue. La selección desistemas se realiza mediante el Árbol de sistemas o el resultado de la tabla Consultas de sistemasgestionados.

5 Para especificar el software que se desplegar, seleccione un producto de la lista Paquete. Haga clic en+ o - para agregar o eliminar paquetes.

Antes de poder ser desplegado, el software se debe haber incorporado al Repositorio principal. Loscampos Idioma y Rama se rellenan automáticamente, según la ubicación y el idioma especificados enel Repositorio principal.

6 En el campo de texto Línea de comandos, especifique las opciones de instalación correspondientes.Consulte en la documentación del producto del software que va a desplegar la información de lasopciones de línea de comando.

7 En la sección Seleccione los sistemas, haga clic en Seleccionar sistemas para abrir el cuadro de diálogoSelección de sistemas.

El cuadro de diálogo Selección de sistemas es un filtro que permite seleccionar grupos del Árbol desistemas, Etiquetas o un subconjunto de sistemas agrupados o etiquetados. Las seleccionesrealizadas en cada ficha de este cuadro de diálogo se concatenan para filtrar el grupo completo desistemas de destino del despliegue.

Por ejemplo, si el Árbol de sistemas contiene el "Grupo A", que incluye Servidores y Estaciones detrabajo, puede realizar el despliegue en el grupo completo, solo en los Servidores o solo en lasEstaciones de trabajo (si están etiquetados adecuadamente), o bien en un subconjunto de uno deesos tipos de sistemas del grupo A.

Los despliegues fijos tienen un límite de 500 sistemas para su recepción.

Si es necesario, configure lo siguiente:

• Ejecutar en cada implementación de directiva (solo Windows)

• Permitir a los usuarios finales aplazar este despliegue (solo Windows)

• Número máximo de aplazamientos permitidos

• La opción de aplazamiento caduca tras (segundos)

• Mostrar este texto

8 Escoja la hora de inicio o planificación de su despliegue:

• Ejecutar inmediatamente: inicia la tarea de despliegue durante el próximo ASCI.

• Una vez: abre el planificador para que pueda configurar la fecha y hora de inicio, y laaleatorización.

9 Cuando haya finalizado, haga clic en Guardar en la parte superior de la página. Se abre la páginaDespliegue de productos con el proyecto que ha añadido en la lista de despliegues.

Una vez creado un proyecto de despliegue, se crea automáticamente una tarea cliente con laconfiguración del despliegue.

13 Despliegue de productosDespliegue de productos mediante un proyecto de despliegue


Supervisión y edición de proyectos de despliegueLa página Despliegue de productos permite crear, controlar y modificar los proyectos de despliegue.

En el procedimiento siguiente, los primeros pasos describen el uso de la interfaz para seleccionar ysupervisar un proyecto de despliegue existente, mientras que los últimos pasos describen la selecciónde Acciones para modificar dicho proyecto.


1 Haga clic en Menú | Software | Despliegue de productos. Aparece la página Despliegue de productos.

2 Filtre la lista de proyectos de despliegue utilizando una de las opciones siguientes, o las dos:

• Tipo: filtra los despliegues que aparecen agrupados por tipo (todos, continuos o fijos).

• Estado: filtra los despliegues que aparecen agrupados por Todos, Finalizado, En progreso,Pendiente, En ejecución o Detenido.

3 Haga clic en un despliegue de la lista en la parte izquierda de la página para que aparezcan losdetalles en la parte derecha.

4 Utilice la sección de progreso de la vista de detalles para ver:

• Un calendario con la fecha de inicio de los despliegues pendientes continuos y fijos.

• Un histograma con los sistemas y la hora de finalización de los despliegues fijos.

• Una barra de estado que muestra el progreso del despliegue y la desinstalación de sistemas.

5 Haga clic en Acciones y en una de las opciones siguientes para modificar un despliegue:

• Editar • Reanudar

• Eliminar • Detener

• Duplicar • Desinstalar

• Marcar como finalizado

6 En la sección de detalles, haga clic en Ver detalles de la tarea para abrir la página Editar despliegue en laque puede ver y modificar la configuración del despliegue.

7 En la tabla Sistemas, haga clic en una de las siguientes opciones en la lista Filtrar para cambiar lossistemas que aparecen:

Las opciones de la lista varían según el estado actual del despliegue.

• Durante la desinstalación, los filtros incluyen: Todos, Paquetes eliminados, Pendiente y Error

• Durante todas las demás acciones, los filtros incluyen: Todos, Instalación correcta, Pendiente y Error

8 En la tabla Sistemas, puede:

• Comprobar el estado de cada fila de sistemas de destino en la columna Estado. Una barra deestado de tres secciones indica el progreso del despliegue.

• Comprobar las etiquetas asociadas con los sistemas de destino en la columna Etiquetas.

• Hacer clic en Acciones en sistemas para mostrar en una nueva página la lista de sistemas pararealizar acciones específicas con los sistemas seleccionados.

Despliegue de productosSupervisión y edición de proyectos de despliegue 13


Ejemplo de despliegue de un nuevo McAfee AgentTras la instalación de ePolicy Orchestrator y el despliegue de McAfee Agent iniciales, cualquierdespliegue de McAfee Agent adicional se debe crear utilizando bien un proyecto de Despliegue de productoso bien de forma manual mediante un objeto de Tarea cliente.

Antes de empezarAntes de iniciar esta tarea de ejemplo para desplegar McAfee Agent for Linux, debe haberagregado ya las plataformas Linux al Árbol de sistemas de ePolicy Orchestrator.

El despliegue del agente es el primer paso cuando se instala originalmente ePolicy Orchestrator y seempieza a utilizarlo; el agente McAfee Agent inicial que se despliega se actualiza automáticamente demanera silenciosa siempre que haya una nueva versión disponible. No obstante, si entre sus sistemasde red gestionados se incluye más de un tipo de plataforma de sistema operativo, tales sistemasnecesitarán un agente McAfee Agent distinto. Por ejemplo, dado que la mayoría de sistemas de redgestionados por ePolicy Orchestrator utilizan plataformas con sistemas operativos Windows, si su redcuenta con alguna plataforma Linux esta necesitará que se instale McAfee Agent for Linux.

Consulte Despliegue de productos y la Ayuda para obtener detalles sobre la función, la interfaz deusuario y las opciones.

En esta tarea se describe:

• La creación del proyecto de Despliegue de productos para McAfee Agent for Linux.

• La confirmación de que el proyecto ha desplegado el agente.

• La confirmación de que las plataformas Linux están siendo gestionadas por ePolicy Orchestrator.

Procedimiento1 Para crear el nuevo proyecto de Despliegue de productos, haga clic en Menú | Software | Despliegue de

productos | Nuevo despliegue.

2 En la página Nuevo despliegue, configure estas opciones:

Opción Descripción

Nombre yDescripción

Escriba el Nombre y la Descripción de este despliegue. Por ejemplo, escribaDespliegue de McAfee Agent para Linux.

Este nombre aparece en la página Despliegue una vez que se guarda el despliegue.

Tipo Seleccione Continuo en la lista.Este tipo utiliza sus grupos del árbol de sistemas o etiquetas para configurar lossistemas que van a recibir el despliegue. Esto permite que tales sistemas cambiena medida que son agregados o eliminados de los grupos o las etiquetas.

Paquete Seleccione McAfee Agent for Linux en la lista.

Idioma y Rama Si es necesario y no utiliza los valores predeterminados, seleccione el Idioma y laRama.

Línea decomandos

En el campo de texto, especifique las opciones de instalación que corresponda.Consulte la Guía del producto de McAfee Agent para obtener detalles sobre lasopciones de la línea de comandos.

13 Despliegue de productosEjemplo de despliegue de un nuevo McAfee Agent



Seleccione lossistemas

Haga clic en Seleccionar sistemas para abrir el cuadro de diálogo Selección de sistemas.El cuadro de diálogo Selección de sistemas es un filtro que permite seleccionar gruposdel árbol de sistemas, etiquetas o un subconjunto de sistemas agrupados oetiquetados. Las selecciones realizadas en cada ficha de este cuadro de diálogo seconcatenan para filtrar el grupo completo de sistemas de destino del despliegue.

Por ejemplo, si el árbol de sistemas contiene "Sistemas Linux", que incluye tantoServidores como Estaciones de trabajo, puede dirigir el despliegue a todo el grupo,solo a los Servidores o solo a las Estaciones de trabajo (si están etiquetadosadecuadamente), o bien a un subconjunto de uno de esos tipos de sistemas de lossistemas Linux.

Si es necesario, configure lo siguiente:• Ejecutar en cada implementación de directiva (solo Windows)

• Permitir a los usuarios finales aplazar este despliegue (solo Windows)

• Número máximo de aplazamientos permitidos

• La opción de aplazamiento caduca tras (segundos)

• Mostrar este texto

Seleccione unahora de inicio

Escoja la hora de inicio o planificación de su despliegue:• Ejecutar inmediatamente: inicia la tarea de despliegue durante el siguiente intervalo

de comunicación agente-servidor.

• Una vez: abre el planificador para que pueda configurar la fecha y hora de inicio,así como la ejecución aleatoria.

Guardar Cuando haya terminado, haga clic en Guardar en la parte superior de la página. Seabre la página Despliegue de productos con el nuevo proyecto agregado a la lista dedespliegues.

Tras crear un proyecto de despliegue, se crea automáticamente una tarea cliente con laconfiguración del despliegue.

3 En la página Despliegue de productos, confirme que el proyecto de Despliegue de productos de McAfee Agentfor Linux funciona correctamente comprobando esta información.


Resumen deldespliegue

Haga clic en el proyecto de Despliegue de productos correspondiente a Despliegue deMcAfee Agent para Linux que ha creado en el paso anterior y los detalles aparecerán enla parte derecha de la página.

Dado que se trata de un despliegue continuo, aparece el símbolo de infinito bajo En curso.

Detalles deldespliegue

Le permite:• Hacer clic en Acciones para modificar el despliegue seleccionado.

• Ver el Progreso, el Estado y los Detalles del despliegue seleccionado.

• Ver los Sistemas, las Acciones en sistemas, el Estado y las Etiquetas asociados aldespliegue seleccionado.

Tras completar este proceso de ejemplo, las plataformas Linux que ha agregado a su Árbol de sistemastendrán instalado McAfee Agent for Linux y ya deben estar siendo gestionadas por ePolicyOrchestrator.

Despliegue de productosEjemplo de despliegue de un nuevo McAfee Agent 13


13 Despliegue de productosEjemplo de despliegue de un nuevo McAfee Agent


14 Administración de directivas

Las directivas garantizan que las funciones de un producto se configuren correctamente en lossistemas gestionados.

La administración de los productos desde una única ubicación central es una característicafundamental de ePolicy Orchestrator. Esto se consigue mediante la aplicación e implementación dedirectivas de productos. Las directivas garantizan la correcta configuración de las funciones de unproducto, mientras que las tareas cliente son las acciones planificadas que se ejecutan en los sistemasgestionados que albergan software del cliente.

Contenido Directivas e implementación de directivas Aplicación de directivas Creación y mantenimiento de directivas Configuración de directivas por primera vez Administración de directivas Reglas de asignación de directivas Creación de consultas de administración de directivas Visualización de la información de las directivas Cómo compartir directivas entre servidores de McAfee ePO Distribución de la directiva a varios servidores de McAfee ePO

Directivas e implementación de directivasUna directiva es un conjunto de parámetros de configuración que se crean, configuran y,posteriormente, se implementan. Las directivas garantizan que el software de seguridad gestionadoestá configurado y funciona según esta configuración.

Algunos parámetros de configuración de directivas coinciden con los que se configuran en la interfazdel producto instalado en el sistema gestionado. Otros parámetros de configuración conforman lainterfaz principal para configurar el producto o componente. La consola de ePolicy Orchestratorpermite configurar las directivas para todos los productos y sistemas desde una ubicación central.

Categorías de directivas

Los valores de configuración de directivas de la mayoría de los productos se agrupan por categoría.Cada categoría se refiere a un subconjunto específico de valores de configuración de directivas. Lasdirectivas se crean por categoría. En la página Catálogo de directivas, las directivas se muestran porproducto y categoría. Cuando se abre una directiva existente o se crea una nueva, sus valores deconfiguración se organizan en fichas.

14


Dónde se encuentran las directivas

Para ver todas las directivas que han sido creadas por categoría de directivas, haga clic en Menú |Directiva | Catálogo de directivas y, a continuación, seleccione un Producto y una Categoría en las listasdesplegables respectivas. En la página Catálogo de directivas, los usuarios solo pueden ver las directivasde los productos para los que tienen permisos.

Para ver qué directivas, por producto, se aplican a un grupo específico del Árbol de sistemas, haga clic enMenú | Sistemas | Árbol de sistemas | Directivas asignadas, seleccione un grupo y, a continuación, seleccione unProducto en la lista desplegable.

Existe una directiva McAfee Default para cada categoría. No se puede eliminar, editar, exportar ni cambiarel nombre de estas directivas, pero sí se puede copiarlas y editar la copia.

Cómo se define la implementación de directivas

Para cada producto o componente gestionado, puede elegir si el agente implementa todas o ningunade las selecciones de directivas del producto o componente correspondiente.

En la página Directivas asignadas, elija si implementar las directivas para los productos o componentes delgrupo seleccionado.

En la página Catálogo de directivas puede ver las asignaciones de directivas, dónde se aplican y si se hanimplementado. También puede bloquear la implementación de directivas para impedir cambios en laimplementación por debajo del nodo bloqueado.

Si la implementación de directivas está desactivada, los sistemas del grupo especificado no recibenlistas Sitelist actualizadas durante las comunicaciones agente-servidor. Como consecuencia, es posibleque los sistemas gestionados del grupo no funcionen según lo esperado. Por ejemplo, podría configurarlos sistemas gestionados para que se comuniquen con un administrador de agentes A, pero, con laimplementación de directivas desactivada, los sistemas gestionados no recibirán la nueva lista Sitelistcon esta información, por lo que informan a un administrador de agentes distinto que aparece en unalista Sitelist caducada.

Cuándo se implementan las directivas

Cuando se cambia la configuración de las directivas, los cambios se envían a los sistemas gestionadosy se implementan en la siguiente comunicación agente-servidor. La frecuencia de esta comunicaciónviene determinada por la configuración del Intervalo de comunicación agente-servidor (ASCI) en la ficha Generalde la página de directivas de McAfee Agent, o bien de la planificación de la tarea cliente Activación de McAfeeAgent (dependiendo de cómo se implemente la comunicación agente-servidor). El valor predeterminadode este intervalo es 60 minutos.

Una vez que la configuración de directivas está activa en el sistema gestionado, el agente sigueimplementándola de forma local a intervalos regulares. Este intervalo de implementación vienedeterminado por la configuración del Intervalo de implementación de directivas en la ficha General de las páginasde directivas de McAfee Agent. El valor predeterminado de este intervalo es cinco minutos.

La configuración de las directivas de los productos de McAfee se implementa de forma inmediata en elintervalo de implementación de directivas, y en cada comunicación agente-servidor si la configuraciónde las directivas ha cambiado.

Exportación e importación de directivas

Si tiene varios servidores, puede exportar e importar directivas entre ellos mediante archivos XML. Enun entorno de este tipo, solo es necesario crear una directiva una vez.

Puede exportar e importar una sola directiva o bien todas las directivas de un producto determinado.

14 Administración de directivasDirectivas e implementación de directivas


Esta función también se puede utilizar para crear una copia de seguridad de las directivas por sinecesita volver a instalar el servidor.

Compartir directivasLa capacidad para compartir directivas es otra forma de transferir directivas entre servidores.Compartir directivas permite administrar las directivas en un servidor y utilizarlas en muchosservidores más a través de la consola de McAfee ePO.

Aplicación de directivasLas directivas se aplican a los sistemas mediante uno de estos métodos: herencia o asignación.

HerenciaLa herencia determina si la configuración de directivas y las tareas cliente de un grupo o sistema setoman de su nodo principal. La herencia está activada de manera predeterminada en todo el Árbol desistemas.

Cuando se interrumpe la herencia asignando una nueva directiva en algún punto del Árbol de sistemas,todos los grupos y sistemas secundarios que se definan a partir de ese punto de asignación heredan ladirectiva.

AsignaciónPuede asignar cualquier directiva del Catálogo de directivas a cualquier grupo o sistema, siempre quedisponga de los permisos adecuados. La asignación permite definir la configuración de directivas unavez para una necesidad específica y después aplicarla a varias ubicaciones.

Cuando se asigna una nueva directiva a un grupo determinado del Árbol de sistemas, todos los grupos ysistemas secundarios que se definan a partir de ese punto de asignación heredan la directiva.

Bloqueo de asignacionesPuede bloquear la asignación de una directiva en cualquier grupo o sistema, siempre que disponga delos permisos adecuados. El bloqueo de asignaciones impide que otros usuarios:

• Con los permisos adecuados en el mismo nivel del Árbol de sistemas sustituyan una directiva demanera inadvertida.

• Con menos permisos (o los mismos, pero en un nivel inferior del Árbol de sistemas), sustituyan ladirectiva.

El bloqueo de asignaciones se hereda con la configuración de directivas.

El bloqueo de asignaciones resulta útil cuando se desea asignar una directiva determinada en la partesuperior del Árbol de sistemas y asegurarse de que ningún otro usuario la pueda sustituir en ningún otropunto del Árbol de sistemas.

Mediante el bloqueo, solo se bloquea la asignación de la directiva, pero no se impide al propietariorealizar cambios en su configuración. Por lo tanto, si tiene intención de bloquear una asignación dedirectiva, asegúrese de que es su propietario.

Propietarios de las directivasEn la página Catálogo de directivas están disponibles todas las directivas para productos y funciones sobrelas que tiene permisos. Para impedir que un usuario modifique las directivas de otro usuario, cadadirectiva se asigna a un propietario: el usuario que la creó.

Administración de directivasAplicación de directivas 14


La propiedad evita que personas distintas del creador de la directiva o el administrador puedanmodificar o eliminar una directiva. Cualquier usuario con permisos adecuados puede asignar cualquierdirectiva de la página Catálogo de directivas, sin embargo, la capacidad para editarla está reservada alpropietario o a un administrador.

Si asigna una directiva de la que no es propietario a sistemas gestionados, tenga en cuenta que si elpropietario de la directiva la modifica todos los sistemas a los que esté asignada recibirán lasmodificaciones. Por tanto, si desea utilizar una directiva que es propiedad de otro usuario, McAfeerecomienda que antes la duplique y asigne el duplicado a una ubicación. De esta forma, se convertiráen propietario de la directiva asignada.

Puede especificar varios usuarios como propietarios de una sola directiva.

Creación y mantenimiento de directivasEstos procedimientos permiten crear y mantener directivas des de la página Catálogo de directivas.

Procedimientos• Creación de una directiva en la página Catálogo de directivas en la página 170

Las directivas personalizadas que se crean utilizando el Catálogo de directivas no seasignan a ningún grupo o sistema. Las directivas se pueden crear antes o después de quese despliegue un producto.

• Administración de una directiva existente en la página Catálogo de directivas en la página171Edite, duplique, renombre o elimine una directiva.

Creación de una directiva en la página Catálogo de directivas Las directivas personalizadas que se crean utilizando el Catálogo de directivas no se asignan a ningúngrupo o sistema. Las directivas se pueden crear antes o después de que se despliegue un producto.


Procedimiento1 Abra el cuadro de diálogo Nueva directiva.

a Haga clic en Menú | Directiva | Catálogo de directivas.

b Seleccione el producto y la categoría en las listas desplegables.

Todas las directivas creadas para la categoría seleccionada aparecen en el panel Detalles.

c Haga clic en Nueva directiva.

2 Seleccione la directiva que desea duplicar en la lista desplegable Crear una directiva basada en esta otraexistente.

3 Escriba un nombre para la nueva directiva y haga clic en Aceptar.

Se abrirá el asistente Configuración de directivas.

4 Edite los valores de configuración de la directiva en cada una de las fichas según sus preferencias.


14 Administración de directivasCreación y mantenimiento de directivas


Administración de una directiva existente en la página Catálogo dedirectivasEdite, duplique, renombre o elimine una directiva.


Procedimiento1 Para seleccionar una directiva existente, haga clic en Menú | Directiva | Catálogo de directivas y, a

continuación, seleccione el Producto y la Categoría en las listas desplegables.

Aparecen en el panel de detalles todas las directivas creadas para la categoría seleccionada.

2 Seleccione el producto y la categoría en las listas para la directiva que va a modificar.

Aparecen en el panel de detalles todas las directivas creadas para la categoría seleccionada.


Acción Pasos

Editar laconfiguración deuna directiva

1 Localice la directiva adecuada y haga clic en su nombre.

2 Modifique los valores según sus preferencias y, a continuación, haga clic enGuardar.

Duplicar unadirectiva

1 Localice la directiva que duplicar y, a continuación, haga clic en Duplicar en lafila de esa directiva.Aparece el cuadro de diálogo Duplicar directiva existente.

2 Escriba el nombre de la nueva directiva en el campo y, a continuación, hagaclic en Aceptar.La nueva directiva aparece en la página Catálogo de directivas.

3 Haga clic en la nueva directiva en la lista.

4 Modifique los valores según sus preferencias y, a continuación, haga clic enGuardar.

La directiva duplicada aparece en el panel de detalles con su nuevo nombre ysu nueva configuración.

Cambiar elnombre de unadirectiva

1 Localice la directiva cuyo nombre desea cambiar y, a continuación, haga clicen Cambiar nombre en la fila de la directiva.Aparece el cuadro de diálogo Cambiar nombre de directiva.

2 Escriba un nuevo nombre para la directiva existente y haga clic en Aceptar.

Aparecen en el panel de detalles las directivas a las que se les ha cambiado elnombre.

Eliminar undirectiva

1 Localice la directiva y, a continuación, haga clic en Eliminar en la fila de ladirectiva.

2 Cuando se le solicite, haga clic en Aceptar.

La directiva eliminada desaparece del panel de detalles.

Administración de directivasCreación y mantenimiento de directivas 14


Configuración de directivas por primera vezSiga estos importantes pasos la primera vez que configure sus directivas.

1 Planifique las directivas de los productos para los segmentos de su árbol de sistemas.

2 Cree y asigne directivas a grupos y sistemas.

Administración de directivasEstos procedimientos permiten asignar y mantener las directivas de su entorno.

Procedimientos

• Cambio de los propietarios de una directiva en la página 172De manera predeterminada, la propiedad se asigna al usuario que crea la directiva. Sidispone de los permisos necesarios, puede modificar la propiedad de una directiva.

• Cómo mover directivas entre servidores de McAfee ePO en la página 173Para mover directivas entre servidores de McAfee ePO, debe exportar las directivas a unarchivo XML desde la página Catálogo de directivas del servidor de origen e importarlas a lapágina Catálogo de directivas del servidor de destino.

• Asignación de una directiva a un grupo del Árbol de sistemas en la página 174Asigne una directiva a un grupo concreto del Árbol de sistemas. Las directivas se puedenasignar antes o después de desplegar un producto.

• Asignación de una directiva a un sistema gestionado en la página 175Este procedimiento permite asignar una directiva a un sistema gestionado. Las directivas sepueden asignar antes o después de que se despliegue un producto.

• Asignación de una directiva a sistemas de un grupo del Árbol de sistemas en la página 175Asigne una directiva a varios sistemas gestionados de un grupo Las directivas se puedenasignar antes o después de que se despliegue un producto.

• Implementación de directivas para un producto en un grupo del Árbol de sistemas en lapágina 176Active o desactive la implementación de directivas para un producto en un grupo. Laimplementación de directivas está activada de forma predeterminada y se hereda en elÁrbol de sistemas.

• Implementación de directivas para un producto en un sistema en la página 176Active o desactive la implementación de directivas para un producto en un sistemagestionado. La implementación de directivas está activada de forma predeterminada y sehereda en el Árbol de sistemas.

• Copia de asignaciones de directivas en la página 176Puede copiar asignaciones de directivas de un grupo o sistema a otro. Se trata de unamanera sencilla de compartir varias asignaciones entre grupos y sistemas de distintaspartes del árbol de sistemas.

Cambio de los propietarios de una directivaDe manera predeterminada, la propiedad se asigna al usuario que crea la directiva. Si dispone de lospermisos necesarios, puede modificar la propiedad de una directiva.


Procedimiento

1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, seleccione el Producto y la Categoría.

Todas las directivas creadas para esa categoría seleccionada aparecen en el panel de detalles.

14 Administración de directivasConfiguración de directivas por primera vez


2 Localice la directiva que desee y, a continuación, haga clic en el propietario de la directiva.

Aparece la página Propiedad de directiva para.

3 Seleccione los propietarios de la directiva en la lista y, a continuación, haga clic en Aceptar.

Cómo mover directivas entre servidores de McAfee ePOPara mover directivas entre servidores de McAfee ePO, debe exportar las directivas a un archivo XMLdesde la página Catálogo de directivas del servidor de origen e importarlas a la página Catálogo de directivasdel servidor de destino.

Procedimientos• Exportación de una única directiva en la página 173

Exporte una única directiva a un archivo XML y, a continuación, utilice este archivo paraimportar la directiva en otro servidor de McAfee ePO o bien para conservarlo como copia deseguridad de la directiva.

• Exportación de todas las directivas de un producto en la página 173Exporte todas las directivas de un producto a un archivo XML. Utilice este archivo paraimportar las directivas a otro servidor de McAfee ePO o bien consérvelo como copia deseguridad de las directivas.

• Importación de directivas en la página 174Este procedimiento permite importar un archivo XML de directivas. El procedimiento paraimportar directivas es igual independientemente de si se exportó una sola directiva o todaslas directivas con nombre.

Exportación de una única directivaExporte una única directiva a un archivo XML y, a continuación, utilice este archivo para importar ladirectiva en otro servidor de McAfee ePO o bien para conservarlo como copia de seguridad de ladirectiva.


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, seleccione el Producto y la Categoría

en las listas desplegables.

Todas las directivas creadas para la categoría seleccionada aparecen en el panel Detalles.

2 Localice la directiva y, a continuación, haga clic en Exportar junto a ella.

Aparece la página Exportar.

3 Haga clic con el botón derecho del ratón en el vínculo para descargar y guardar el archivo.

4 Póngale un nombre al archivo XML de la directiva y guárdelo.

Si piensa importar este archivo en un servidor de McAfee ePO diferente, asegúrese de que elservidor de McAfee ePO de destino pueda acceder a esta ubicación.

Exportación de todas las directivas de un productoExporte todas las directivas de un producto a un archivo XML. Utilice este archivo para importar lasdirectivas a otro servidor de McAfee ePO o bien consérvelo como copia de seguridad de las directivas.


Administración de directivasAdministración de directivas 14


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, seleccione el Producto y la Categoría.

Todas las directivas creadas para la categoría seleccionada aparecen en el panel de detalles.

2 Haga clic en Exportar junto a Directivas para el producto. Aparece la página Exportar.

3 Haga clic con el botón derecho del ratón en el vínculo para descargar y guardar el archivo.

Si piensa importar este archivo en un servidor de McAfee ePO diferente, asegúrese de que elservidor de McAfee ePO de destino pueda acceder a esta ubicación.

Importación de directivasEste procedimiento permite importar un archivo XML de directivas. El procedimiento para importardirectivas es igual independientemente de si se exportó una sola directiva o todas las directivas connombre.


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, en Importar junto a Directivas para el

producto.

2 Navegue hasta el archivo XML de directivas y selecciónelo; a continuación, haga clic en Aceptar.

3 Seleccione las directivas que desea importar y haga clic en Aceptar.

Las directivas se agregan al catálogo de directivas.

Asignación de una directiva a un grupo del Árbol de sistemasAsigne una directiva a un grupo concreto del Árbol de sistemas. Las directivas se pueden asignarantes o después de desplegar un producto.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas y, a continuación, seleccione un

producto.

Las directivas asignadas por categoría aparecen en el panel de detalles.

2 Localice la categoría de directivas que desee y, a continuación, haga clic en Editar asignación.

3 Si la directiva es heredada, seleccione Interrumpir herencia y asignar la directiva y la configuración a partir de estepunto junto a Heredada de.

4 Seleccione la directiva en la lista desplegable Directiva asignada.

Desde esta ubicación también puede editar la configuración de la directiva seleccionada o crear unadirectiva.

5 Elija si desea bloquear la herencia de directivas.

El bloqueo de la herencia de directivas impide que a los sistemas que heredan esta directiva se lesasigne otra en su lugar.


14 Administración de directivasAdministración de directivas


Asignación de una directiva a un sistema gestionadoEste procedimiento permite asignar una directiva a un sistema gestionado. Las directivas se puedenasignar antes o después de que se despliegue un producto.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione un grupo del

Árbol de sistemas.

Todos los sistemas de este grupo (pero no sus subgrupos) aparecen en el panel de detalles.

2 Seleccione un sistema y haga clic en Acciones | Agente | Modificar directivas en un solo sistema.

Aparecerá la página Asignación de directivas correspondiente a ese sistema.

3 Seleccione un producto.

Se muestran las categorías del producto seleccionado con la directiva asignada del sistema.

4 Localice la categoría de directivas que desee y, a continuación, haga clic en Editar asignaciones.

5 Si la directiva es heredada, seleccione Interrumpir herencia y asignar la directiva y la configuración a partir de estepunto junto a Heredada de.

6 Seleccione la directiva en la lista desplegable Directiva asignada.

Desde esta ubicación, también puede editar la configuración de la directiva seleccionada o crear unadirectiva.


El bloqueo de la herencia de directivas impide que a los sistemas que heredan esta directiva se lesasigne otra en su lugar.


Asignación de una directiva a sistemas de un grupo del Árbolde sistemasAsigne una directiva a varios sistemas gestionados de un grupo Las directivas se pueden asignar anteso después de que se despliegue un producto.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione un grupo en el

Árbol de sistemas.

Todos los sistemas de este grupo (pero no sus subgrupos) aparecen en el panel de detalles.

2 Seleccione los sistemas que desee y, a continuación, haga clic en Acciones | Agente | Definir la directiva yla herencia.

Aparece la página Asignar directiva.

3 Seleccione el Producto, la Categoría y la Directiva en la lista desplegable.

4 Seleccione si desea Restablecer herencia o Interrumpir herencia y haga clic en Guardar.



Implementación de directivas para un producto en un grupo delÁrbol de sistemasActive o desactive la implementación de directivas para un producto en un grupo. La implementaciónde directivas está activada de forma predeterminada y se hereda en el Árbol de sistemas.


Procedimiento1 Haga clic en Menú | Sistemas | Ärbol de sistemas | Directivas asignadas y, a continuación, seleccione un

grupo en el Árbol de sistemas.

2 Seleccione el producto que desee y, a continuación, haga clic en el vínculo situado junto a Estado deimplementación.

Aparece la página Implementación.

3 Para cambiar el estado de implementación, seleccione Interrumpir herencia y asignar la directiva y laconfiguración a partir de este punto.

4 Junto a Estado de implementación, seleccione Implementar o No implementar según corresponda.


Bloquear la herencia para la implementación de una directiva evita que se interrumpa laimplementación para grupos y sistemas que heredan dicha directiva.


Implementación de directivas para un producto en un sistemaActive o desactive la implementación de directivas para un producto en un sistema gestionado. Laimplementación de directivas está activada de forma predeterminada y se hereda en el Árbol desistemas.


Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y, a continuación, seleccione el grupo en Árbol

de sistemas al que pertenece el sistema.

Aparece la lista de sistemas que pertenecen a este grupo en el panel de detalles.

2 Seleccione un sistema y, a continuación, haga clic en Acciones | Modificar directivas en un solo sistema.

Aparece la página Asignación de directivas.

3 Seleccione un Producto y, a continuación, haga clic en Implementar junto a Estado de implementación.

Aparece la página Implementación de directiva para.

4 Si desea cambiar el estado de implementación, debe seleccionar primero Interrumpir herencia y asignar ladirectiva y la configuración a partir de este punto.

5 Junto a Estado de implementación, seleccione Implementar o No implementar según corresponda.


Copia de asignaciones de directivasPuede copiar asignaciones de directivas de un grupo o sistema a otro. Se trata de una manera sencillade compartir varias asignaciones entre grupos y sistemas de distintas partes del árbol de sistemas.



Procedimientos• Copia de asignaciones de directivas de un grupo en la página 177

Este procedimiento permite copiar asignaciones de directivas de un grupo del árbol desistemas a otro.

• Copia de asignaciones de directivas de un sistema en la página 177Copie asignaciones de directivas de un determinado sistema.

• Cómo pegar asignaciones de directivas en un grupo en la página 177Puede pegar asignaciones de directivas en un grupo tras copiarlas de un grupo o sistema.

• Cómo pegar asignaciones de directivas en un sistema específico en la página 178Pegue las asignaciones de directivas en un sistema específico tras copiar las asignacionesde directivas de un grupo o sistema.

Copia de asignaciones de directivas de un grupoEste procedimiento permite copiar asignaciones de directivas de un grupo del árbol de sistemas a otro.




2 Haga clic en Acciones | Copiar asignaciones.

3 Seleccione los productos o funciones para los que desea copiar asignaciones de directivas y hagaclic en Aceptar.

Copia de asignaciones de directivas de un sistemaCopie asignaciones de directivas de un determinado sistema.



Árbol de sistemas.

Los sistemas que pertenezcan al grupo seleccionado aparecen en el panel de detalles.

2 Seleccione un sistema y haga clic en Acciones | Agente | Modificar directivas en un solo sistema.

3 Haga clic en Acciones | Copiar asignaciones, seleccione los productos o las funciones para las que deseecopiar asignaciones de directivas y, a continuación, haga clic en Aceptar.

Cómo pegar asignaciones de directivas en un grupoPuede pegar asignaciones de directivas en un grupo tras copiarlas de un grupo o sistema.




Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas y, a continuación, seleccione el grupo

deseado en el Árbol de sistemas.

2 En el panel de detalles, haga clic en Acciones y seleccione Pegar asignaciones.

Si el grupo ya tiene asignadas directivas para algunas categorías, aparece la página Sustituirasignaciones de directiva para.

Cuando se pegan asignaciones de directivas, aparece la directiva Implementación de directivas y tareas en lalista. Esta directiva controla el estado de implementación de otras directivas.

3 Seleccione las categorías de directivas que desee sustituir por las directivas copiadas y haga clic enAceptar.

Cómo pegar asignaciones de directivas en un sistema específicoPegue las asignaciones de directivas en un sistema específico tras copiar las asignaciones de directivasde un grupo o sistema.



Árbol de sistemas.

Todos los sistemas que pertenezcan al grupo seleccionado aparecen en el panel de detalles.

2 Seleccione el sistema en el que desea pegar las asignaciones de directivas y haga clic en Acciones |Agente | Modificar directivas en un solo sistema.

3 En el panel de detalles, haga clic en Acciones | Pegar asignación.

Si el sistema ya tiene asignadas directivas para algunas categorías, aparece la página Sustituirasignaciones de directiva para.

Cuando se pegan asignaciones de directivas, aparece la directiva Implementación de directivas y tareas en lalista. Esta directiva controla el estado de implementación de otras directivas.

4 Confirme la sustitución de las asignaciones.



Reglas de asignación de directivasLas reglas de asignación de directivas simplifican el exceso de trabajo que supone administrar variasdirectivas para los distintos usuarios o sistemas que cumplen determinados criterios, al tiempo quemantienen directivas más genéricas en todo el árbol de sistemas.

Este nivel de precisión en la asignación de directivas reduce los casos de interrupción de herencia enel árbol de sistemas, necesarios para adaptar la configuración de directivas que requieren los distintosusuarios o sistemas. Las asignaciones de directivas pueden estar basadas en criterios específicos parausuarios o para sistemas:

• Directivas basadas en usuario: son las que incluyen al menos un criterio específico para usuarios.Por ejemplo, puede crear una regla de asignación de directivas que se implemente para todos losusuarios del grupo de ingeniería. A continuación, puede crear otra regla de asignación de directivaspara los miembros del departamento de informática, de manera que puedan iniciar una sesión encualquier equipo de la red de ingeniería, con el conjunto de permisos que necesitan para resolverproblemas en un sistema específico de esa red. Las directivas basadas en usuario pueden incluirtambién criterios basados en sistemas.

• Directivas basadas en sistema: son las que incluyen solamente criterios específicos para sistemas.Por ejemplo, puede crear una regla de asignación de directivas que se implemente en todos losservidores de la red según las etiquetas que se han aplicado, o en todos los sistemas de unaubicación determinada del árbol de sistemas. Las directivas basadas en sistema no pueden incluircriterios basados en los usuarios.

Prioridad de las reglas de asignación de directivasPuede asignarse una prioridad a las reglas de asignación de directivas para simplificar elmantenimiento de la administración de la asignación de directivas. Cuando define una prioridad parauna regla, esta se implementa antes que otras asignaciones con una prioridad inferior.

En algunos casos, el resultado puede ser la sustitución de algunas configuraciones de reglas. Porejemplo, supongamos que un usuario o sistema está incluido en dos reglas de asignación dedirectivas: reglas A y B. La regla A tiene una prioridad de nivel 1 y concede a los usuarios incluidosacceso sin restricciones al contenido de Internet. La regla B tiene una prioridad de nivel 2 y restringeenormemente el acceso al contenido de Internet a dichos usuarios. En este caso, se implementa laregla A porque tiene una prioridad mayor. Como consecuencia, los usuarios tienen acceso sinrestricciones al contenido de Internet.

Cómo funcionan las directivas multinodo con la prioridad de las reglas deasignación de directivas

En el caso de las directivas multinodo no se tiene en cuenta la prioridad de las reglas. Cuando seaplica una sola regla que contiene directivas multinodo de la misma categoría de productos, secombina la configuración de todas las directivas multinodo. De forma similar, si se aplican varias reglasque contienen configuraciones de directiva multinodo, se combinan las configuraciones de cada una delas directivas multinodo. El resultado es que la directiva aplicada es una combinación de laconfiguración de cada una de las reglas.

Solo se pueden agregar directivas multinodo del mismo tipo; o basadas en usuario o basadas ensistema. Sin embargo, las directivas multinodo asignadas mediante reglas de asignación de directivasno se pueden agregar a las directivas multinodo asignadas en el árbol de sistemas. Las directivas

Administración de directivasReglas de asignación de directivas 14


multinodo asignadas mediante reglas de asignación de directivas tienen prioridad sobre las asignadasen el árbol de sistemas. Además, las directivas basadas en usuario tienen prioridad sobre las basadasen sistema. Consideremos el siguiente caso:

Tipo dedirectiva

Tipo de asignación Nombre dedirectiva

Configuración de directivas

Directivagenérica

Directiva asignada enel árbol de sistemas

A Impide el acceso a Internet desde todoslos sistemas a los que se ha asignado ladirectiva.

Basada ensistema

Regla de asignación dedirectiva

B Permite el acceso a Internet desde lossistemas con la etiqueta "Portátil".

Basada enusuario

Regla de asignación dedirectiva

C Permite el acceso a Internet sin límites atodos los usuarios del grupo de usuariosAdmin, desde todos los sistemas.

Caso práctico: uso de directivas multinodo para controlar el acceso a Internet

En el árbol de sistemas, hay un grupo denominado "Ingeniería" compuesto por sistemas con laetiqueta "Servidor" o "Portátil". En el árbol de sistemas, la directiva A se asigna a todos los sistemasde este grupo. Si se asigna la directiva B a cualquier ubicación del árbol de sistemas situada encimadel grupo Ingeniería mediante una regla de asignación de directivas, se sustituye la configuración dela directiva A y se autoriza a los sistemas con la etiqueta "Portátil" el acceso a Internet. Si se asigna ladirectiva C a cualquier grupo del árbol de sistemas que se encuentre encima del grupo Ingeniería, losusuarios del grupo Admin podrán acceder a Internet desde todos los sistemas, incluidos los del grupoIngeniería que tengan la etiqueta "Servidor".

Exclusión de objetos de Active Directory de directivas agregadas

Las reglas compuestas por directivas multinodo se aplican a los sistemas asignados con independenciade la prioridad, por lo que es posible que, en algunos casos, deba impedir la combinación deconfiguraciones de directivas. Puede impedir la combinación de la configuración de directivasmultinodo basadas en usuario en varias reglas de asignación de directivas excluyendo a un usuario (uotros objetos de Active Directory, como un grupo o una unidad organizativa) al crear la regla. Paraobtener más información sobre las directivas multinodo que se pueden utilizar en reglas de asignaciónde directivas, consulte la documentación del producto correspondiente al producto gestionado queutiliza.

Acerca de las asignaciones de directivas basadas en usuarioLas reglas de asignación de directivas basadas en usuario permiten crear asignaciones de directivasespecíficas para los usuarios.

Estas asignaciones se implementan en el sistema de destino cuando el usuario inicia una sesión.

En un sistema gestionado, el agente mantiene un registro de los usuarios que inician sesión en la red.Las asignaciones de directivas que se crean para cada usuario se insertan en el sistema en el queinician sesión y se almacenan en caché durante cada comunicación agente-servidor. McAfee ePO aplicalas directivas que se hayan asignado a cada usuario.

Cuando un usuario inicia sesión en un sistema gestionado por primera vez, puede haber un ligeroretraso mientras el agente McAfee Agent contacta con su servidor asignado para obtener lasasignaciones de directivas específicas de dicho usuario. Durante ese tiempo, el usuario únicamentetiene acceso a las funcionalidades que permita la directiva predeterminada en el equipo, quenormalmente es su directiva más segura.

Para utilizar las asignaciones de directivas basadas en usuario, registre y configure un servidor LDAPregistrado para uso con el servidor de McAfee ePO.

14 Administración de directivasReglas de asignación de directivas


Acerca de la migración de reglas de asignación de directivas heredadas

Las reglas de asignación de directivas creadas mediante un servidor de McAfee ePO versión 4.5estaban basadas en el usuario de manera predeterminada. Para las reglas de asignación de directivasheredadas migradas sin criterios basados en el usuario especificados, las reglas se evalúan comobasadas en el usuario. No obstante, cuando cree una nueva regla de asignación de directivas basadaen el usuario, especifique al menos un criterio basado en el usuario.

Al aplicar sus reglas de asignación de directivas basadas en el usuario heredadas y migradas, elservidor de McAfee ePO realiza una consulta en el servidor LDAP para cada sistema gestionado de la reden cada intervalo de comunicación agente-servidor.

Acerca de las asignaciones de directivas basadas en sistemaLas directivas basadas en sistema permiten asignar directivas a los sistemas utilizando criteriosbasados en sistemas.

Puede asignar una directiva basada en sistema mediante dos tipos de criterios de sistemas:

• Ubicación en el árbol de sistemas: todas las reglas de asignación de directiva requieren que seespecifique la ubicación en el Árbol de sistemas.

• Etiquetas: asigne directivas a los sistemas según las etiquetas que se hayan aplicado.

Una vez que se haya definido y aplicado una etiqueta a los sistemas, puede crear una regla deasignación de directivas para asignar directivas a cualquier sistema que tenga esa etiqueta. Estafuncionalidad resulta muy útil en los casos en los que desee que todos los sistemas de un tipoconcreto tengan la misma directiva de seguridad, independientemente de su ubicación en el Árbol desistemas.

Uso de etiquetas para asignar directivas basadas en sistemaAproveche las etiquetas para simplificar la automatización de la asignación de directivas.

Las directivas basadas en sistema que especifican etiquetas como criterios funcionan de formaparecida a las directivas basadas en usuario. Se asignan en función de los criterios de selección que sedefinan mediante el Generador de asignaciones de directivas. A cualquier sistema al que se le pueda asignaruna etiqueta se le puede aplicar una directiva específica basada en esa etiqueta.

Caso práctico: Creación de nuevos SuperAgents mediante el uso de etiquetas

Ha decidido crear un nuevo conjunto de SuperAgents en su entorno, pero no tiene tiempo paraidentificar manualmente los sistemas del Árbol de sistemas que albergarán esos SuperAgents. En lugar deeso, puede utilizar el Generador de etiquetas para etiquetar todos los sistemas que cumplan undeterminado conjunto de criterios con una nueva etiqueta: "esSuperAgent". Cuando haya generado laetiqueta, puede crear una regla de Regla de asignación de directivas que aplique su configuración dedirectivas de SuperAgent a cada sistema etiquetado con "esSuperAgent".

Una vez que se haya creado la etiqueta, se puede utilizar la acción Ejecutar criterios de la etiqueta de lapágina Catálogo de etiquetas para que, cuando cada sistema con la nueva etiqueta se comunique según suintervalo periódico, se le asigne una nueva directiva basada en la Regla de asignación de directivas"esSuperAgent".

Creación de reglas de asignación de directivasLa creación de reglas de asignación de directivas permite implementar directivas para los usuarios osistemas, basadas en criterios de reglas configurados.


Administración de directivasReglas de asignación de directivas 14


Procedimiento1 Abra el Generador de asignaciones de directivas.

a Haga clic en Menú | Directiva | Reglas de asignación de directivas.

b Haga clic en Nueva regla de asignación.

2 Especifique los detalles de esta regla de asignación de directivas, tales como:

• Un Nombre exclusivo y una Descripción.

• El Tipo de regla. El tipo de regla que especifique determina qué criterios están disponibles en lapágina Criterios de selección.

De manera predeterminada, la prioridad de las nuevas reglas de asignación de directivas se asignade forma secuencial en función del número de reglas existentes. Tras crear la regla, puede editar suprioridad haciendo clic en Editar prioridad en la página Reglas de asignación de directivas.


4 Haga clic en Agregar directiva para seleccionar las directivas que desea implementar mediante estaregla de asignación de directivas.


6 Especifique los criterios que desea utilizar en esta regla. Sus criterios determinan los sistemas ousuarios que tienen esta directiva asignada.


Administración de reglas de asignación de directivasRealice tareas de administración habituales cuando trabaje con reglas de asignación de directivas.

14 Administración de directivasReglas de asignación de directivas


Procedimiento1 Haga clic en Menú | Directiva | Reglas de asignación de directivas. Seleccione la acción que realizar en el

menú Acciones o en la columna Acciones.

2 Seleccione una de estas acciones:

Acción Pasos

Eliminar una regla deasignación de directiva

Haga clic en Eliminar en la fila de la asignación seleccionada.

Editar una regla deasignación de directiva

Haga clic en la asignación seleccionada. Se abre el asistente Generador deasignaciones de directivas. Pase por cada página del asistente para modificaresta regla de asignación de directiva.

Exportar reglas deasignación dedirectivas

Haga clic en Exportar. Se abre la página Descargar reglas de asignación dedirectivas, en la que puede ver o descargar el archivoPolicyAssignmentRules.xml.

Importar reglas deasignación dedirectivas

Haga clic en Importar. Se abre el cuadro de diálogo Importar reglas de asignaciónde directivas, desde donde puede buscar un archivoPolicyAssignmentRules.xml descargado previamente. Se le pedirá queelija qué reglas desea incluir en el archivo que importar. Puedeseleccionar qué reglas importar y, si alguna de las reglas del archivo tieneel mismo nombre que las que ya hay en su lista Reglas de asignación dedirectivas, puede elegir cuál desea conservar.

Editar la prioridad deuna regla deasignación de directiva

Haga clic en Editar prioridad. Se abre la página Editar prioridad, en la que sepuede cambiar la prioridad de las reglas de asignación de directivasmediante el control para arrastrar y colocar.

Ver el resumen de unaregla de asignación dedirectivas

Haga clic en > en la fila de la asignación seleccionada.

Creación de consultas de administración de directivasEste procedimiento permite recuperar las directivas asignadas a un sistema gestionado o las directivasinterrumpidas en la jerarquía de sistemas.Puede crear cualquiera de las siguientes consultas de administración de directivas:

• Directivas implementadas: recupera las directivas asignadas a un sistema gestionado especificado.

• Herencia interrumpida: recupera información sobre las directivas que se han interrumpido en lajerarquía de sistemas.


1 Haga clic en Menú | Informes | Consultas e informes y, a continuación, en Acciones | Nueva.

Aparece el asistente Generador de consultas.

2 En la página Tipo de resultado, seleccione Administración de directivas de la lista Grupo de funciones.

3 Seleccione uno de estos tipos de resultados y haga clic en Siguiente para mostrar la página Gráfico:

• Tareas cliente aplicadas

• Directivas implementadas

Administración de directivasCreación de consultas de administración de directivas 14


• Herencia interrumpida - Asignación de tareas cliente

• Herencia interrumpida - Asignación de directivas

4 Seleccione el tipo de gráfico o tabla que desea utilizar para mostrar los resultados principales de laconsulta y haga clic en Siguiente.

Aparece la página Columnas.

Si selecciona Gráfico de sectores booleano, debe configurar los criterios que desea incluir en la consulta.

5 Seleccione la columnas que se van a incluir en la consulta y haga clic en Siguiente.

Aparece la página Filtro.

6 Seleccione propiedades para reducir los resultados de la búsqueda y haga clic en Ejecutar.

La página Consulta no guardada muestra los resultados de la consulta, a partir de los cuales se puedenrealizar acciones.

Las propiedades seleccionadas aparecen en el panel de contenido con operadores que permitenespecificar los criterios para limitar los datos obtenidos.

7 En la página Consulta no guardada, puede realizar las opciones disponibles sobre los elementos decualquiera de las tablas o tablas de detalle.

• Si la consulta no devuelve los resultados esperados, haga clic en Editar consulta para volver alGenerador de consultas y modificar los detalles de la misma.

• Si no desea guardar la consulta, haga clic en Cerrar.

• Si es una consulta que desea utilizar de nuevo, haga clic en Guardar y continúe por el siguientepaso.

8 En la página Guardar consulta, escriba un nombre para la consulta, agregue las notas que desee yseleccione una de las siguientes opciones:

• Nuevo grupo: escriba el nombre del nuevo grupo y seleccione:

• Grupo privado (Mis grupos)

• Grupo público (Grupos compartidos)

• Grupo existente: seleccione el grupo de la lista Grupos compartidos.


Visualización de la información de las directivasEstos procedimientos permiten ver información detallada sobre las directivas, incluidos lospropietarios, las asignaciones y la herencia de directivas.

14 Administración de directivasVisualización de la información de las directivas


Procedimientos• Visualización de los grupos y sistemas a los que se ha asignado una directiva en la página

185Este procedimiento permite ver los grupos y sistemas a los que se ha asignado unadirectiva Esta lista sólo muestra los puntos de asignación; no muestra cada grupo osistema que hereda la directiva.

• Visualización de la configuración de directivas en la página 185Este procedimiento permite ver los detalles de una directiva asignada a una categoría deproducto o sistema.

• Visualización de los propietarios de una directiva en la página 186Este procedimiento permite ver los propietarios de una directiva.

• Visualización de asignaciones en las que se ha desactivado la implementación de directivasen la página 186Este procedimiento permite ver las asignaciones en las que se ha desactivado laimplementación de directivas.

• Visualización de las directivas asignadas a un grupo en la página 186Se pueden ver las directivas asignadas a un grupo del árbol de sistemas, ordenadas porproducto.

• Visualización de las directivas asignadas a un sistema específico en la página 187Este procedimiento permite ver las directivas para el producto asignadas a un sistema delárbol de sistemas.

• Visualización de la herencia de directivas de un grupo en la página 187Este procedimiento permite ver de la herencia de directivas de un grupo.

• Visualización y restablecimiento de la herencia interrumpida en la página 187Este procedimiento permite identificar los grupos y sistemas donde se interrumpe laherencia de directivas.

• Comparación de directivas en la página 188Compare directivas similares mediante Comparación de directivas. Esto le permitedeterminar las diferencias y coincidencias en la configuración.

Visualización de los grupos y sistemas a los que se ha asignadouna directivaEste procedimiento permite ver los grupos y sistemas a los que se ha asignado una directiva Esta listasólo muestra los puntos de asignación; no muestra cada grupo o sistema que hereda la directiva.


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, seleccione un producto y una

categoría.


2 En Asignaciones, en la fila de la directiva, haga clic en el vínculo que indica el número de grupos osistemas a los que se está asignada la directiva (por ejemplo, 6 asignaciones).

En la página Asignaciones aparecen todos los grupos o sistemas a los que se les haya asignado ladirectiva con su nombre de nodo y tipo de nodo.

Visualización de la configuración de directivasEste procedimiento permite ver los detalles de una directiva asignada a una categoría de producto osistema.


Administración de directivasVisualización de la información de las directivas 14



categoría.


2 Haga clic junto a una directiva.

Aparecen las páginas de la directiva y su configuración.

También puede ver esta información al acceder a las directivas asignadas a un grupo concreto. Paraacceder a esta información, haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas y, acontinuación, haga clic en el vínculo correspondiente a la directiva seleccionada en la columnaDirectiva.

Visualización de los propietarios de una directivaEste procedimiento permite ver los propietarios de una directiva.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.


categoría.


2 Debajo de Propietario aparecen los propietarios de la directiva.

Visualización de asignaciones en las que se ha desactivado laimplementación de directivasEste procedimiento permite ver las asignaciones en las que se ha desactivado la implementación dedirectivas.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.


categoría.


2 Haga clic en el vínculo junto a Estado de implementación para el producto, que indica el número deasignaciones en las que está desactivada la implementación de directivas, en caso de que hayaalguna asignación.

Aparece la página Implementación de directiva para <nombre de directiva>.

3 Haga clic en cualquiera de los elementos de la lista para ir a la página Directivas asignadas.

Visualización de las directivas asignadas a un grupoSe pueden ver las directivas asignadas a un grupo del árbol de sistemas, ordenadas por producto.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.



Todas las directivas asignadas, organizadas por producto, aparecen en el panel de detalles.

14 Administración de directivasVisualización de la información de las directivas


2 Haga clic en cualquiera de las directivas para ver sus valores de configuración.

Visualización de las directivas asignadas a un sistemaespecíficoEste procedimiento permite ver las directivas para el producto asignadas a un sistema del árbol desistemas.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.


Árbol de sistemas.

Todos los sistemas que pertenezcan al grupo seleccionado aparecen en el panel de detalles.

2 Seleccione el sistema y haga clic en Acciones | Agente | Modificar directivas en un solo sistema.

3 Seleccione el producto.

Aparecen las directivas del producto asignadas al sistema.

4 Haga clic en cualquiera de las directivas para ver sus valores de configuración.

Visualización de la herencia de directivas de un grupoEste procedimiento permite ver de la herencia de directivas de un grupo.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.

Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas.

Todas las directivas asignadas, organizadas por producto, aparecen en el panel de detalles.

2 La fila de la directiva, bajo Heredar de, muestra el nombre del grupo del que se hereda la directiva.

Visualización y restablecimiento de la herencia interrumpidaEste procedimiento permite identificar los grupos y sistemas donde se interrumpe la herencia dedirectivas.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.

Procedimiento1 Haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas.

Todas las directivas asignadas, organizadas por producto, aparecen en el panel de detalles. En lafila de la directiva, bajo Herencia interrumpida, aparece el número de grupos y sistemas en los que seha interrumpido su herencia.

Se trata del número de grupos y sistemas en los que se ha interrumpido la herencia de la directiva,no del número de sistemas que no heredan la directiva. Por ejemplo, si solo hay un grupo que nohereda la directiva, se muestra como 1 no hereda, independientemente del número de sistemas quecontenga el grupo.

2 Haga clic en el vínculo que indica el número de grupos o sistemas descendientes que tieneninterrumpida la herencia.

Aparece la página Herencia interrumpida con una lista de los nombres de estos grupos y sistemas.

3 Para restablecer la herencia en uno de estos grupos o sistemas, seleccione la casilla de verificaciónsituada junto al nombre y haga clic en Acciones y seleccione Restablecer herencia.

Administración de directivasVisualización de la información de las directivas 14


Comparación de directivasCompare directivas similares mediante Comparación de directivas. Esto le permite determinar lasdiferencias y coincidencias en la configuración.Muchos de los valores y las variables incluidos en la página Comparación de directivas son específicospara cada producto. Para ver las definiciones de las opciones que no se incluyen en la tabla, consultela documentación del producto que proporciona la directiva que desee comparar.


Procedimiento1 Haga clic en Menú | Comparación de directivas y, a continuación, seleccione las opciones de producto,

categoría y Mostrar en las listas.

Estas opciones rellenan las directivas que se van a comparar en las listas Directiva 1 y Directiva 2.

2 Seleccione las directivas que comparar en la fila Comparar directivas de las listas de las columnasDirectiva 1 y Directiva 2.

Las dos filas superiores de la tabla muestran el número de opciones de configuración distintas eidénticas. También se puede modificar la opción Mostrar, para reducir el número de datos queaparecen, de Toda la configuración de directiva a Diferencias entre las directivas o Coincidencias entre las directivas.

3 Haga clic en Imprimir para abrir una representación imprimible de esta comparación.

Cómo compartir directivas entre servidores de McAfee ePOLa capacidad para compartir directivas permite a los administradores designar directivas desarrolladasen un servidor para que se transmitan a otros servidores para su implementación.Solamente son necesarios tres pasos para compartir directivas entre servidores.

1 Designar la directiva que se va a compartir.

2 Registrar los servidores que compartirán la directiva.

3 Planificar una tarea servidor para distribuir la directiva compartida.

Distribución de la directiva a varios servidores de McAfee ePOConfigure la función para compartir directivas para uso con varios servidores de McAfee ePO. McAfeerecomienda realizar estos procedimientos en el orden en el que indican.

Si es necesario modificar la directiva una vez que ha sido compartida, edite la nueva directiva y ejecutede nuevo la tarea para compartir directivas. Podría resultar conveniente informar del cambio a losadministradores locales.

Procedimientos• Registro de servidores para compartir directivas en la página 189

Registre servidores para compartir una directiva.

• Designación de directivas para compartir en la página 189Este procedimiento permite designar una directiva para compartirla entre varios servidoresde McAfee ePO.

• Planificación de tareas servidor para compartir directivas en la página 189Puede planificar una tarea servidor de forma que las directivas se compartan en distintosservidores de McAfee ePO.

14 Administración de directivasCómo compartir directivas entre servidores de McAfee ePO


Registro de servidores para compartir directivasRegistre servidores para compartir una directiva.


Procedimiento1 Haga clic en Menú | Configuración | Servidores registrados y, a continuación, haga clic en Nuevo servidor. Se

abre el asistente Generador de servidores registrados por la página Descripción.

2 En el menú Tipo de servidor, seleccione ePO, especifique un nombre y las notas que desee y, acontinuación, haga clic en Siguiente. Aparece la página Detalles.

3 Especifica los detalles del servidor y haga clic en Activar en el campo Compartir directivas y, acontinuación, haga clic en Guardar.

Designación de directivas para compartirEste procedimiento permite designar una directiva para compartirla entre varios servidores de McAfeeePO.


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, en el menú Producto, seleccione el

producto cuya directiva desea compartir.

2 En la columna Acciones correspondiente a la directiva que va a compartir, haga clic en Compartir.

Las directivas compartidas se insertan automáticamente en los servidores de McAfee ePO con laopción de compartir activada. Al hacer clic en Compartir en el paso 2, la directiva se insertainmediatamente en todos los servidores de McAfee ePO registrados que tengan la opción de compartiractivada. Los cambios en las directivas compartidas se insertan de manera similar.

Planificación de tareas servidor para compartir directivasPuede planificar una tarea servidor de forma que las directivas se compartan en distintos servidoresde McAfee ePO.


1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, en Acciones | Nueva tarea. Aparece elasistente Generador de tareas servidor.

2 En la página Descripción, especifique el nombre de la tarea y las notas que desee y, a continuación,haga clic en Siguiente. Aparece la página Acciones.

Las nuevas tareas servidor están activadas de forma predeterminada. Si no desea que se active latarea, seleccione Desactivado en el campo Estado de planificación.

3 En el menú Acciones, seleccione Compartir directivas y, a continuación, haga clic en Siguiente. Aparece lapágina Planificación.

4 Especifique la planificación de la tarea y haga clic en Siguiente. Se abre la página Resumen.

5 Revise la información de resumen y haga clic en Guardar.

Administración de directivasDistribución de la directiva a varios servidores de McAfee ePO 14


14 Administración de directivasDistribución de la directiva a varios servidores de McAfee ePO


15 Tareas cliente

Puede crear y planificar tareas cliente para automatizar la manera de gestionar los sistemas de su red.

Los archivos de extensiones que se instalan en el servidor de McAfee ePO determinan las tareascliente disponibles.

Las tareas cliente se utilizan habitualmente para las siguientes actividades.

• Despliegue de productos

• Funcionalidad de productos (por ejemplo, la tarea de análisis bajo demanda de VirusScanEnterprise)

• Ampliaciones y actualizaciones

Para obtener más información sobre las tareas cliente disponibles, así como para qué sirven, consultela documentación correspondiente de sus productos gestionados.

Contenido Cómo funciona el Catálogo de tareas cliente Tarea de despliegue Uso de la tarea Despliegue de productos para desplegar productos en los sistemas gestionados Tareas de actualización Administración de tareas cliente

Cómo funciona el Catálogo de tareas clienteUtilice el Catálogo de tareas cliente para crear objetos tarea cliente que se pueden reutilizar parafacilitar la administración de los sistemas de la red.

El Catálogo de tareas cliente aplica el concepto de objetos lógicos a las tareas cliente de ePolicyOrchestrator. Puede crear objetos tarea cliente para distintos fines y no es necesario asignarlosinmediatamente. Como resultado, al asignar y planificar tareas cliente puede considerar estos objetoscomo componentes reutilizables.

Las tareas cliente se pueden asignar en cualquier nivel del Árbol de sistemas y las heredan los gruposy sistemas situados en niveles inferiores del árbol. Al igual que ocurre con las directivas y lasasignaciones de directivas, se puede interrumpir la herencia para una tarea cliente asignada.

15


Las tareas cliente se pueden compartir en varios servidores de McAfee ePO registrados de su entorno.Cuando se elige compartir objetos tarea cliente, cada servidor registrado recibe una copia después deejecutar la tarea servidor Compartir tarea cliente. Los cambios que se realicen en la tarea se actualizancada vez que se ejecute. Cuando se comparte un objeto tarea cliente, solo el propietario del objetopuede modificar su configuración.

Los administradores del servidor de destino que recibe la tarea compartida no son propietarios de dichatarea compartida. De la misma forma, ninguno de los usuarios del servidor de destino es propietario delos objetos tarea compartida que recibe dicho servidor.

Tarea de despliegueLas tareas de despliegue son tareas cliente que se utilizan para desplegar productos de seguridadgestionados en los sistemas gestionados desde el Repositorio principal.

Puede crear y administrar objetos tarea de despliegue individuales mediante el catálogo de tareascliente y, a continuación, asignarlos para que se ejecuten en grupos o en un sistema concreto.También puede crear proyectos de Despliegue de productos para desplegar productos en sus sistemas. Losproyectos de Despliegue de productos automatizan el proceso de creación y planificación de objetos tareacliente de forma individual. Además, proporcionan funciones de administración automatizadasadicionales.

Consideraciones importantes

A la hora de decidir cómo escalonar el Despliegue de productos, tenga en cuenta:

• El tamaño de los paquetes y el ancho de banda disponible entre el Repositorio principal y los sistemasgestionados. Además de producir una potencial sobrecarga en el servidor de McAfee ePO o en lared, el despliegue de productos en muchos sistemas puede dificultar la resolución de losproblemas.

• Es posible que sea conveniente realizar la instalación de los productos en grupos de sistemas porfases de forma simultánea. Si la velocidad de conexión de la red es alta, intente realizar eldespliegue en algunos cientos de clientes de forma simultánea. Si la conexión es lenta o no es tanfiable, pruebe con grupos más pequeños. Conforme se realiza el despliegue en cada grupo,controle el proceso, ejecute informes para confirmar que las instalaciones se han realizado sinproblemas y solucione cualquier problema que pueda surgir en los diferentes sistemas.

Despliegue de productos en los sistemas seleccionados

Si va a desplegar productos o componentes de McAfee instalados en una subred de los sistemasgestionados:

1 Utilice una etiqueta para identificar los sistemas correspondientes.

2 Mueva los sistemas etiquetados a un grupo.

3 Configure una tarea cliente de Despliegue de productos para el grupo.

Despliegue de paquetes para productos y actualizacionesLa infraestructura de despliegue del software ePolicy Orchestrator admite el despliegue de productos ycomponentes, así como la actualización de ambos.

Todos los productos de McAfee que puede desplegar ePolicy Orchestrator incluyen un archivo ZIP dedespliegue del producto. El archivo ZIP contiene los archivos de instalación, comprimidos en unformato seguro. ePolicy Orchestrator puede desplegar estos paquetes en cualquiera de los sistemasgestionados, una vez que se incorporan al repositorio principal.

15 Tareas clienteTarea de despliegue


Estos archivos ZIP se utilizan para paquetes de actualización de archivos de definición de virus (DAT) ydel motor.

Puede configurar las directivas del producto antes o después del despliegue. McAfee recomiendadefinir la configuración de directivas antes de desplegar el producto en los sistemas de la red. De estaforma se ahorra tiempo y los sistemas están protegidos lo antes posible.

Estos tipos de paquetes se pueden incorporar al repositorio principal mediante tareas de extracción ode forma manual.

Tipos de paquetes admitidos

Tipo de paquete Descripción Origen

Archivos SuperDAT(SDAT.exe)

Tipo de archivo:SDAT.exe

Los archivos SuperDAT contienenarchivos DAT y del motor en un solopaquete de actualización. Para ahorrarancho de banda, McAfee recomiendaactualizar los archivos DAT y del motorpor separado.

Sitio web de McAfee. Descarguee incorpore los SuperDAT alrepositorio principal de formamanual.

Archivos de detecciónde virus adicionales(EXTRA.DAT)

Tipo de archivo:EXTRA.DAT

Los archivos EXTRA.DAT son específicospara una o varias amenazas que hanaparecido desde que se publicó el últimoarchivo DAT. Si la amenaza es de unagravedad alta, distribuya los archivosEXTRA.DAT inmediatamente, en lugar deesperar a que esa firma se agregue alpróximo archivo DAT. Los archivosEXTRA.DAT proceden del sitio web deMcAfee. Puede distribuirlos a través deePolicy Orchestrator. Las tareas deextracción no recuperan archivosEXTRA.DAT.

Sitio web de McAfee. Descarguee incorpore los DAT adicionalesal repositorio principal de formamanual.

Despliegue deproductos y paquetesde actualizaciones

Tipo de archivo: ZIP

Un paquete de despliegue de productocontiene el software de instalación de unproducto de McAfee.

CD del producto o archivo ZIPdel producto descargado.Incorpore de forma manual lospaquetes de despliegue deproductos en el repositorioprincipal. Para conocerubicaciones específicas, consultela documentación del productocorrespondiente.

Paquetes de idioma delagente

Tipo de archivo: ZIP

Un paquete de idioma del agentecontiene los archivos necesarios paramostrar la información del agente en elidioma local.

Repositorio principal. Seincorpora durante la instalación.Para futuras versiones delagente, debe incorporar lospaquetes de idioma del agente alrepositorio principal de formamanual.

Seguridad y firmas de los paquetes

Todos los paquetes creados y distribuidos por McAfee van firmados con un par de claves que utilizan elsistema de verificación de firmas DSA (del inglés Digital Signature Algorithm) y cifrados con unsistema de cifrado 3DES de 168 bits. Las claves se utilizan para cifrar y descifrar datos de importancia.

Recibirá una notificación siempre que incorpore paquetes que no haya firmado McAfee. Si confía en elcontenido y la validez del paquete, continúe con el proceso de incorporación. Estos paquetes seprotegen como se ha descrito anteriormente, pero los firma ePolicy Orchestrator cuando seincorporan.

Tareas clienteTarea de despliegue 15


El uso de firmas digitales garantiza que los paquetes son originales de McAfee o que fue el propiousuario quien los incorporó y que no han sufrido manipulación ni daño alguno. El agente solo confía enarchivos de paquetes firmados por ePolicy Orchestrator o por McAfee. De esta forma, se protegen lasredes contra paquetes procedentes de fuentes sin firma o no fiables.

Orden y dependencias de los paquetes

Si una actualización de un producto depende de otra, deberá incorporar sus paquetes de actualizaciónal repositorio principal en el orden necesario. Por ejemplo, si el parche 2 requiere el parche 1, debeincorporar el parche 1 antes que el parche 2. Los paquetes no se pueden volver a ordenar una vezincorporados. Debe quitarlos y volver a incorporarlos en el orden adecuado. Si incorpora un paqueteque sustituye a un paquete existente, este se quitará automáticamente.

Despliegue de productos y actualizacionesLa infraestructura de repositorios de McAfee ePO permite desplegar productos y actualizar paquetes enlos sistemas gestionados desde una ubicación central. Aunque se utiliza el mismo repositorio, existendiferencias.

Despliegue de productos frente a paquetes de actualizaciones

Paquetes de despliegue de productos Paquetes de actualización

Deben incorporarse manualmente alrepositorio principal.

Los paquetes de actualización de DAT y del motor sepueden copiar automáticamente desde el sitio de origenmediante una tarea de extracción. El resto de paquetesde actualizaciones deben incorporarse manualmente alrepositorio principal.

Se pueden replicar en el repositorioprincipal e instalarse automáticamente enlos sistemas gestionados mediante unatarea de despliegue.

Se pueden replicar en el repositorio principal einstalarse automáticamente en los sistemasgestionados mediante la actualización global.

Si no se implementa la actualización globalpara el despliegue de productos, se debeconfigurar y planificar una tarea dedespliegue en los sistemas gestionadospara recuperar el paquete.

Si no se implementa la actualización global para laactualización de productos, se debe configurar yplanificar una tarea de actualización cliente en lossistemas gestionados para recuperar el paquete.

Proceso de despliegue y actualización de productos

Siga este proceso de alto nivel para distribuir los paquetes de actualización de DAT y del motor.

1 Incorpore el paquete de actualización al repositorio principal, mediante una tarea de extracción ode forma manual.

2 Siga uno de estos procedimientos:

• Si utiliza la actualización global, cree y planifique una tarea de actualización para los sistemasen portátiles que salgan de la red.

• Si no utiliza la actualización global, realice las siguientes tareas.

1 Utilice una tarea de replicación para copiar el contenido del repositorio principal.

2 Actualice y planifique una tarea de actualización para que los agentes recuperen e instalen laactualización en los sistemas gestionados.

15 Tareas clienteTarea de despliegue


Configuración de despliegues de productos y actualizacionespor primera vezSiga este procedimiento para garantizar que el despliegue de su producto y la actualización se realizancorrectamente.

Cuando despliegue productos por primera vez:

1 Configure tareas servidor para la extracción y replicación del repositorio.

2 Incorpore los paquetes del producto y la actualización al repositorio principal utilizando elAdministrador de software.

3 Configure tareas cliente de despliegue del producto y la actualización.

Etiquetas de despliegueCuando se crea una tarea de despliegue, se crea automáticamente una etiqueta con el nombre de latarea y se aplica a los sistemas en los que se implementa la tarea.

Estas etiquetas se agregan al grupo Etiquetas de despliegue de la página Catálogo de etiquetas cada vez que secrea e implementa en los sistemas una tarea de despliegue. Este grupo es de solo lectura y lasetiquetas contenidas en él no se pueden aplicar, modificar, eliminar ni utilizar de forma manual en laconfiguración de criterios para filtrar sistemas.

Uso de la tarea Despliegue de productos para desplegarproductos en los sistemas gestionados

Estos procedimientos permiten desplegar productos en los sistemas gestionados con la tarea clienteDespliegue de productos.Puede crear esta tarea para un único sistema o para grupos del árbol de sistemas.

Procedimientos

• Configuración de una tarea de despliegue para los grupos de los sistemas gestionados en lapágina 195Configure una tarea de despliegue de productos para desplegar productos en los grupos delos sistemas gestionados en el Árbol de sistemas.

• Configuración de una tarea de despliegue para instalar productos en un sistema gestionadoen la página 196Despliegue productos en un único sistema mediante una tarea de despliegue de productos.

Configuración de una tarea de despliegue para los grupos delos sistemas gestionadosConfigure una tarea de despliegue de productos para desplegar productos en los grupos de lossistemas gestionados en el Árbol de sistemas.


Procedimiento

1 Abra el cuadro de diálogo Nueva tarea.

a Haga clic en Menú | Directiva | Catálogo de tareas cliente.

b En la lista Tipos de tareas cliente, seleccione McAfee Agent | Despliegue de productos.

c Haga clic en Nueva tarea.

Tareas clienteUso de la tarea Despliegue de productos para desplegar productos en los sistemas gestionados 15


2 Compruebe que esté seleccionado Despliegue de productos y haga clic en Aceptar.

3 Escriba un nombre para la tarea que está creando y agregue notas, si lo desea.

4 Junto a Plataformas de destino, seleccione el tipo o los tipos de plataformas que desea utilizar en eldespliegue.

5 Junto a Productos y componentes defina lo siguiente:

• Seleccione un producto en la primera lista desplegable. Los productos que aparecen sonaquellos que se han incorporado al Repositorio principal. Si no ve el producto que desea desplegar,debe incorporar primero el paquete del producto.

• Seleccione la Acción Instalar y, a continuación, seleccione el Idioma del paquete y la Rama.

• Para especificar opciones de instalación de línea de comandos, introdúzcalas en el campo detexto Línea de comandos. Consulte la documentación del producto para obtener información sobrelas opciones de línea de comandos del producto que vaya a instalar.

Puede hacer clic en + o en – para agregar o eliminar productos y componentes de la lista queaparece.

6 Junto a Opciones, seleccione si desea ejecutar esta tarea para cada proceso de implementación dedirectivas (solo Windows) y haga clic en Guardar.

7 Haga clic en Menú | Sistemas | Árbol de sistemas | Tareas cliente asignadas y, a continuación, seleccione elgrupo adecuado en el Árbol de sistemas.

8 Seleccione el filtro Predefinidos como Despliegue de producto (McAfee Agent).

Las tareas cliente asignadas aparecen, por categoría, en el panel de detalles.


10 En la página Seleccionar tarea, seleccione Producto en McAfee Agent y Tipo de tarea en Despliegue de productos; acontinuación, seleccione la tarea que ha creado para el despliegue del producto.

11 Junto a Etiquetas, seleccione las plataformas en las que va desplegar los paquetes y, a continuación,haga clic en Siguiente:• Enviar esta tarea a todos los equipos

• Enviar esta tarea solamente a los equipos que cumplan los siguientes criterios: haga clic en Editar junto a loscriterios que desee configurar, seleccione el grupo de etiquetas y las etiquetas que utilizar en loscriterios y, a continuación, haga clic en Aceptar.


12 En la página Planificación, seleccione si la planificación está activada, especifique sus detalles y, acontinuación, haga clic en Siguiente.


Configuración de una tarea de despliegue para instalarproductos en un sistema gestionadoDespliegue productos en un único sistema mediante una tarea de despliegue de productos.Cree una tarea cliente de despliegue de productos para un solo sistema cuando ese sistema necesite:

15 Tareas clienteUso de la tarea Despliegue de productos para desplegar productos en los sistemas gestionados


• Tener instalado un producto que los demás sistemas del grupo no requieren.

• Una planificación distinta a la de los demás sistemas del grupo. Por ejemplo, si un sistema seencuentra en una zona horaria diferente a la de los demás componentes del mismo nivel.


Procedimiento1 Abra el cuadro de diálogo Nueva tarea.




2 Compruebe que esté seleccionado Despliegue de productos y haga clic en Aceptar.


4 Junto a Plataformas de destino, seleccione el tipo o los tipos de plataformas que desea utilizar en eldespliegue.

5 Junto a Productos y componentes defina lo siguiente:

• Seleccione un producto en la primera lista desplegable. Los productos que aparecen sonaquellos para los que ya se ha incorporado un paquete al Repositorio principal. Si aquí noaparece el producto que desea desplegar, incorpore el paquete de ese producto.

• Seleccione la Acción Instalar y, a continuación, seleccione el Idioma del paquete y la Rama.

• Para especificar opciones de instalación para la línea de comandos, escriba las opciones de lalínea de comandos en el campo de texto Línea de comandos. Consulte la documentación delproducto para obtener información sobre las opciones de línea de comandos del producto que vaa instalar.

Puede hacer clic en + o en – para agregar o eliminar productos y componentes de la lista queaparece.

6 Junto a Opciones, seleccione si desea ejecutar esta tarea para cada proceso de implementación dedirectivas (solo Windows) y haga clic en Guardar.

7 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas y seleccione el sistema en el que deseadesplegar la actualización de producto. A continuación, haga clic en Acciones | Agente | Modificar tareasen un solo sistema.


9 En la página Seleccionar tarea, seleccione Producto en McAfee Agent y Tipo de tarea en Despliegue de productos; acontinuación, seleccione la tarea que ha creado para el despliegue del producto.

10 Junto a Etiquetas, seleccione las plataformas en las que va a desplegar los paquetes y, acontinuación, haga clic en Siguiente:• Enviar esta tarea a todos los equipos



Tareas clienteUso de la tarea Despliegue de productos para desplegar productos en los sistemas gestionados 15




Tareas de actualizaciónSi no utiliza la actualización global, establezca cuándo deben buscar actualizaciones los agentes de lossistemas gestionados.

Puede crear y configurar las tareas de actualización cliente para controlar cuándo y cómo recibenpaquetes de actualización los sistemas gestionados. Si no utiliza la actualización global, la creación deestas tareas es la única forma de controlar la actualización de clientes con el software ePolicyOrchestrator.

Si utiliza la actualización global, esto no es necesario, aunque puede crear una tarea diaria para másseguridad.

Consideraciones al crear tareas de actualización cliente

Tenga en cuenta lo siguiente cuando planifique tareas de actualización cliente:

• Cree una tarea cliente de actualización diaria en el nivel más alto del árbol de sistemas, de modoque la hereden todos los sistemas. Si su organización es de gran tamaño, puede utilizar intervalosde ejecución aleatoria para mitigar el impacto en el ancho de banda. En el caso de con oficinas condistintas zonas horarias, si se ejecuta la tarea a la hora del sistema local en el sistema gestionado,en lugar de a la misma hora en todos los sistemas, se equilibra la carga de la red.

• Planifique la tarea para que comience al menos una hora después de la tarea de replicaciónplanificada, si utiliza este tipo de tareas.

• Ejecute tareas de actualización de archivos DAT y del motor al menos una vez al día. Es posible quese cierre la sesión en la red de los sistemas gestionados y pierdan la tarea planificada. Si seejecuta la tarea con frecuencia, se asegura de que estos sistemas reciban la actualización.

• Aproveche al máximo el ancho de banda y cree varias tareas de actualización cliente planificadasque actualicen distintos componentes a horas diferentes. Por ejemplo, puede crear una tarea paraactualizar solo los archivos DAT y otra para actualizar tanto los archivos DAT como los del motoruna vez a la semana o al mes (los paquetes del motor se publican con menos frecuencia).

• Cree y planifique otras tareas para actualizar los productos que no utilicen el agente para Windows.

• Cree una tarea para actualizar sus aplicaciones de estación de trabajo principales y así asegurarsede que todas reciban los archivos de actualización. Planifíquela para que se ejecute a diario o bienvarias veces al día.

Actualización regular de los sistemas gestionados con unatarea de actualización planificadaCree y configure tareas de actualización. Si utiliza la actualización global, es recomendable queemplee una tarea cliente de actualización diaria para garantizar que todos los sistemas esténactualizados con archivos DAT y del motor más recientes.


15 Tareas clienteTareas de actualización






2 Compruebe que esté seleccionado Actualización del producto y, a continuación, haga clic en Aceptar.


4 Junto a Cuadro de diálogo "Actualización en curso", seleccione si desea que los usuarios sepan que hay unaactualización en curso y que tengan la posibilidad de aplazar el proceso.

5 Junto a Tipos de paquetes, seleccione una de las opciones siguientes y, a continuación, haga clic enGuardar:• Todos los paquetes

• Paquetes seleccionados: si está seleccionada esta opción, debe configurar cuáles de los siguienteselementos se deben incluir:

• Firmas y motores

Al configurar firmas y motores individuales, si selecciona Motor y anula la selección de DAT,cuando se actualiza el nuevo motor también se actualiza de forma automática un nuevo DATpara garantizar una protección completa.

• Parches y Service Packs

6 Haga clic en Menú | Sistemas | Árbol de sistemas | Sistemas, seleccione el sistema en el que deseedesplegar la actualización del producto y, a continuación, haga clic en Acciones | Agente | Modificartareas en un solo sistema.


8 En la página Seleccionar tarea, efectúe las siguientes selecciones:

Opción Selección

Producto McAfee Agent

Tipo de tarea Despliegue de productos

A continuación, seleccione la tarea que haya creado para desplegar la actualización del producto.

9 Junto a Etiquetas, seleccione las plataformas en las que va desplegar los paquetes y, a continuación,haga clic en Siguiente:• Enviar esta tarea a todos los equipos





Tareas clienteTareas de actualización 15


La tarea se agrega a la lista de tareas cliente para los grupos y sistemas a los que se aplica. Losagentes recibirán la información de la nueva tarea de actualización la próxima vez que se comuniquencon el servidor. Si la tarea está activada, la actualización se ejecutará el siguiente día y horaplanificados.

Cada sistema se actualiza a partir del repositorio adecuado, según se hayan configurado las directivaspara el agente de ese cliente.

Confirmación de que los clientes utilizan los últimos archivosDATEste procedimiento permite comprobar la versión de los archivos DAT de los sistemas gestionadosmediante Consultas.

• Haga clic en Menú | Informes | Consultas, seleccione VSE: Implementación de DAT en la lista Consultas y, acontinuación, haga clic en Ejecutar consulta.

Consulte la documentación de VirusScan Enterprise para obtener más información sobre estaconsulta.

Evaluación de los nuevos DAT y motores antes de ladistribuciónPuede que desee comprobar los archivos DAT y del motor en algunos sistemas antes de desplegarlosen toda la organización. Puede probar los paquetes de actualización que utilizan la rama Evaluacióndel Repositorio principal.

El software ePolicy Orchestrator proporciona tres ramas de repositorio para este propósito.


Procedimiento1 Cree una tarea de extracción del repositorio planificada para copiar los paquetes de actualización

en la rama Evaluación del Repositorio principal. Planifíquela para que se ejecute cuando McAfeepublique archivos DAT actualizados.

2 Cree o seleccione un grupo en el Árbol de sistemas que actúe como grupo de evaluación y cree unadirectiva de McAfee Agent para que los sistemas utilicen solo la rama Evaluación (en la secciónRama del repositorio para cada tipo de actualización de la ficha Actualizaciones).

Las directivas surtirán efecto la próxima vez que el agente McAfee Agent se comunique con elservidor. La próxima vez que se actualice el agente, las recupera de la rama Evaluación.

3 Cree una tarea cliente de actualización planificada para los sistemas de evaluación que actualice losarchivos DAT y del motor desde la rama Evaluación del repositorio. Planifíquela para que se ejecuteuna o dos horas después de iniciarse la tarea de extracción del repositorio planificada.

La tarea de actualización de evaluación creada en el nivel del grupo de evaluación hace que solo seejecute para ese grupo.

4 Controle los sistemas del grupo de evaluación hasta que esté satisfecho con los resultados.

5 Mueva los paquetes de la rama Evaluación a la rama Actual del repositorio principal. Haga clic enMenú | Software | Repositorio principal para abrir la página Repositorio principal.

Al agregarlos a la rama Actual, quedan disponibles en el entorno de producción. La próxima vezque se ejecuten tareas cliente de actualización que recuperen paquetes de la rama Actual, sedistribuirán los nuevos archivos DAT y del motor a los sistemas que utilicen esas tareas.

15 Tareas clienteTareas de actualización


Administración de tareas clienteEstos procedimientos permiten mantener tareas cliente.

Procedimientos• Creación de tareas cliente en la página 201

Las tareas cliente le permiten, entre otras cosas, desplegar automáticamente software deproductos y realizar actualizaciones de productos. El proceso es similar para todas lastareas cliente.

• Edición de tareas cliente en la página 201Este procedimiento permite editar las opciones o la información de planificación de tareascliente configuradas previamente.

• Eliminación de tareas cliente en la página 202Este procedimiento permite eliminar las tareas clientes configuradas previamente.

• Comparación de tareas cliente en la página 202Compare tareas cliente similares mediante la herramienta Comparación de tareas cliente. Estaherramienta permite determinar las diferencias y coincidencias en la configuración.

Creación de tareas clienteLas tareas cliente le permiten, entre otras cosas, desplegar automáticamente software de productos yrealizar actualizaciones de productos. El proceso es similar para todas las tareas cliente.

En algunos casos debe crear una nueva asignación de tarea cliente para asociar una tarea cliente a ungrupo del Árbol de sistemas.






2 Seleccione un tipo de tarea de la lista, haga clic en Aceptar y se abrirá el asistente Generador de tareascliente.

Por ejemplo, seleccione Actualización del producto.

3 Escriba un nombre para tarea que va a crear, añada una descripción y después especifique lasopciones específicas para el tipo de tarea que está creando.

Las opciones de configuración varían en función del tipo de tarea seleccionado.


La tarea se añade a la lista de tareas cliente correspondiente al tipo de tarea cliente seleccionado.

Edición de tareas clienteEste procedimiento permite editar las opciones o la información de planificación de tareas clienteconfiguradas previamente.

Tareas clienteAdministración de tareas cliente 15



1 Haga clic en Menú | Directiva | Catálogo de tareas cliente; se abre el cuadro de diálogo Catálogo de tareascliente.

2 Seleccione el Tipo de tarea cliente del árbol de navegación situado a la izquierda y las tareas clientedisponibles aparecen en la ventana de la derecha.

3 Haga doble clic en el nombre de la tarea cliente y aparece cuadro de diálogo Catálogo de tareas cliente.

4 Modifique la configuración de la tarea según sus preferencias y, a continuación, haga clic en Guardar.

Los sistemas gestionados recibirán estos cambios la próxima vez que los agentes se comuniquen conel servidor.

Eliminación de tareas clienteEste procedimiento permite eliminar las tareas clientes configuradas previamente.


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de tareas cliente y aparecerá el cuadro de diálogo Catálogo de tareas

cliente.

2 Seleccione el Tipo de tarea cliente del árbol de navegación situado a la izquierda y las tareas clientedisponibles aparecerán en la ventana de la derecha.

3 En la columna Acciones haga clic en Eliminar junto a la tarea cliente.


Comparación de tareas clienteCompare tareas cliente similares mediante la herramienta Comparación de tareas cliente. Esta herramientapermite determinar las diferencias y coincidencias en la configuración.

Muchos de los valores y variables incluidos en esta página son específicos para cada producto. Paraver las definiciones de las opciones que no se incluyen en la tabla, consulte la documentación delproducto que proporcione la tarea cliente que desea comparar.


Procedimiento1 Haga clic en Menú | Comparación de tareas cliente y, a continuación, seleccione un Producto, un Tipo de tarea

cliente y Mostrar en las listas.

Estas opciones rellenan las listas Tarea cliente 1 y Tarea cliente 2 con las tareas cliente que se debencomparar.

2 Seleccione las tareas cliente que comparar en la fila Comparar tareas cliente en las listas de lascolumnas Tarea cliente 1 y Tarea cliente 2.

Las dos filas superiores de la tabla muestran el número de opciones que son distintas e idénticas.Para reducir la cantidad de datos mostrados, también puede cambiar la opción Mostrar de Toda laconfiguración de tarea cliente a Diferencias entre tareas cliente y Coincidencias entre tareas cliente.

3 Haga clic en Imprimir para abrir una vista de esta comparación similar a una impresión.

15 Tareas clienteAdministración de tareas cliente


16 Tareas servidor

Las tareas servidor son acciones configurables que se ejecutan en el servidor de McAfee ePO conformea la planificación. Sírvase de las tareas servidor para automatizar las tareas repetitivas que debenrealizarse en el servidor.

El software ePolicy Orchestrator incluye de manera predeterminada tareas servidor y accionespreconfiguradas. La mayoría de los productos de software adicionales que se administran con elservidor de McAfee ePO agregan también tareas servidor preconfiguradas.

Contenido Actualización global Despliegue automático de paquetes de actualización mediante la actualización global Tareas de extracción Tareas de replicación Selección de repositorio Sintaxis cron aceptada al planificar una tarea servidor Ver información de tareas servidor en el registro de tareas servidor Configuración del programa Product Improvement Program Desinstalación del programa McAfee Product Improvement Program

Actualización globalLa actualización global automatiza la replicación en los repositorios distribuidos y mantiene lossistemas gestionados actualizados. No es necesario ejecutar las tareas de replicación y actualización.Al incorporar contenido al repositorio principal se inicia una actualización global. En la mayoría de losentornos, el proceso completo finaliza en una hora.

Además, puede especificar qué paquetes y actualizaciones inician una actualización global. Noobstante, cuando especifique que solo cierto contenido inicie una actualización global, asegúrese decrear una tarea de replicación para distribuir el contenido que no haya sido seleccionado para iniciaruna actualización global.

Cuando se utiliza la actualización global, McAfee recomienda planificar una tarea de extracción periódica(para actualizar el Repositorio principal) a una hora a la que el tráfico de red sea mínimo. Aunque laactualización global es mucho más rápida que otros métodos, aumenta el tráfico de red mientras selleva a cabo.

Proceso de actualización global

1 Se incorpora el contenido al repositorio principal.

2 El servidor realiza una replicación incremental en todos los repositorios distribuidos.

3 El servidor envía una llamada de activación del SuperAgent a todos los SuperAgents del entorno.

16


4 El SuperAgent difunde un mensaje de actualización global a todos los agentes dentro de la subreddel SuperAgent.

5 Al recibir la comunicación, el agente obtiene una versión de catálogo mínima necesaria para laactualización.

6 El agente busca en los repositorios distribuidos un sitio que tenga esta versión de catálogo mínima.

7 Una vez que localiza el repositorio adecuado, ejecuta la tarea de actualización.

Si el agente no recibe la comunicación por algún motivo (por ejemplo, si el equipo cliente estáapagado o si no hay SuperAgents), en el siguiente intervalo de comunicación agente-servidor seproporciona la versión mínima del catálogo, lo que inicia el proceso.

Si el agente recibe una notificación de un SuperAgent, al agente se le proporciona la lista de paquetesactualizados. Si el agente encuentra la nueva versión del catálogo en el siguiente intervalo decomunicación agente-servidor, no se le proporciona la lista de paquetes que actualizar y, por tanto,actualiza todos los paquetes disponibles.

Requisitos

Para implementar la actualización global deben cumplirse los siguientes requisitos:

• Un SuperAgent debe utilizar la misma clave de comunicación agente-servidor segura que losagentes que reciban su llamada de activación.

• Debe haber un SuperAgent instalado en cada segmento de difusión. Los sistemas gestionados nopueden recibir una llamada de activación del SuperAgent si no hay un SuperAgent en el mismosegmento de difusión. La actualización global utiliza la llamada de activación del SuperAgent paraavisar a los agentes de que hay disponibles nuevas actualizaciones.

• Los repositorios distribuidos se definen y configuran en todo el entorno. McAfee recomienda el usode repositorios SuperAgent, pero no es obligatorio. La actualización global funciona con todos lostipos de repositorios distribuidos.

• Si se utilizan repositorios SuperAgent, es preciso que los sistemas gestionados puedan acceder alrepositorio desde el que se produce su actualización. Aunque es necesario que haya un SuperAgenten cada segmento de difusión para que los sistemas reciban la llamada de activación, no esimprescindible que haya repositorios SuperAgent en todos los segmentos de difusión.

Despliegue automático de paquetes de actualización mediantela actualización global

Este procedimiento permite activar la actualización global en el servidor para desplegarautomáticamente paquetes de actualización especificados por el usuario en los sistemas gestionados.


1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Actualización global y haga clic enEditar en la parte inferior de la página.

2 En la página Editar Actualización global, seleccione Activado junto a Estado.

16 Tareas servidorDespliegue automático de paquetes de actualización mediante la actualización global


3 Cambie el Intervalo aleatorio, si es preciso.

Cada actualización de cliente se produce a una hora seleccionada al azar en el intervalo deejecución aleatoria, lo que mejora la distribución de la carga de procesos de la red. El valorpredeterminado es 20 minutos.

Por ejemplo, si actualiza 1000 clientes utilizando el intervalo aleatorio predeterminado de20 minutos, aproximadamente una actualización de 50 clientes cada minuto durante el intervalo,se reduce la carga en la red y en el servidor. Sin la función aleatoria, los 1000 clientes seactualizarían simultáneamente.

4 Junto a Tipos de paquetes, seleccione qué paquetes inician una actualización.

La actualización global solo se inicia si se incorporan al repositorio principal los nuevos paquetes decomponentes especificados aquí, o se mueven a otra rama. Seleccione los componentes condetenimiento.

• Firmas y motores: seleccione Contenido de Host Intrusion Prevention, si es preciso.

La selección de un tipo de paquete determina lo que inicia una actualización global (no lo que seactualiza durante el proceso de actualización global). Los agentes reciben una lista de paquetesactualizados durante el proceso de actualización global. Los agentes utilizan esta lista para instalarúnicamente las instalaciones que se necesitan. Por ejemplo, solamente los paquetes de actualizaciónque han cambiado desde la última actualización; no todos los paquetes, si no han cambiado.


Una vez activada la actualización global, se iniciará una actualización la próxima vez que uno de lospaquetes seleccionados se incorpore o se mueva a otra rama.

No olvide ejecutar una tarea Ejecutar ahora y planificar una tarea servidor de extracción derepositorio regular cuando esté listo para que comience la actualización automática.

Tareas de extracciónUtilice tareas de extracción para actualizar su repositorio principal con los paquetes de actualización deDAT y del motor desde el sitio de origen.

Los archivos DAT y del motor deben actualizarse con frecuencia. McAfee publica nuevos archivos DATa diario; los archivos del motor se publican con una frecuencia menor. Despliegue estos paquetes enlos sistemas gestionados tan pronto como sea posible, con objeto de que estén protegidos contra lasamenazas más recientes.

Puede especificar qué paquetes se deben copiar desde el sitio de origen en el repositorio principal.

Los archivos ExtraDAT se deben incorporar al repositorio principal de forma manual. Están disponiblesen el sitio web de McAfee.

Se ejecuta una tarea servidor de extracción del repositorio planificada de forma automática yperiódica, a las horas y en los días que especifique. Por ejemplo, puede planificar una tarea deextracción del repositorio semanal para que se ejecute a las 5 de la mañana todos los jueves.

También puede utilizar la tarea Extraer ahora para incorporar actualizaciones al repositorio principal demanera inmediata. Por ejemplo, cuando McAfee le avisa de la aparición de un virus de rápidapropagación y publica un nuevo archivo DAT para hacerle frente.

Si una tarea de extracción falla, debe incorporar los paquetes al repositorio principal de forma manual.

Cuando haya actualizado su repositorio principal, puede distribuir estas actualizaciones a sus sistemasde forma automática mediante una actualización global o con el uso de tareas de replicación.

Tareas servidorTareas de extracción 16


Consideraciones al planificar una tarea de extracción

Tenga en cuenta lo siguiente cuando planifique tareas de extracción:

• Ancho de banda y uso de la red: si utiliza la actualización global, tal y como se recomienda,planifique una tarea de extracción para que se ejecute cuando los demás recursos utilicen pocoancho de banda. Con la actualización global, los archivos de actualización se distribuyenautomáticamente cuando finaliza la tarea de extracción.

• Frecuencia de la tarea: los archivos DAT se publican a diario, pero puede que no desee utilizarsus recursos a diario en tareas de actualización.

• Tareas de replicación y actualización: planifique las tareas de replicación y de actualización declientes para asegurarse de que los archivos de actualización se distribuyen en todo el entorno.

Tareas de replicaciónUtilice tareas de replicación para copiar el contenido del repositorio principal en los repositoriosdistribuidos. Si no ha replicado el contenido del repositorio principal en todos sus repositoriosdistribuidos, habrá sistemas que no lo reciban. Debe asegurarse de que todos los repositoriosdistribuidos estén actualizados.

Si va a usar la actualización global para todas las actualizaciones, es posible que no sea necesarioutilizar en su entorno las tareas de replicación, aunque se recomiendan para obtener redundancia. Sinembargo, si no utiliza la actualización global para ninguna de las actualizaciones, debe planificar unatarea servidor Replicación del repositorio o ejecutar una tarea Replicar ahora.

La mejor forma de garantizar que sus repositorios distribuidos estén actualizados es planificar tareasservidor de replicación del repositorio que se ejecuten de forma regular. Con la planificación de tareasde replicación diarias se asegura que los sistemas gestionados permanezcan actualizados. El uso detareas de replicación del repositorio automatiza el proceso de replicación en los repositoriosdistribuidos.

De vez en cuando, puede incorporar a su repositorio principal archivos que desea replicar en losrepositorios distribuidos inmediatamente, en lugar de esperar a la próxima replicación planificada.Ejecute una tarea Replicar ahora para actualizar los repositorios distribuidos manualmente.

Replicación completa frente a replicación incremental

Cuando cree una tarea de replicación, seleccione Replicación incremental o Replicación completa. La replicaciónincremental, que necesita menos ancho de banda, solo copia del repositorio principal las nuevasactualizaciones que aún no están en el repositorio distribuido. Sin embargo, con una replicacióncompleta se copia todo el contenido del repositorio principal.

McAfee recomienda planificar una tarea de replicación incremental diaria. Si es posible, planifique unatarea de replicación completa semanal para que se eliminen los archivos del repositorio distribuido,independientemente de la funcionalidad de replicación propia de ePolicy Orchestrator.

Selección de repositorioLos nuevos repositorios distribuidos se agregan a la lista de repositorios que contiene todos losrepositorios distribuidos disponibles. El agente de un sistema gestionado actualiza este archivo cada

16 Tareas servidorTareas de replicación


vez que se comunica con el servidor de McAfee ePO. El agente selecciona un repositorio cada vez quese inicia el servicio del agente (Servicio McAfee Framework) o cuando cambia la lista de repositorios.

La replicación selectiva proporciona un mayor control sobre la actualización de repositoriosindividuales. Al planificar tareas de replicación, puede elegir:

• Los repositorios distribuidos específicos a los que se va a aplicar la tarea. Si se realiza la replicaciónen repositorios distribuidos diferentes a horas distintas se reduce el impacto sobre los recursos deancho de banda. Estos repositorios pueden especificarse cuando se crea o edita la tarea dereplicación.

• Los archivos y firmas específicas que se replican en los repositorios distribuidos. Si seleccionasolamente los tipos de archivos necesarios para los sistemas que utilizan el repositorio distribuido,el impacto sobre los recursos de ancho de banda será menor. Cuando defina o edite susrepositorios distribuidos, puede elegir qué paquetes desea replicar en el repositorio distribuido.

Esta funcionalidad está diseñada para la actualización de productos que solamente se instalan enalgunos sistemas de su entorno, como VirusScan Enterprise. Permite distribuir dichas actualizacionesúnicamente a los repositorios distribuidos con los que contactan esos sistemas.

Cómo seleccionan los agentes los repositorios

De manera predeterminada, los agentes intentan la actualización desde cualquiera de los repositoriosdel archivo de lista de repositorios. El agente puede utilizar un comando ping ICMP de red o unalgoritmo de comparación de direcciones de subred para buscar el repositorio distribuido con el tiempode respuesta más rápido. Normalmente, será el repositorio distribuido más cercano al sistema en lared.

También es posible controlar perfectamente qué agentes de repositorios distribuidos se utilizarán parala actualización, activando o desactivando los repositorios distribuidos en las directivas de los agentes.McAfee no recomienda desactivar repositorios en la configuración de directivas. Si permite que losagentes se actualicen desde cualquier repositorio distribuido, se asegura de que recibirán lasactualizaciones.

Sintaxis cron aceptada al planificar una tarea servidorLa sintaxis cron está formada por seis o siete campos, separados por un espacio. La sintaxis cronaceptada, por campo en orden descendente, viene detallada en la siguiente tabla. La mayoría de lasintaxis cron es aceptable, sin embargo, existen algunos casos que no se admiten. Por ejemplo, nopuede especificar al mismo tiempo los valores de día de la semana y día del mes.

Nombre del campo Valores admitidos Caracteres especiales admitidos

Segundos 0–59 , - * /

Minutos 0–59 , - * /

Horas 0–23 , - * /

Día del mes 1–31 , - * ? / L W C

Mes 1 - 12, o JAN - DEC , - * /

Día de la semana 1 –7, o SUN - SAT , - * ? / L C #

Año (opcional) Vacío, o 1970–2099 , - * /

Tareas servidorSintaxis cron aceptada al planificar una tarea servidor 16


Caracteres especiales admitidos

• Se admiten las comas (,) para especificar valores adicionales. Por ejemplo, "5,10,30" o"MON,WED,FRI".

• Los asteriscos (*) se utilizan para indicar "cada". Por ejemplo, "*" en el campo de minutos significa"cada minuto".

• Los signos de interrogación (?) pueden utilizarse para indicar un valor no específico en los camposDía de la semana y Día del mes.

El signo de interrogación puede utilizare en uno de estos campos, pero no en los dos.

• Las barras inclinadas (/) identifican incrementos. Por ejemplo, "5/15" en el campo de minutossignifica que la tarea se ejecuta en los minutos 5, 20, 35 y 50.

• La letra "L" significa "último" en los campos Día de la semana y Día del mes. Por ejemplo, "0 15 10 ? *6L" significa el último viernes de cada mes a las 10:15.

• La letra "W" significa "día de la semana". Por lo tanto, si creó un día del mes como "15W", significael día de la semana más cercano al decimoquinto día del mes. Además, también puede especificar"LW", que significaría el último día de la semana del mes.

• La almohadilla "#" identifica el número del día del mes. Por ejemplo, si se utiliza "6#3" en el campoDía de la semana, quiere decir el tercer (3er) viernes de cada mes, "2#1" es el primer (1º) lunes y"4#5" el quinto (5º) miércoles.

Si el mes no tiene quinto miércoles, la tarea no se ejecuta.

Ver información de tareas servidor en el registro de tareasservidor

Examine el registro de tareas servidor para ver información sobre sus tareas servidor. El registro detareas servidor proporciona el estado de la tarea y los errores que hayan podido producirse.

• Acceda a la información sobre las tareas servidor: haga clic en Menú | Automatización | Registro de tareasservidor.

Se muestra la siguiente información sobre las tareas:

• Fecha de inicio y duración de la tarea.

• Los errores o advertencias y sus códigos.

• El estado de cada paquete que se incorpora al repositorio principal.

• Información relativa a los nuevos paquetes que se incorporan al repositorio principal.

• Estado de la tarea en cada sitio (si se expande).

• Los errores o advertencias, sus códigos y el sitio al que afectan.

16 Tareas servidorVer información de tareas servidor en el registro de tareas servidor


Configuración del programa Product Improvement ProgramEl programa McAfee Product Improvement Program permite mejorar los productos de McAfee. Esteprograma recopila datos de forma proactiva y periódica de los sistemas cliente gestionados por elservidor de McAfee ePO.

El programa McAfee Product Improvement Program recopila los siguientes tipos de datos:

• Entorno del sistema (detalles del software y del hardware)

• Eficacia de las funciones de los productos de McAfee instalados

• Errores de los productos de McAfee y eventos de Windows relacionados


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Product Improvement Program en las


2 Seleccione Sí para permitir que McAfee recopile datos de uso y de diagnóstico anónimos y, acontinuación, haga clic en Guardar.

Haga clic aquí para obtener más información sobre el programa McAfee Product ImprovementProgram.

Desinstalación del programa McAfee Product ImprovementProgram

Se puede desinstalar el programa McAfee Product Improvement Program en cualquier momento.


1 Inicie una sesión en el servidor de McAfee ePO como administrador.

2 Haga clic en Menú | Directiva | Catálogo de tareas cliente, seleccione McAfee Agent | Despliegue de productos enTipos de tareas cliente y, a continuación, haga clic en Acciones | Nueva tarea.

3 Cree una nueva tarea para desinstalar el programa McAfee Product Improvement Program de lossistemas cliente requeridos.

4 Asigne la tarea a los sistemas cliente y envíe una llamada de activación del agente.

5 Haga clic en Menú | Software | Repositorio principal, después en Eliminar junto a el paquete del programaMcAfee Product Improvement Program y, a continuación, en Aceptar.

6 Haga clic en Menú | Software | Extensiones y, a continuación, seleccione McAfee Product Improvement Program.

7 Haga clic en Eliminar y, a continuación, en Aceptar.

Tareas servidorConfiguración del programa Product Improvement Program 16


http://www.mcafee.com/us/products/security-management/product-improvement-program.aspx

http://www.mcafee.com/us/products/security-management/product-improvement-program.aspx

16 Tareas servidorDesinstalación del programa McAfee Product Improvement Program


17 Administración manual de paquetes yactualizaciones

Si necesita distribuir nuevos productos fuera de las tareas planificadas normales, puede incorporarlosde forma manual.

Contenido Cómo administrar productos no gestionados Incorporación manual de paquetes Eliminación de paquetes DAT o del motor del repositorio principal Desplazamiento manual de paquetes DAT y del motor entre las ramas Incorporación manual de paquetes de actualización del motor, de DAT y de archivos EXTRA.DAT

Cómo administrar productos no gestionadosPara que ePolicy Orchestrator pueda gestionar un producto, es necesario instalar primero suextensión.

Antes de empezarAsegúrese de que el archivo de extensión se encuentra en una ubicación accesible de lared.


1 Desde la consola de ePolicy Orchestrator, haga clic en Menú | Software | Extensiones | Instalar extensión.

Únicamente puede disponer de una tarea de actualización del repositorio remoto al mismo tiempo.Si intenta instalar una extensión al mismo tiempo que se está ejecutando una actualización delrepositorio principal, aparece el siguiente error:

No se ha podido instalar la extensión com.mcafee.core.cdm.CommandException: No se puedeincorporar el paquete seleccionado mientras la tarea de extracción se está ejecutando.

Espere a que finalice la actualización del repositorio principal e instale la extensión denuevo.

2 Localice y seleccione el archivo de extensión y haga clic en Aceptar.

3 Compruebe que el nombre del producto aparece en la lista Extensiones.

17


Incorporación manual de paquetesIncorpore los paquetes de despliegue en el Repositorio principal para que el software ePolicy Orchestratorpueda desplegarlos.


Procedimiento1 Abra el asistente Incorporar paquete.

a Haga clic en Menú | Software | Repositorio principal.

b Haga clic en Incorporar paquete.

2 Seleccione el tipo de paquete y, a continuación, localice y seleccione el archivo del paquete.


4 Confirme o configure lo siguiente:

• Información del paquete: confirme si se trata del paquete adecuado.

• Rama: seleccione la rama. Si en su entorno es necesario probar los nuevos paquetes antes dedesplegarlos en el entorno de producción, McAfee recomienda utilizar la rama Evaluación paraincorporar paquetes. Una vez que haya terminado de comprobar los paquetes, puede situarlosen la rama Actual haciendo clic en Menú | Software | Repositorio principal.

• Opciones: seleccione las opciones siguientes según corresponda.

• Mover el paquete existente a la rama Anterior: cuando se selecciona esta opción, se mueve lospaquetes del repositorio principal de la rama Actual a la rama Anterior al incorporar un paquetemás reciente del mismo tipo. Disponible solo al seleccionar Actual en Rama.

• Firma de paquetes: especifica si el paquete es de McAfee o de terceros.

5 Haga clic en Guardar para comenzar a desplegar el paquete y espere hasta que se incorpore.

El nuevo paquete aparece en la lista Paquetes en el repositorio principal en la ficha Repositorio principal.

Eliminación de paquetes DAT o del motor del repositorioprincipal

Este procedimiento permite eliminar paquetes DAT o del motor del repositorio principal. Los paquetesde actualización nuevos que se incorporan de manera regular sustituyen las versiones antiguas o lasmueven a la rama Anterior, en caso de que esté utilizando dicha rama Anterior.


1 Haga clic en Menú | Software | Repositorio principal.

2 En la fila del paquete, haga clic en Eliminar.


17 Administración manual de paquetes y actualizacionesIncorporación manual de paquetes


Desplazamiento manual de paquetes DAT y del motor entre lasramas

Mueva los paquetes manualmente entre las ramas Evaluación, Actual y Anterior tras incorporarlos alRepositorio principal.


Procedimiento1 Haga clic en Menú | Software | Repositorio principal.

2 En la fila del paquete, haga clic en Cambiar rama.

3 Seleccione si desea mover o copiar el paquete a otra rama.

4 Seleccione la rama en la que va a situar el paquete.

Si tiene McAfee® NetShield®

for NetWare en la red, seleccione, Compatibilidad con NetShield for NetWare.


Incorporación manual de paquetes de actualización del motor,de DAT y de archivos EXTRA.DAT

Incorpore los paquetes de actualización en el Repositorio principal para desplegarlos por medio delsoftware ePolicy Orchestrator. Algunos paquetes solo pueden incorporarse de forma manual.


Procedimiento1 Abra el asistente Incorporar paquete.

a Haga clic en Menú | Software | Repositorio principal.

b Haga clic en Incorporar paquete.

2 Seleccione el tipo de paquete y localice y seleccione el archivo del paquete adecuado y, acontinuación, haga clic en Siguiente.

3 Seleccione una rama:

• Actual: para utilizar los paquetes sin probarlos antes.

• Evaluación: se utiliza para probar los paquetes en un entorno de evaluación.

Una vez que haya terminado de probar los paquetes, puede moverlos a la rama Actual haciendoclic en Menú | Software | Repositorio principal.

• Anterior: para utilizar la versión anterior para recibir el paquete.

4 Al lado de Opciones, seleccione Mover el paquete existente a la rama Anterior para mover el paquete existente(del mismo tipo que el que va a incorporar) a la rama Anterior.

5 Haga clic en Guardar para iniciar la incorporación del paquete. Espere mientras se incorpora elpaquete.

El nuevo paquete aparece en la lista Paquetes en el repositorio principal en la página Repositorio principal.

Administración manual de paquetes y actualizacionesDesplazamiento manual de paquetes DAT y del motor entre las ramas 17


17 Administración manual de paquetes y actualizacionesIncorporación manual de paquetes de actualización del motor, de DAT y de archivos EXTRA.DAT


18 Eventos y respuestas

Configure su servidor McAfee ePO para activar una acción en respuesta a eventos de amenazas, decliente y de servidor.

Contenido Uso de respuestas automáticas Cómo interactúa la función Respuestas automáticas con el árbol de sistemas Planificación de respuestas Configuración de respuestas por primera vez Determinación de cómo se reenvían los eventos Configuración de Respuestas automáticas Determinación de los eventos que se reenvían al servidor Elección de un intervalo para los eventos de notificación Creación y edición de reglas de Respuesta automática

Uso de respuestas automáticasEl grupo completo de tipos de eventos para los que puede configurar una respuesta automáticadepende de los productos de software que gestione con el servidor de McAfee ePO.

De manera predeterminada, su respuesta puede incluir estas acciones:

• Crear problemas. • Ejecutar comandos de sistema.

• Ejecutar tarea servidor. • Enviar mensajes de correo electrónico.

• Ejecutar comandos externos. • Enviar capturas SNMP.

La especificación de las categorías de eventos que generan un mensaje de notificación y lasfrecuencias con las que se envían estos mensajes se pueden configurar de diversas formas.

Esta función está diseñada para crear acciones y notificaciones configuradas por el usuario, cuando secumplen las condiciones de una regla. Estas condiciones incluyen, entre otras:

• Un producto de software antivirus detecta una amenaza. Aunque se admiten muchos productosantivirus, los eventos de VirusScan Enterprise incluyen la dirección IP del agresor para que puedaaislar el sistema que puede infectar al resto del entorno.

• Situaciones de brotes. Por ejemplo, se reciben 1000 eventos de detección de virus en cincominutos.

• Conformidad de alto nivel de los eventos del servidor de McAfee ePO. Por ejemplo, unaactualización del repositorio o una tarea de replicación no se han realizado correctamente.

18


Cómo interactúa la función Respuestas automáticas con elárbol de sistemas

Antes de planificar la implementación de las respuestas automáticas, debe saber cómo funciona estautilidad con el árbol de sistemas.

Esta función no sigue el modelo de herencia utilizado durante la implementación de directivas.

Las respuestas automáticas utilizan eventos que se producen en los sistemas del entorno, que lleganal servidor y configuran las reglas de respuesta asociadas al grupo que contiene los sistemasafectados y los ascendientes de estos. Si se cumplen las condiciones de cualquiera de estas reglas, serealizan las acciones especificadas, según la configuración de dicha regla.

Este diseño permite configurar reglas independientes en distintos niveles del árbol de sistemas. Estasreglas pueden tener distintos:

• Umbrales utilizados para enviar un mensaje de notificación. Por ejemplo, es posible que unadministrador de un grupo determinado desee recibir una notificación si en 10 minutos se detectanvirus en 100 sistemas del grupo, pero un administrador no quiera recibir notificaciones a menosque en el mismo tiempo se detecten virus en 1000 sistemas, en el entorno completo.

• Destinatarios del mensaje de notificación. Por ejemplo, un administrador de un grupodeterminado desea recibir un mensaje de notificación solo si se producen un número determinadode eventos de detección de virus en su grupo. O bien, un administrador desea que cadaadministrador de grupo reciba un mensaje de notificación si se produce un número determinado deeventos de detección de virus en el árbol de sistemas completo.

Los eventos del servidor no se filtran por ubicación del árbol de sistemas.

Regulación, agregación y agrupaciónPuede configurar cuándo se envían los mensajes de notificación, mediante la configuración deumbrales basados en agregación, regulación o agrupación.

Agregación

La agregación permite determinar qué umbrales de eventos deben superarse para que la regla envíeun mensaje de notificación. Por ejemplo, puede configurar la misma regla para enviar un mensaje denotificación cuando el servidor reciba 1000 eventos de detección de virus procedentes de distintossistemas en una hora o cuando reciba 100 eventos de detección de virus desde cualquier sistema.

Regulación

Una vez que haya configurado la regla para recibir una notificación cuando se detecte un posiblebrote, utilice la regulación para asegurarse de que no va a recibir demasiados mensajes denotificación. Si administra una red grande, puede recibir decenas de miles de eventos en una hora, loque crearía miles de mensajes de notificación basados en dicha regla. Las respuestas permiten regularel número de mensajes de notificación basados en una sola regla que se reciben. Por ejemplo, puedeespecificar en esta misma regla que no desea recibir más de un mensaje de notificación cada hora.

Agrupación

La agrupación se utiliza para combinar varios eventos agregados. Por ejemplo, los eventos con lamisma gravedad pueden combinarse en un solo grupo. La agrupación permite al administrador realizaracciones, de forma simultánea, en todos los eventos que tienen, como mínimo, la misma gravedad.Además, permite clasificar por prioridad los eventos generados en sistemas gestionados o enservidores.

18 Eventos y respuestasCómo interactúa la función Respuestas automáticas con el árbol de sistemas


Reglas predeterminadasActive las reglas predeterminadas de ePolicy Orchestrator para su uso inmediato mientras aprendemás sobre la función.

Antes de activar las reglas predeterminadas:

• Especifique el servidor de correo electrónico (haga clic en Menú | Configuración | Configuración del servidor)desde el que se envían los mensajes de notificación.

• Compruebe que la dirección de correo electrónico del destinatario es la que desea utilizar pararecibir mensajes de correo electrónico. Esta dirección se configura en la página Acciones delasistente.

Tabla 18-1 Reglas de notificación predeterminadas

Nombre de regla Eventos asociados Configuraciones

No se ha podidoactualizar o replicarel repositoriodistribuido.

No se ha podidoactualizar o replicar elrepositorio distribuido.

Envía un mensaje de notificación cuando no sepuede realizar una actualización o replicación.

Malware detectado Cualquier evento de unproducto desconocido

Se envía un mensaje de notificación:• Cuando el número de eventos es, como mínimo,

1000 en una hora.

• Como máximo, una vez cada dos horas.

• Con la dirección IP del sistema origen, losnombres de las amenazas reales y la informacióndel producto, si está disponible, y muchos otrosparámetros.

• Cuando el número de valores distintosseleccionados es 500.

No se ha podidoactualizar o replicarel repositorioprincipal.

No se ha podidoactualizar o replicar elrepositorio principal.

Envía un mensaje de notificación cuando no sepuede realizar una actualización o replicación.

Equipo no conformedetectado

Eventos del tipo Equipono conforme detectado

Se envía un mensaje de notificación cuando sereciben eventos de una tarea servidor Generarevento de conformidad.

Planificación de respuestasAntes de crear las reglas para enviar notificaciones, puede ahorrar tiempo si realiza una planificación.

Asegúrese de que ha planificado los siguientes elementos:

• Los tipos de eventos y los grupos (tanto de productos como del servidor) que activan mensajes denotificación en su entorno.

• Quién debe recibir cada mensaje de notificación. Por ejemplo, es posible que no sea necesarioavisar al administrador del grupo B de un error de replicación en el grupo A, pero puede que quieraque todos los administradores sepan que se ha descubierto un archivo infectado en el grupo A.

• Qué tipos y niveles de umbrales desea definir para cada regla. Por ejemplo, puede que no leconvenga recibir un mensaje de correo electrónico cada vez que se detecte un archivo infectadodurante un brote. Sin embargo, se puede enviar un mensaje una vez cada cinco minutos, comomáximo, independientemente de con qué frecuencia reciba el servidor el evento.

Eventos y respuestasPlanificación de respuestas 18


• Qué comandos o ejecutables registrados se deben ejecutar cuando se cumplan las condiciones deuna regla.

• Qué tarea servidor debe ejecutarse cuando se cumplan las condiciones de una regla.

Configuración de respuestas por primera vezSiga estos pasos generales cuando configure los eventos y respuestas automáticas por primera vez.

La primera vez que se crean nuevas reglas de respuesta automática:

1 Debe entender qué son las respuestas automáticas y cómo funcionan en el árbol de sistemas y enla red.

2 Planifique la implementación. ¿Qué usuarios necesitan conocer qué eventos?

3 Prepare los componentes y los conjuntos de permisos que se utilizan con respuestas automáticas.Por ejemplo:

• Permisos para el uso de respuestas automáticas. Cree o edite los conjuntos de permisos ycompruebe que se han asignado a los usuarios adecuados de McAfee ePO.

• Servidor de correo electrónico. Configure el servidor de correo electrónico en (SMTP) enConfiguración del servidor.

• Lista de contactos de correo electrónico. Especifique la lista de la que va a seleccionar losdestinatarios de los mensajes de notificación en Contactos.

• Ejecutables registrados. Especifique una lista de ejecutables registrados que debenejecutarse cuando se cumplan las condiciones de una regla.

• Tareas servidor. Cree tareas servidor para utilizarlas como acciones como resultado de unaregla de respuesta.

• Servidores SNMP. Especifique una lista de servidores SNMP que se van a utilizar al crear lasreglas. Puede configurar reglas para enviar capturas SNMP a servidores SNMP cuando secumplan las condiciones para se inicie un mensaje de notificación.

Determinación de cómo se reenvían los eventosDetermine cuándo se reenvían los eventos y qué eventos se reenvían de forma inmediata.

El servidor recibe notificaciones de eventos de los agentes. Puede configurar directivas de McAfeeAgent para reenviar los eventos al servidor de forma inmediata o bien solo en los intervalos decomunicación agente-servidor.

Si decide enviar los eventos inmediatamente (opción predeterminada), el agente McAfee Agentreenvía todos los eventos en cuanto son recibidos.

El intervalo predeterminado para procesar notificaciones de eventos es un minuto. Por este motivo,puede haber un retraso antes de que se procesen los eventos. Puede cambiar el intervalopredeterminado en la configuración de Notificaciones de eventos del servidor (Menú | Configuración |Servidor).

Si decide que no se envíen todos los eventos inmediatamente, el agente McAfee Agent solo reenvía deforma inmediata aquellos eventos que sean designados por el producto emisor como de prioridad alta.El resto de eventos se envían únicamente en el intervalo de comunicación agente-servidor.

18 Eventos y respuestasConfiguración de respuestas por primera vez


Procedimientos• Determinación de los eventos que se reenvían de forma inmediata en la página 219

Especifique si los eventos se reenvían inmediatamente o solo durante la comunicaciónagente-servidor.

• Determinación de los eventos que se reenvían en la página 219Utilice la página Configuración del servidor para determinar qué eventos se reenvían al servidor.

Determinación de los eventos que se reenvían de formainmediataEspecifique si los eventos se reenvían inmediatamente o solo durante la comunicación agente-servidor.

Si la directiva aplicada actualmente no se ha definido para que se carguen los eventos de formainmediata, edítela o bien cree una nueva directiva de McAfee Agent. Esta configuración se estableceen la página Registro de eventos de amenazas.


Procedimiento1 Haga clic en Menú | Directiva | Catálogo de directivas y, en el menú Producto, seleccione McAfee Agent. A

continuación, seleccione General en Categoría.

2 Haga clic en una directiva de agente existente.

3 En la ficha Eventos, seleccione Activar reenvío de eventos según prioridad.

4 Seleccione la gravedad de los eventos.

Los eventos de la gravedad seleccionada (o superior) se reenvían inmediatamente al servidor.

5 Para regular el tráfico, introduzca un Intervalo entre cargas (en minutos).

6 Para regular el tamaño del tráfico, introduzca un Máximo número de eventos por carga.


Determinación de los eventos que se reenvíanUtilice la página Configuración del servidor para determinar qué eventos se reenvían al servidor.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Filtrado de eventos y, a continuación,

haga clic en Editar.

2 Seleccione los eventos y, a continuación, haga clic en Guardar.

Esta configuración surte efecto una vez que se hayan activado todos los agentes.

Configuración de Respuestas automáticasConfigure los recursos necesarios para obtener el máximo rendimiento de las Respuestas automáticas.

Eventos y respuestasConfiguración de Respuestas automáticas 18


Procedimientos

• Asignación de permisos a notificaciones en la página 220Los permisos de notificaciones permiten a los usuarios ver, crear y editar ejecutablesregistrados.

• Asignación de permisos a Respuestas automáticas en la página 220Los permisos para respuestas permiten a los usuarios crear reglas de respuesta paradistintos grupos y tipos de eventos.

• Administración de servidores SNMP en la página 221Configure las respuestas para utilizar el servidor SNMP (Simple Network ManagementProtocol).

Asignación de permisos a notificacionesLos permisos de notificaciones permiten a los usuarios ver, crear y editar ejecutables registrados.


Procedimiento

1 Haga clic en Menú | Administración de usuarios | Conjuntos de permisos y, a continuación, cree un nuevoconjunto de permisos o seleccione uno existente.

2 Haga clic en Editar junto a Notificaciones de eventos.

3 Seleccione los permisos de notificaciones que desee:

• Ningún permiso

• Ver ejecutables registrados

• Crear y editar ejecutables registrados

• Ver reglas y notificaciones del árbol de sistemas completo (sustituye los permisos de acceso a nivel de grupos del árbol desistemas)


5 Si ha creado un nuevo conjunto de permisos, haga clic en Menú | Administración de usuarios | Usuarios.

6 Seleccione el usuario al que desea asignar el nuevo conjunto de permisos y haga clic en Editar.

7 Junto a Conjuntos de permisos, seleccione la casilla de verificación correspondiente al conjunto depermisos con los permisos de notificaciones que desee y, a continuación, haga clic en Guardar.

Asignación de permisos a Respuestas automáticasLos permisos para respuestas permiten a los usuarios crear reglas de respuesta para distintos gruposy tipos de eventos.

Los usuarios necesitan permisos para que las siguientes funciones puedan crear una regla de respuesta.

• Registro de eventos de amenazas

• Árbol de sistemas

• Tareas servidor

• Sistemas detectados


18 Eventos y respuestasConfiguración de Respuestas automáticas


Procedimiento

1 Haga clic en Menú | Administración de usuarios | Conjuntos de permisos y, a continuación, cree un conjuntode permisos o seleccione uno existente.

2 Junto a Respuesta automática, haga clic en Editar.

3 Seleccione un permiso de Respuesta automática:

• Ningún permiso

• Ver respuestas; ver resultados de respuestas en el registro de tareas servidor

• Crear, editar, ver y cancelar respuestas; ver resultados de respuestas en el registro de tareas servidor


5 Si ha creado un nuevo conjunto de permisos, haga clic en Menú | Administración de usuarios | Usuarios.

6 Seleccione el usuario al que desea asignar el nuevo conjunto de permisos y haga clic en Editar.

7 Junto a Conjuntos de permisos, seleccione la casilla de verificación correspondiente al conjunto depermisos que tenga los permisos de Respuesta automática que desee y, a continuación haga clic enGuardar.

Administración de servidores SNMPConfigure las respuestas para utilizar el servidor SNMP (Simple Network Management Protocol).

Puede configurar las respuestas para que se envíen capturas SNMP al servidor SNMP. De esta forma,puede recibir las capturas SNMP en la misma ubicación en la que puede utilizar la aplicación deadministración de la red para ver información detallada sobre los sistemas del entorno.

No es necesario que defina otras configuraciones o inicie ningún servicio para configurar esta función.

Procedimientos

• Edición de servidores SNMP en la página 221Edite las entradas existentes de servidores SNMP.

• Eliminación de un servidor SNMP en la página 221Elimine un servidor SNMP de la lista Servidores registrados.

Edición de servidores SNMPEdite las entradas existentes de servidores SNMP.


Procedimiento

1 Haga clic en Menú | Configuración | Servidores registrados.

2 En la lista de servidores registrados, seleccione un servidor SNMP y, a continuación, haga clic enAcciones | Editar.

3 Edite la información del servidor según sus necesidades y, a continuación, haga clic en Guardar.

Eliminación de un servidor SNMPElimine un servidor SNMP de la lista Servidores registrados.


Eventos y respuestasConfiguración de Respuestas automáticas 18


Procedimiento1 Haga clic en Menú | Configuración | Servidores registrados.

2 En la lista de servidores registrados, seleccione un servidor SNMP y, a continuación, haga clic enAcciones | Eliminar.

3 Cuando aparezca el mensaje, haga clic en Sí.

El servidor SNMP es eliminado de la lista Servidores registrados.

Importación de archivos .MIBImporte archivos .mib antes de configurar las reglas para enviar mensajes de notificación a unservidor SNMP a través de una captura SNMP.

Debe importar tres archivos .mib desde \Archivos de programa\McAfee\ePolicy Orchestrator\MIB. Los archivos deben importarse en el siguiente orden:

1 NAI-MIB.mib

2 TVD-MIB.mib

3 EPO-MIB.mib

Estos archivos permiten que el programa de administración de la red pueda descodificar en textolegible los datos de las capturas SMTP. El archivo EPO-MIB.mib depende de los otros dos archivos paradefinir las siguientes capturas:

• epoThreatEvent: esta captura se envía cuando se activa una respuesta automática para unevento de amenaza de McAfee ePO. Contiene variables que corresponden a las propiedades delevento de amenaza.

• epoStatusEvent: esta captura se envía cuando se activa una respuesta automática para unevento de estado de McAfee ePO. Contiene variables que corresponden a las propiedades de unevento de estado (de servidor).

• epoClientStatusEvent: esta captura se envía cuando se activa una respuesta automática para unevento de estado de cliente de McAfee ePO. Contiene variables que corresponden a las propiedadesde un evento de estado (de cliente).

• epoTestEvent: se trata de una captura de prueba que se envía al hacer clic en Enviar captura deprueba en las páginas Nuevo servidor SNMP o Editar servidor SNMP.

Para obtener instrucciones sobre cómo importar e implementar archivos .mib, consulte ladocumentación del producto correspondiente a su programa de administración de red.

Determinación de los eventos que se reenvían al servidorEste procedimiento permite determinar los eventos que se reenvía al servidor mediante laconfiguración del servidor y el filtrado de eventos.

Antes de empezar

Las opciones que elija afectan al ancho de banda que se utiliza en el entorno, así como alas consultas basadas en eventos.

18 Eventos y respuestasDeterminación de los eventos que se reenvían al servidor



1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Filtrado de eventos y haga clic enEditar en la parte inferior de la página. Aparece la página Filtrado de eventos: Editar.

2 Seleccione los eventos que desea que el agente reenvíe al servidor y, a continuación, haga clic enGuardar.

Los cambios en estos valores surten efecto una vez que todos los agentes se han comunicado con elservidor de McAfee ePO.

Elección de un intervalo para los eventos de notificación Esta opción determina la frecuencia con la que se envían eventos de notificación de ePO al sistema deRespuesta automática.

Hay tres tipos de eventos de notificación de ePO:

• Eventos de clientes: eventos que se producen en los sistemas gestionados. Por ejemplo,Actualización de productos realizada correctamente.

• Eventos de amenazas: eventos que indican que se ha detectado una posible amenaza. Porejemplo, Virus detectado.

• Eventos del servidor: eventos que se producen en el servidor. Por ejemplo, Extracción delrepositorio con errores.

El sistema de Respuesta automática solo puede activar una Respuesta automática una vez que harecibido una notificación. McAfee recomienda que se especifique un intervalo relativamente corto paraenviar estos eventos de notificación. Asimismo, McAfee recomienda que la frecuencia del intervalo deevaluación sea la suficiente como para garantizar que el sistema de Respuesta automática puedaresponder a un evento de manera puntual, pero no excesiva, con objeto de evitar demasiado consumode ancho de banda.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Notificaciones de eventos en Categorías

de configuración y, a continuación, haga clic en Editar.

2 Especifique un valor entre 1 y 9.999 minutos para el Intervalo de evaluación (1 minuto de formapredeterminada) y haga clic en Guardar.

Creación y edición de reglas de Respuesta automáticaDefina cuándo y cómo se puede dar una respuesta a los eventos que se producen en el servidor o enun sistema gestionado.

Las reglas de Respuesta automática no tienen un orden de dependencia.

Eventos y respuestasElección de un intervalo para los eventos de notificación 18


Procedimientos• Descripción de una regla en la página 224

Al crear una nueva regla, puede añadir una descripción, especificar el idioma, el tipo deevento y el grupo que activa la respuesta, así como activar o desactivar la regla.

• Configuración de filtros para la regla en la página 224Establezca los filtros de la regla de respuesta en la página Filtros del asistente Generador derespuestas.

• Definición de umbrales para la regla en la página 225Defina cuándo el evento activa la regla en la página Agregación del asistente Generador derespuestas.

• Configuración de la acción para las reglas de Respuesta automática en la página 225Configure las respuestas que son activadas por la regla en la página Respuestas del asistenteGenerador de respuestas.

Descripción de una reglaAl crear una nueva regla, puede añadir una descripción, especificar el idioma, el tipo de evento y elgrupo que activa la respuesta, así como activar o desactivar la regla.


Procedimiento1 Haga clic en Menú | Automatización | Respuestas automáticas y, a continuación, haga clic en Acciones | Nueva

respuesta o bien en Editar junto a una regla existente.

2 En la página Descripción, especifique un nombre exclusivo y los comentarios que desee para la regla.

Los nombres de las reglas en cada servidor deben ser exclusivos. Por ejemplo, si un usuario creauna regla con el nombre Alerta de emergencia, ningún otro usuario puede crear una regla con esenombre.

3 En el menú Idioma, seleccione el idioma que utiliza la regla.

4 Seleccione el Grupo de eventos y el Tipo de evento que activan esta respuesta.

5 Seleccione si la regla está Activada o Desactivada junto a Estado.


Configuración de filtros para la reglaEstablezca los filtros de la regla de respuesta en la página Filtros del asistente Generador de respuestas.


Procedimiento1 En la lista Propiedades disponibles, seleccione una propiedad y especifique el valor para filtrar el

resultado de la respuesta.

Las Propiedades disponibles dependen del tipo de evento y del grupo de eventos seleccionados en lapágina Descripción del asistente.


18 Eventos y respuestasCreación y edición de reglas de Respuesta automática


Definición de umbrales para la reglaDefina cuándo el evento activa la regla en la página Agregación del asistente Generador de respuestas.

Los umbrales de una regla son una combinación de agregación, regulación y agrupación.


Procedimiento1 Junto a Agregación, seleccione si se debe Activar esta respuesta para cada evento o bien Activar esta respuesta si

se producen varios eventos en un período de tiempo determinado. Si opta por esto último, defina el plazode tiempo en minutos, horas o días.

2 Si ha seleccionado Activar esta respuesta si se producen varios eventos en, puede optar por que se active unarespuesta cuando se cumplan las condiciones especificadas. Las condiciones son una combinaciónde:

• Cuando el número de valores distintos de una propiedad de evento es como mínimo un valor específico. Esta condiciónse utiliza cuando se selecciona un valor específico de una propiedad de evento.

• Cuando el número de eventos es como mínimo: Escriba un número definido de eventos.

Puede seleccionar una opción o las dos. Por ejemplo, puede definir que la regla active estarespuesta si el valor específico de apariciones de la propiedad de evento seleccionado supera las300, o bien cuando el número de eventos supere los 3000, el umbral que se supere primero.

3 Junto a Agrupación, seleccione si desea agrupar los eventos agregados. Si selecciona agrupar loseventos agregados, debe especificar la propiedad de evento por la que son agrupados.

4 Si lo necesita, junto a Regulación, seleccione Como máximo, activar una respuesta una vez cada para definir eltiempo que debe pasar para que la regla pueda volver a enviar mensajes de notificación.

La cantidad de tiempo puede definirse en minutos, horas o días.


Configuración de la acción para las reglas de RespuestaautomáticaConfigure las respuestas que son activadas por la regla en la página Respuestas del asistente Generador derespuestas.

Puede configurar la regla de forma que active varias acciones. Para ello, utilice los botones + y -situados junto a la lista desplegable en la que se selecciona el tipo de notificación.


Procedimiento1 Si desea que el mensaje de notificación se envíe como un mensaje de correo electrónico o de

buscapersonas, seleccione Enviar mensaje en la lista desplegable.

a Junto a Destinatarios, haga clic en ... y seleccione los destinatarios del mensaje. La lista dedestinatarios disponibles procede de los contactos disponibles (Menú | Administración de usuarios |Contactos). También puede introducir de forma manual las direcciones de correo electrónico,separadas por una coma.

b Seleccione la importancia del mensaje de notificación.

c Escriba el Asunto del mensaje. También puede insertar una de las variables disponiblesdirectamente en el asunto.

Eventos y respuestasCreación y edición de reglas de Respuesta automática 18


d Escriba el texto que desea incluir en el Cuerpo del mensaje. Tiene la opción de insertar una de lasvariables disponibles directamente en el cuerpo.

e Haga clic en Siguiente si ha terminado o bien en + para agregar otra notificación.

2 Si desea que el mensaje de notificación se envíe como una captura SNMP, seleccione Enviar capturaSNMP en la lista desplegable.

a Seleccione un servidor SNMP en la lista desplegable.

b Seleccione el tipo de valor que desea enviar en la captura SNMP.

• Valor

• Número de valores distintos

• Lista de valores distintos

• Lista de todos los valores

Algunos eventos no incluyen esta información. Si ha realizado una selección y no se presenta,ello quiere decir que la información relacionada no estaba disponible en el archivo de eventos.

c Haga clic en Siguiente si ha terminado o bien en + para agregar otra notificación.

3 Si desea que la notificación cause la ejecución de un comando externo, seleccione Ejecutar comandoexterno en la lista desplegable.

a Seleccione los Ejecutables registrados y agregue los Argumentos que desee para el comando.

b Haga clic en Siguiente si ha terminado o bien en + para agregar otra notificación.

4 Si desea que la notificación cree un problema, seleccione Crear problema en la lista desplegable.

a Seleccione el tipo de problema que desea crear.

b Especifique un nombre exclusivo y, si lo desea, otros comentarios para el problema. Tiene laopción de insertar una de las variables disponibles directamente en el nombre y la descripción.

c Seleccione Estado, Prioridad, Gravedad y Solución para el problema en la lista desplegablecorrespondiente.

d Escriba el nombre de la persona asignada en el cuadro de texto correspondiente.

e Haga clic en Siguiente si ha terminado o bien en + para agregar otra notificación.

5 Si desea que la notificación cause la ejecución de una tarea planificada, seleccione Ejecutar tareaservidor en la lista desplegable.

a Seleccione la tarea que desea ejecutar, en la lista desplegable Tarea que se va a ejecutar.

b Haga clic en Siguiente si ha terminado o bien en + para agregar otra notificación.

6 En la página Resumen, compruebe la información y, a continuación, haga clic en Guardar.

La nueva regla de respuesta aparece en la lista Respuestas.

18 Eventos y respuestasCreación y edición de reglas de Respuesta automática


Supervisión y comunicación delestado de seguridad de la redUtilice paneles personalizables para supervisar el estado de seguridad crítico"de un vistazo" y comunicarlo a los interesados y las personas encargadasde la toma de decisiones mediante el uso de consultas e informespreconfigurados y personalizables.

Capítulo 19 PanelesCapítulo 20 Consultas e informesCapítulo 21 Problemas y fichasCapítulo 22 Archivos de registro de ePolicy OrchestratorCapítulo 23 Recuperación ante desastres


Supervisión y comunicación del estado de seguridad de la red


19 Paneles

Mantener el entorno vigilado en todo momento no es tarea fácil y el uso de paneles le puede servir degran ayuda.

Los paneles son conjuntos de monitores y pueden ser, por ejemplo, una consulta basada en ungráfico.

El comportamiento y el aspecto de cada monitor se configura de manera individual.

Los usuarios deben disponer de los permisos apropiados para utilizar, crear, editar y eliminar paneles.

Contenido Configuración de paneles por primera vez Uso de los paneles Uso de monitores de panel Paneles predeterminados y sus monitores Especificación de paneles predeterminados e intervalos de actualización de paneles

Configuración de paneles por primera vezLos siguientes pasos de alto nivel describen el proceso que hay que realizar cuando se configuran lospaneles por primera vez.

1 El servidor de McAfee ePO tiene un panel predeterminado que aparecerá si no ha cargado nunca unpanel.

2 Cree los paneles y los monitores que necesite.

3 La próxima vez que inicie ePolicy Orchestrator, cargará el último panel que haya utilizado.

Uso de los panelesLos paneles se pueden crear, modificar, duplicar, exportar, etc., para que puede supervisar su entornode un vistazo.Estos procedimientos permiten utilizar los paneles.

Los paneles predeterminados y las consultas pedefenidas, que se incluyen con ePolicy Orchestrator, nopueden modificarse ni eliminarse. Para modificarlos, duplique, cambie el nombre y modifique el panel oconsulta con el nuevo nombre.

19


Procedimientos• Administración de paneles en la página 230

Cree, edite, duplique, elimine y asigne permisos a los paneles.

• Exportación e importación de paneles en la página 231Una vez que haya definido completamente los paneles y monitores, la forma más rápida demigrarlos a otros servidores de McAfee ePO es exportarlos e importarlos a los servidoresadecuados.

Administración de panelesCree, edite, duplique, elimine y asigne permisos a los paneles.

Antes de empezarPara modificar un panel, debe tener permisos de escritura sobre él.


Procedimiento1 Haga clic en Menú | Informes | Paneles para navegar hasta la página Paneles.


Acción Pasos

Crear unpanel

Para crear una vista diferente de su entorno, cree un nuevo panel.1 Haga clic en Acciones de paneles | Nuevo.

2 Escriba un nombre, seleccione una opción de visibilidad del panel y haga clic enAceptar.

Aparece un nuevo panel vacío. Puede agregar monitores al nuevo panel según suspreferencias.

Editar yasignarpermisos aun panel

Los paneles solo están visibles para los usuarios con los permisos adecuados. Lospermisos para los paneles se asignan del mismo modo que para las consultas o losinformes. Pueden ser totalmente privados, totalmente públicos o compartidos conuno o varios conjuntos de permisos.1 Haga clic en Acciones de paneles | Editar.

2 Seleccione un permiso:

• No compartir este panel

• Compartir este panel con todos

• Compartir este panel con los siguientes conjuntos de permisos

Si elige esta opción, también debe elegir uno o varios conjuntos de permisos.

3 Haga clic en Aceptar para modificar el panel.

Se puede crear un panel con permisos más amplios que una o varias de lasconsultas contenidas en el panel. Si lo hace, los usuarios con acceso a los datossubyacentes verán la consulta al abrir el panel. Los usuarios que no dispongan deacceso a dichos datos recibirán un mensaje en el que se les indica que no disponende permisos para esa consulta. Si la consulta es privada para el creador del panel,solo él podrá modificar la consulta o eliminarla del panel.

19 PanelesUso de los paneles


Acción Pasos

Duplicar unpanel

En ocasiones la manera más fácil de crear un nuevo panel es copiar otro que seasimilar al que desea.

1 Haga clic en Acciones de paneles | Duplicar.

2 ePolicy Orchestrator utilizará como nombre del duplicado el nombre existente conel añadido "(copia)". Si desea modificar este nombre, hágalo en ese punto y, acontinuación, haga clic en Aceptar.El panel duplicado se abrirá.

El panel duplicado es una copia exacta del original, incluidos todos los permisos.Solo cambia el nombre.

Eliminar unpanel

1 Haga clic en Acciones de paneles | Eliminar.

2 Haga clic en Aceptar para eliminar el panel.

El panel se elimina y aparece el panel predeterminado del sistema. Los usuarios quetenían este panel como el último que habían visto verán el panel predeterminado delsistema la próxima vez que inicien una sesión.

Exportación e importación de paneles Una vez que haya definido completamente los paneles y monitores, la forma más rápida de migrarlosa otros servidores de McAfee ePO es exportarlos e importarlos a los servidores adecuados.

Antes de empezarPara importar un panel, debe tener acceso a un panel exportado anteriormente que sehaya guardado en un archivo XML.

Un panel exportado como un archivo XML se puede importar en el mismo sistema o en otro diferente.


1 Haga clic en Menú | Informes | Paneles.


PanelesUso de los paneles 19


Acción Pasos

Exportarpanel

1 Haga clic en Acciones de paneles | Exportar.El navegador intentará descargar un archivo XML según la configuración de sunavegador.

2 Guarde el archivo XML exportado en una ubicación apropiada.

Importarpanel

1 Haga clic en Acciones de paneles | Importar.Aparece el cuadro de diálogo Importar panel.

2 Haga clic en Examinar y seleccione el archivo XML que contiene el panel exportado.Haga clic en Abrir.

3 Haga clic en Guardar.Aparece el cuadro de diálogo de confirmación Importar panel. Se muestra el nombredel panel en el archivo, además de cómo se nombrará en el sistema. De manerapredeterminada, se utiliza el nombre del panel tal y como se ha exportado, con lapalabra "(importado)".

4 Haga clic en Aceptar. Si no desea importar el panel, haga clic en Cerrar.

Aparece el panel importado. Independientemente de sus permisos en el momento dela exportación, los paneles importados tienen permisos privados. Tras la importación,debe definir sus permisos de manera explícita.

Uso de monitores de panelPuede personalizar y manipular los monitores de panel.Estos procedimientos permiten utilizar los monitores de panel.

Procedimientos• Administración de monitores de paneles en la página 232

Este procedimiento permite crear, añadir y eliminar monitores de paneles.

• Cambio de posición y tamaño de los monitores de los paneles en la página 233Los monitores se pueden trasladar y cambiar de tamaño para aprovechar mejor el espaciode la pantalla.

Administración de monitores de panelesEste procedimiento permite crear, añadir y eliminar monitores de paneles.

Antes de empezarDebe tener permisos de escritura para el panel que va a modificar.


1 Haga clic en Menú | Informes | Paneles. Seleccione un panel de la lista desplegable Panel.


19 PanelesUso de monitores de panel


Acción Pasos

Agregarmonitores.

1 Haga clic en Agregar monitor.Aparece la Galería de monitores en la parte superior de la pantalla.

2 Seleccione una categoría de monitores en la lista desplegable Ver.Aparecen en la galería los monitores disponibles en esa categoría.

3 Arrastre un monitor hasta el panel. Al mover el cursor por el panel, se resalta laubicación de arrastre disponible más cercana. Arrastre el monitor a la ubicaciónadecuada.Aparece el cuadro de diálogo Nuevo monitor.

4 Configure el monitor según sea necesario (cada monitor tiene sus propiasopciones de configuración) y haga clic en Aceptar.

5 Tras haber agregado los monitores a este panel, haga clic en Guardar cambios paraguardar el panel que acaba de configurar.

6 Cuando haya finalizado los cambios, haga clic en Cerrar.

Si añade a un panel un monitor Visor de URL personalizado que incluye contenido deAdobe Flash o controles ActiveX, es posible que el contenido oculte los menús deePolicy Orchestrator y que partes de los menús queden inaccesibles.

Editarmonitores.

Cada tipo de monitor admite opciones de configuración diferentes. Por ejemplo, unmonitor de consulta permite modificar la consulta, la base de datos y el intervalo deactualización.1 Elija un monitor, haga clic en la flecha de su extremo superior izquierdo y

seleccione Editar monitor.Aparece el cuadro de diálogo de configuración del monitor.

2 Cuando haya terminado de modificar la configuración del monitor, haga clic enAceptar. Si decide no realizar cambios, haga clic en Cancelar.

3 Si decide conservar los cambios realizados en el panel, haga clic en Guardar; encaso contrario, haga clic en Desechar.

Eliminarmonitores.

1 Elija un monitor, haga clic en la flecha de su extremo superior izquierdo yseleccione Eliminar monitor.Aparece el cuadro de diálogo de configuración del monitor.

2 Cuando haya terminado de modificar el panel, haga clic en Guardar. Para recuperarel estado anterior del panel, haga clic en Desechar.

Cambio de posición y tamaño de los monitores de los panelesLos monitores se pueden trasladar y cambiar de tamaño para aprovechar mejor el espacio de lapantalla.

Antes de empezarDebe tener permisos de escritura para el panel que va a modificar.

Puede cambiar el tamaño de muchos monitores de paneles. Si el monitor tiene pequeñas líneasdiagonales en el ángulo inferior derecho, puede redimensionarse. Para mover y redimensionar losmonitores, se arrastran dentro del panel actual.

PanelesUso de monitores de panel 19



1 Mover o redimensionar un monitor:

• Para mover un monitor de un panel:

1 Arrastre el monitor por la barra de título y colóquelo en la posición adecuada.

A medida que mueve el cursor, el contorno del fondo del monitor se desplaza hasta laposición más cercana disponible para el monitor.

2 Cuando el contorno del fondo haya llegado al lugar adecuado, suelte el monitor.

Si intenta soltar el monitor en una posición no válida, volverá al lugar donde se encontraba.

• Para redimensionar un monitor de un panel:

1 Arrastre el icono de redimensionamiento que hay en el ángulo inferior derecho del monitorhasta la ubicación adecuada.

A medida que mueve el cursor, el contorno del fondo del monitor cambia de forma parareflejar el tamaño admitido más próximo a la posición actual del cursor. Es posible que losmonitores tengan un tamaño mínimo o máximo.

2 Cuando el contorno del fondo haya cambiado hasta el tamaño adecuado, suelte el monitor.

Si intenta redimensionar el monitor con una forma que no es compatible con su ubicaciónactual, recuperará su tamaño original.

2 Haga clic en Guardar cambios. Para recuperar la configuración anterior, haga clic en Desechar.

Paneles predeterminados y sus monitoresePolicy Orchestrator incluye varios paneles predeterminados, cada uno de los cuales tiene sus propiosmonitores predeterminados.

Todos los paneles, excepto el predeterminado (normalmente Resumen de McAfee ePO), son propiedad deladministrador que haya instalado ePolicy Orchestrator. El administrador que haya realizado lainstalación debe cambiar los permisos de los paneles adicionales para que otros usuarios de McAfee ePOpuedan verlos.

Panel Auditoría

El panel Auditoría muestra las actividades relacionadas con el acceso que se producen en su servidor deMcAfee ePO. Los monitores que incluye son los siguientes:

• Intentos de inicio de sesión no conseguidos en los últimos 30 días: muestra una lista, clasificada por usuario, detodos los intentos de sesión que no se han conseguido en los últimos 30 días.

• Intentos de inicio de sesión conseguidos en los últimos 30 días: muestra una lista, clasificada por usuario, detodos los intentos de sesión que se han conseguido en los últimos 30 días.

• Historial de cambios de asignaciones de directivas por usuario (30 días): muestra un informe, clasificado porusuario, de todas las asignaciones de directivas de los últimos 30 días, según se ha anotado en elregistro de auditoría.

• Cambios de configuración por usuario: muestra un informe, agrupado por usuario, de todas las accionesconsideradas confidenciales de los últimos 30 días, según se ha anotado en el registro de auditoría.

19 PanelesPaneles predeterminados y sus monitores


• Configuraciones de servidor, por usuario (30 días): muestra un informe, clasificado por servidor, de todas lasacciones de configuración de servidor de los últimos 30 días, según se ha anotado en el registro deauditoría.

• Búsqueda rápida de sistemas: puede buscar sistemas por nombre, dirección IP, dirección MAC, nombrede usuario o GUID de agente.

Panel Resumen de McAfee ePO

El panel Resumen de McAfee ePO es un conjunto de monitores que proporcionan información de alto nivel yvínculos a más información de McAfee. Los monitores que incluye este panel son los siguientes:

• Sistemas por grupo de primer nivel: muestra un gráfico de barras con los sistemas gestionados,organizados por el grupo de nivel superior Árbol de sistemas.


• Vínculos de McAfee: muestra vínculos a soporte técnico de McAfee, herramientas de escalación ybiblioteca de información de virus, entre otros.

• Resumen de conformidad de McAfee Agent y VirusScan Enterprise (para Windows): muestra un gráfico de sectoresbooleano con los sistemas gestionados de su entorno que son conformes o no conformes, según laversión de VirusScan Enterprise (para Windows), McAfee Agent y archivos DAT.

• Historial de detecciones de malware: muestra un gráfico de líneas con el número de detecciones internasde virus durante el pasado trimestre.

Panel de administración

El Panel de administración ofrece un conjunto de monitores que proporcionan informes de alto nivel sobreamenazas para la seguridad, con vínculos a información más específica de productos de McAfee. Losmonitores que incluye este panel son los siguientes:

• Historial de detecciones de malware: muestra un gráfico de líneas con el número de detecciones internasde virus durante el pasado trimestre.

• Despliegues de productos en las últimas 24 horas: muestra un gráfico de sectores booleano con todos losdespliegues de productos realizados en las últimas 24 horas. Los despliegues que han finalizadocorrectamente se muestran en verde.

• Actualizaciones de productos en las últimas 24 horas: muestra un gráfico de sectores booleano con todas lasactualizaciones de productos realizadas en las últimas 24 horas. Las actualizaciones que hanfinalizado correctamente se muestran en verde.

Panel Despliegue de productos

El panel Despliegue de productos muestra las actividades de despliegue de productos y de actualizaciónrealizadas en la red. Los monitores que incluye este panel son los siguientes:

• Despliegues de productos en las últimas 24 horas: muestra un gráfico de sectores booleano con todos losdespliegues de productos realizados en las últimas 24 horas. Los despliegues que han finalizadocorrectamente se muestran en verde.

• Actualizaciones de productos en las últimas 24 horas: muestra un gráfico de sectores booleano con todas lasactualizaciones de productos realizadas en las últimas 24 horas. Las actualizaciones que hanfinalizado correctamente se muestran en verde.

• Despliegues de productos que han fallado en las últimas 24 horas: muestra un gráfico de barras de un grupo, porcódigo de producto, con todos los despliegues de productos que no se han podido realizar en lasúltimas 24 horas.

PanelesPaneles predeterminados y sus monitores 19



• Actualizaciones de productos que han fallado en las últimas 24 horas: muestra un gráfico de barras de un grupo,por código de producto, con todas las actualizaciones de productos que no se han podido realizaren las últimas 24 horas.

• Desinstalaciones del agente intentadas en los últimos 7 días: muestra un gráfico de barras de un grupo, por día,con todos los eventos de cliente de desinstalaciones de productos producidos en los últimos 7 días.

Especificación de paneles predeterminados e intervalos deactualización de paneles

La configuración de Paneles del servidor permite especificar el panel predeterminado que ve unusuario cuando inicia sesión en el servidor, así como con la frecuencia con que se actualizan todos lospaneles.

Puede especificar qué panel ve un usuario la primera vez que inicia una sesión en el servidor deMcAfee ePO asociándolo al conjunto de permisos del usuario. La asociación de paneles a conjuntos depermisos garantiza que los usuarios que tengan una función determinada verán automáticamente lainformación que necesitan. Los usuarios con permisos para ver otros paneles además de lospredeterminados para ellos verán el último panel que hayan visualizado la siguiente vez que accedan ala página Paneles.

Mediante la configuración de Paneles del servidor se pueden realizar las siguientes acciones:

• Configurar los paneles que verán los usuarios que pertenecen a un conjunto de permisos que notiene una asignación de paneles predeterminada.

• Controlar la frecuencia de actualización automática para los paneles.

Los paneles se actualizan de forma automática. Cada vez que se produce una actualización, seejecuta la consulta subyacente y se muestran los resultados en el panel. Si los resultados de laconsulta contienen una gran cantidad de datos, es posible que el uso de un intervalo deactualización corto tenga un impacto importante en el ancho de banda disponible. McAfeerecomienda que se elija un intervalo de actualización lo suficientemente frecuente (5 minutos demanera predeterminada) para garantizar que se muestre la información de manera precisa ypuntual, sin consumir demasiados recursos de la red.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Paneles en Categorías de configuración

y, a continuación, haga clic en Editar.

2 Seleccione un conjunto de permisos y un panel predeterminado en los menús.

Utilice y para agregar o eliminar varios paneles a cada conjunto de permisos, o para lasasignaciones a varios conjuntos de permisos.

3 Especifique un valor entre 1 minuto y 60 horas para el intervalo de actualización de panel(5 minutos de forma predeterminada) y haga clic en Guardar.

19 PanelesEspecificación de paneles predeterminados e intervalos de actualización de paneles


20 Consultas e informes

ePolicy Orchestrator incluye sus propias funciones de consultas y generación de informes. Estasfunciones son altamente personalizables, flexibles y fáciles de utilizar.

Se incluye el Generador de consultas y el Generador de informes que permiten crear y ejecutar consultas einformes que ofrecen datos configurados por el usuario en gráficos y tablas configuradas por elusuario. Los datos para estas consultas e informes se pueden obtener de cualquier base de datosinterna o externa registrada en su sistema ePolicy Orchestrator.

Además de consultar y generar informes sobre los sistemas, puede utilizar los siguientes registrospara recopilar información sobre las actividades que se realizan en su servidor de McAfee ePO y entoda la red:

• Registro de auditoría

• Registro de tareas servidor

• Registro de eventos de amenazas

Para comenzar, ePolicy Orchestrator incluye un conjunto de consultas predeterminadas queproporcionan la misma información que los informes predeterminados de versiones anteriores.

Contenido Permisos para consultas e informes Acerca de las consultas Generador de consultas Configuración de las consultas e informes por primera vez Uso de consultas Creación de consultas con datos acumulados de varios servidores Acerca de los informes Estructura de un informe Uso de los informes Servidores de bases de datos Uso de servidores de bases de datos

Permisos para consultas e informesRestrinja el acceso a las consultas y los informes de varias formas.

Para ejecutar una consulta o un informe, necesita permisos no solamente para dicha consulta oinforme, sino también para el grupo de funciones asociadas a sus tipos de resultados. Las páginas deresultados de las consultas solo ofrecen acceso a las acciones permitidas según sus conjuntos depermisos.

20


Los grupos y los conjuntos de permisos controlan el acceso a consultas e informes. Todas las consultase informes deben pertenecer a un grupo y el acceso a una consulta o informe se controla mediante elnivel de permisos del grupo. Los grupos de consultas e informes tienen uno de los siguientes nivelesde permisos:

• Privado: el grupo solo está disponible para el usuario que lo haya creado.

• Público: el grupo está disponible globalmente.

• Por conjunto de permisos: el grupo solo está disponible para los usuarios que tengan asignados losconjuntos de permisos seleccionados.

Los conjuntos de permisos tienen cuatro niveles de acceso a consultas o informes. Estos permisosincluyen:

• Ningún permiso: la ficha Consulta o Informe no está disponible para los usuarios sin permisos.

• Utilizar todos los grupos públicos y los siguientes grupos compartidos: concede permisos para utilizar todas lasconsultas o informes que se hayan incluido en el grupo Público.

• Utilizar consultas públicas; crear y editar consultas personales: concede permisos para utilizar las consultas o losinformes que se hayan incluido en un Grupo público, así como la posibilidad de utilizar el Generador deconsultas para crear y editar consultas o informes en Grupos privados.

• Editar consultas públicas; crear y editar consultas personales; hacer públicas las consultas personales: concede permisospara utilizar y editar las consultas o los informes que se hayan incluido en Grupos públicos, crear yeditar consultas o informes en Grupos privados y la posibilidad de mover consultas o informes deGrupos privados a Grupos públicos o Grupos compartidos.

Acerca de las consultasLas consultas son básicamente preguntas que se hacen a ePolicy Orchestrator y las respuestascorrespondientes en distintos formatos de gráficos y tablas.

Una consulta se puede usar de forma individual para obtener una respuesta de manera inmediata ypueden exportarse en distintos formatos; todos ellos se pueden descargar o enviar como adjunto enun mensaje de correo electrónico. La mayoría de las consultas pueden utilizarse también comomonitores de paneles, para facilitar la supervisión de los sistemas casi en tiempo real. Asimismo, sepueden combinar en informes, lo que proporciona una visión más amplia y sistemática a sus sistemasePolicy Orchestrator.

Los paneles predeterminados y las consultas pedefenidas, que se incluyen con ePolicy Orchestrator, nopueden modificarse ni eliminarse. Para modificarlos, duplique, cambie el nombre y modifique el panel oconsulta con el nuevo nombre.

Acciones a partir de los resultados de una consulta

Ahora se pueden realizar acciones a partir de los resultados de una consulta. Los resultados de laconsulta que se muestran en tablas (y tablas de detalle) tienen disponibles una serie de acciones paralos elementos seleccionados de la tabla. Por ejemplo, puede desplegar agentes en los sistemas queaparecen en una tabla de resultados de una consulta. Las acciones están disponibles en la parteinferior de la página de resultados.

Consultas como monitores de panel

Puede utilizar la mayoría de las consultas (excepto las que muestran los resultados iniciales en unatabla) como un monitor de panel. Los monitores de paneles se actualizan automáticamente según elintervalo configurado por el usuario (cinco minutos de forma predeterminada).

20 Consultas e informesAcerca de las consultas


Resultados exportados

Los resultados de las consultas se pueden exportar en cuatro formatos distintos. Los resultadosexportados son datos históricos y no se actualizan como cuando se utilizan consultas como monitoresde paneles. Al igual que los resultados de las consultas y los monitores basados en consultas, puedever el detalle de los informes HTML para conocer más información.

A diferencia de los resultados de las consultas en la consola, los datos de los informes exportados sonsolo informativos, es decir no se puede realizar ninguna acción a partir de los mismos.

Los informes están disponibles en distintos formatos:

• CSV: utilice los datos en una aplicación de hoja de cálculo (por ejemplo, Microsoft Excel).

• XML: transforme los datos para otros fines.

• HTML: para ver los resultados exportados como una página web.

• PDF: imprima los resultados.

Combinación de consultas en informes

Los informes pueden contener distintas consultas, imágenes, texto estático y otros elementos. Puedenejecutarse bajo demanda o con una planificación regular, y el PDF que generan como resultado sepuede ver fuera de ePolicy Orchestrator.

Cómo compartir consultas entre servidores

Todas las consultas pueden importarse y exportarse, lo que permite compartirlas entre servidores. Enun entorno de varios servidores, basta con crear las consultas una vez.

Recuperación de datos de distintos orígenes

Las consultas pueden recuperar datos de cualquier servidor registrado, incluidas las bases de datosexternas a ePolicy Orchestrator.

Generador de consultasePolicy Orchestrator pone a su disposición un sencillo asistente, que permite crear y editar consultaspersonalizadas en cuatro pasos. Utilice este asistente para configurar qué datos se recuperan y semuestran, así como la forma de mostrarlos.

Tipos de resultados

La primera selección que se realiza en el Generador de consultas es el esquema y el tipo de resultadode un grupo de funciones. Esta selección identifica el tipo de datos que recupera la consulta y dedónde se recuperan los datos, y determina las opciones disponibles para el resto del asistente.

Tipos de gráficos

ePolicy Orchestrator proporciona una serie de gráficos y tablas para mostrar los datos que recupera.Estos gráficos y sus tablas de detalle se pueden configurar de diversas formas.

Las tablas no incluyen tablas de detalle.

Los tipos de gráficos son:

Consultas e informesGenerador de consultas 20


Tabla 20-1 Grupos de tipos de gráficos

Tipo Gráfico o tabla

Barra • Gráfico de barras

• Gráfico de barras agrupadas

• Gráfico de barras apiladas

Sector • Gráfico de sectores booleano

• Gráfico de sectores

Burbuja • Gráfico de burbujas

Resumen • Tabla de resumen de varios grupos

• Tabla de resumen de un grupo

Línea • Gráfico de varias líneas

• Gráfico de una línea

Lista • Tabla

Columnas de la tabla

Especifique las columnas de la tabla. Si ha seleccionado Tabla como forma principal de mostrar losdatos, se configura esa tabla. Si selecciona un tipo de gráfico como forma principal de mostrar losdatos, se configura la tabla de detalle.

Se pueden realizar acciones a partir de los resultados que se muestran en una tabla. Por ejemplo, si latabla se llena con sistemas, puede desplegar o activar agentes en esos sistemas directamente desdela tabla.

Filtros

Puede seleccionar propiedades y operadores para definir criterios específicos que limiten los datos quese recuperan en una consulta.

Configuración de las consultas e informes por primera vezSiga estos pasos de alto nivel cuando configure las consultas e informes por primera vez.

1 Debe comprender cómo funcionan las consultas, los informes y el Generador de consultas.

2 Revise las consultas e informes predeterminados y modifíquelos en función sus necesidades.

3 Cree consultas e informes que se ajusten a las necesidades que no cubren las consultaspredeterminadas.

Uso de consultasLas consultas se pueden crear, exportar, duplicar, etc., en función de sus necesidades.

20 Consultas e informesConfiguración de las consultas e informes por primera vez


Procedimientos• Administración de consultas personalizadas en la página 241

Este procedimiento permite crear, duplicar, editar y eliminar consultas según susnecesidades.

• Ejecución de una consulta existente en la página 243Puede ejecutar las consultas guardadas bajo demanda.

• Ejecución de consultas de forma planificada en la página 243Una tarea servidor se utiliza para ejecutar una consulta de manera regular. Las consultaspueden tener subacciones que le permiten realizar diversas tareas, tales como enviar losresultados por correo electrónico o trabajar con etiquetas.

• Creación grupos de consultas en la página 244Los grupos de consultas permiten guardar consultas o informes sin permitir el acceso aotros usuarios.

• Traslado de una consulta a otro grupo en la página 245Cambie los permisos sobre una consulta trasladándola a otro grupo.

• Exportación e importación de consultas en la página 245Se pueden exportar e importar las consultas para garantizar que los distintos servidores deMcAfee ePO recuperen los datos de la misma forma.

• Exportación de resultados de consultas a otros formatos en la página 246Los resultados de las consultas pueden exportarse a distintos formatos, como HTML, PDF,CSV y XML.

Administración de consultas personalizadas Este procedimiento permite crear, duplicar, editar y eliminar consultas según sus necesidades.


1 Haga clic en Menú | Informes | Consultas e informes. Aparece loa página Consultas e informes.


Consultas e informesUso de consultas 20


Acción Pasos

Crear consultaspersonalizadas.

1 Haga clic en Acciones | Nueva. Aparece el asistente Generador de consultas.

2 En la página Tipo de resultado, seleccione Grupo de funciones y Tipo de resultado paraesta consulta, y, a continuación, haga clic en Siguiente.

3 Seleccione el tipo de gráfico o tabla que desea utilizar para mostrar losresultados principales de la consulta y haga clic en Siguiente.

Si selecciona Gráfico de sectores booleano, tiene que configurar los criterios que sevan a incluir en la consulta antes de continuar.

4 Seleccione la columnas que se van a incluir en la consulta y haga clic enSiguiente.

Si selecciona Tabla en la página Gráfico, las columnas que seleccione seráncolumnas de la tabla. De lo contrario, serán las columnas que forman latabla de detalle de la consulta.

5 Seleccione propiedades para reducir los resultados de la búsqueda y hagaclic en Ejecutar. La página Consulta no guardada muestra los resultados de laconsulta, a partir de los cuales puede realizar las acciones disponibles sobrelos elementos de cualquiera de las tablas o tablas de detalle.

Las propiedades seleccionadas aparecen en el panel de contenido conoperadores que permiten especificar los criterios para limitar los datosobtenidos.

• Si la consulta no devuelve los resultados esperados, haga clic en Editarconsulta para volver al Generador de consultas y modificar los detalles de lamisma.

• Si no desea guardar la consulta, haga clic en Cerrar.

• Si es una consulta que desea utilizar de nuevo, haga clic en Guardar ycontinúe por el siguiente paso.

6 Aparecerá la página Guardar consulta. Escriba un nombre para la consulta,agregue las notas que desee y seleccione una de las siguientes opciones:

• Nuevo grupo: escriba el nombre del nuevo grupo y seleccione:

• Grupo privado (Mis grupos)

• Grupo público (Grupos compartidos)

• Grupo existente: seleccione el grupo de la lista Grupos compartidos.


La nueva regla aparece en la lista Consultas.

Duplicarconsultas.

1 En la lista, seleccione una consulta para duplicarla y haga clic en Acciones |Duplicar.

2 Escriba un nombre para el duplicado en el cuadro de diálogo Duplicar,seleccione un grupo para recibir una copia de la consulta y haga clic enAceptar.


20 Consultas e informesUso de consultas


Acción Pasos

Editar consultas. 1 En la lista, seleccione una consulta para editar y haga clic en Acciones | Editar.Aparece el asistente Generador de consultas por la página Tipo de gráfico.

2 Edite la configuración de la consulta y haga clic en Guardar cuando hayafinalizado.


Eliminarconsultas.

1 En la lista, seleccione una consulta para eliminar y haga clic en Acciones |Eliminar.

2 En el cuadro de diálogo de confirmación que aparece, haga clic en Sí.

La nueva desaparece de la lista Consultas. Si algún informe o tarea servidor hautilizado la consulta, ahora aparecerán como no válidos hasta que suprima lareferencia a la consulta que se ha eliminado.

Ejecución de una consulta existentePuede ejecutar las consultas guardadas bajo demanda.


1 Haga clic en Menú | Informes | Consultas e informes y seleccione una consulta de la lista Consultas.

2 Haga clic en Acciones | Ejecutar. Aparecen los resultados de la consulta. Vaya al detalle del informe yrealice las acciones necesarias sobre los elementos.

Las acciones disponibles dependen de los permisos de los que disponga el usuario.

3 Cuando haya terminado, haga clic en Cerrar.

Ejecución de consultas de forma planificadaUna tarea servidor se utiliza para ejecutar una consulta de manera regular. Las consultas pueden tenersubacciones que le permiten realizar diversas tareas, tales como enviar los resultados por correoelectrónico o trabajar con etiquetas.


Procedimiento1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, en Acciones | Nueva tarea.

2 En la página Descripción, escriba el nombre y la descripción de la tarea y, a continuación, haga clicen Siguiente.

3 Seleccione Ejecutar consulta en el menú desplegable Acciones.

4 En el campo Consulta, busque la consulta que desea ejecutar.

5 Elija el idioma en el que desea que aparezcan los resultados.

6 En la lista Subacciones, seleccione una subacción que realizar en función de los resultados. Lassubacciones disponibles dependen de los permisos de los que disponga el usuario y de los



productos gestionados por el servidor de McAfee ePO. Por ejemplo, aquí tiene algunas subaccionesque le permiten aplicar, excluir o borrar etiquetas en los sistemas.

• Aplicar etiqueta: aplica la etiqueta seleccionada a los sistemas devueltos por la consulta.

• Borrar etiqueta: borra la etiqueta seleccionada de los sistemas devueltos por la consulta.Seleccione Borrar todo para eliminar todas las etiquetas de los sistemas incluidos en los resultadosde la consulta.

• Excluir etiqueta: excluye los sistemas de los resultados de la consulta que tengan aplicada laetiqueta seleccionada.

Si lo desea, puede elegir más de una acción para los resultados de la consulta. Haga clic en el botón+ para agregar más acciones para los resultados de la consulta. Asegúrese de colocar las acciones enel orden en que desea que se apliquen a los resultados de la consulta.


8 Planifique la tarea según sus preferencias y haga clic en Siguiente.

9 Compruebe la configuración de la tarea y, a continuación, haga clic en Guardar.

La tarea se agrega a la lista de la página Tareas servidor. Si la tarea está activada (opciónpredeterminada), se ejecuta a la siguiente hora planificada. Si está desactivada, solo se ejecuta si sehace clic en Ejecutar junto a la tarea en la página Tareas servidor.

Creación grupos de consultasLos grupos de consultas permiten guardar consultas o informes sin permitir el acceso a otros usuarios.

La creación de un grupo permite clasificar por funcionalidad las consultas y los informes, además decontrolar el acceso. La lista de grupos que se puede ver en el software ePolicy Orchestrator es lacombinación de grupos que ha creado y los que tiene permisos para ver.

También puede crear grupos de consultas privados mientras guarda una consulta personalizada.


1 Haga clic en Menú | Informes | Consultas e informes y, a continuación, haga clic en Acciones de grupos | Nuevogrupo.

2 En la página Nuevo grupo, escriba un nombre de grupo.

3 En Visibilidad del grupo, seleccione una de las siguientes opciones:

• Grupo privado: agrega un nuevo grupo a Mis grupos.

• Grupo público: agrega un nuevo grupo a Grupos compartidos. Todos los usuarios con acceso aconsultas e informes públicos pueden ver las consultas e informes del grupo.

• Compartido por conjunto de permisos (Grupos compartidos): agrega un nuevo grupo bajo Grupos compartidos.Únicamente los usuarios asignados a los conjuntos de permisos seleccionados podrán acceder alas consultas o informes de este grupo.

Los administradores tienen acceso total a todas las consultas Por conjunto de permisos (Grupos compartidos)y Grupo público (Grupos compartidos).




Traslado de una consulta a otro grupoCambie los permisos sobre una consulta trasladándola a otro grupo.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.

Procedimiento1 Haga clic en Menú | Informes | Consultas e informes. En la lista Consultas, seleccione la consulta que desea

mover.

2 Haga clic en Acciones y seleccione una de las siguientes:

• Mover a otro grupo: seleccione el grupo de consultas en el menú Seleccionar grupo de destino.

• Duplicar: especifique un nuevo nombre y seleccione el grupo en el menú Grupo que recibirá la copia.


Exportación e importación de consultas Se pueden exportar e importar las consultas para garantizar que los distintos servidores de McAfeeePO recuperen los datos de la misma forma.


Procedimiento1 Haga clic en Menú | Informes | Consultas e informes y seleccione la ficha Consulta para abrir la página

Consultas.


Acción Pasos

Exportarunaconsulta

1 Seleccione el grupo que contiene la consulta que desea exportar en la lista Grupos y,a continuación, seleccione la consulta que desea exportar.

2 Haga clic en Acciones | Exportar definiciones.El servidor de McAfee ePO envía un archivo XML al navegador. Lo que ocurra acontinuación depende de la configuración de su navegador. De manerapredeterminada, la mayoría de los navegadores solicitan que se guarde el archivo.

El archivo XML exportado contiene una descripción completa de todos los parámetrosde configuración necesarios para replicar la consulta exportada.

Importarunaconsulta

1 Haga clic en Acciones | Importar definiciones.

2 Haga clic en Examinar para localizar y seleccionar el archivo XML que contiene elinforme que desea importar.

3 Seleccione un grupo nuevo o existente para la consulta. Si es un grupo nuevo,asígnele un nombre y seleccione si es privado o público. Si es existente, seleccioneel grupo al que se va a incorporar la consulta.

4 Haga clic en Guardar.Aparece una pantalla de confirmación que muestra la información sobre la consultatal y como aparece en el archivo XML y cómo se nombrará tras la importación. Sino hay ninguna consulta válida en el archivo seleccionado, aparece un mensaje deerror.

5 Haga clic en Aceptar para finalizar la importación.

La consulta que se acaba de importar adquiere los permisos del grupo al que se haimportado.



Exportación de resultados de consultas a otros formatosLos resultados de las consultas pueden exportarse a distintos formatos, como HTML, PDF, CSV y XML.

La exportación de resultados de consultas se distingue de la creación de informes por distintosmotivos. En primer lugar, a diferencia de lo que ocurre con los informes, no se puede añadirinformación adicional al resultado; solo se incluyen los datos resultantes. Además se admiten másformatos. Esperamos poder utilizar los resultados de consultas exportados en otros procesos, por loque se admiten formatos muy compatibles, como XML y CSV. Los informes se diseñan para facilitar sulectura y, por este motivo, se crean solamente en formato PDF.

A diferencia de lo que ocurre con los resultados de las consultas en la consola, no se puede realizarninguna acción con los datos exportados.


1 Haga clic en Menú | Informes | Consultas e informes y seleccione una o varias consultas.

También puede ejecutar la consulta desde la página Consultas y hacer clic en Opciones | Exportar datos enla página de resultados de la consulta para acceder a la página Exportar.

2 Haga clic en Acciones | Exportar datos.

Aparece la página Exportar.

3 Seleccione lo que desea exportar. Para consultas basadas en gráficos, seleccione Solo datos del gráficoo Datos del gráfico y tablas de detalle.

4 Seleccione si los archivos de datos se exportan individualmente o en un solo archivo comprimido(zip).

5 Elija el formato del archivo exportado.

• CSV: elija este formato para utilizar los datos en una aplicación de hoja de cálculo (por ejemplo,Microsoft Excel).

• XML: utilice este formato para transformar los datos con otros fines.

• HTML: utilice este formato para ver los resultados exportados como una página web.

• PDF: utilice este formato cuando necesite imprimir los resultados.

6 Si va a exportar a un archivo PDF, configure lo siguiente:

• Seleccione un Tamaño de página y una Orientación de página.

• (Opcional) Mostrar criterios de filtro.

• (Opcional) Incluir una portada con este texto e incluya el texto necesario.

7 Seleccione si los archivos se envían por correo electrónico como adjuntos a los destinatariosseleccionados, o si se guardan en una ubicación en el servidor para la que se proporciona unvínculo. Haga clic con el botón derecho del ratón en el archivo si desea guardarlo en otra ubicación.

Si especifica varias direcciones de correo electrónico de destinatarios, debe separar las entradas conuna coma o un punto y coma.

8 Haga clic en Exportar.

Se crean los archivos y se envían por correo electrónico como adjuntos a los destinatarios o se abre auna página donde puede acceder a ellos desde los vínculos.



Creación de consultas con datos acumulados de variosservidores

ePolicy Orchestrator incluye ahora la capacidad de ejecutar consultas para generar informes con datosde resumen de varias bases de datos.

Utilice los siguientes tipos de resultados del asistente Generador de consultas para este tipo deconsultas:

• Eventos de amenazas acumulados • Sistemas gestionados con datosacumulados

• Eventos de clientes acumulados • Directivas implementadas acumuladas

• Historial de conformidad con datosacumulados

Los comandos de acciones no pueden generarse a partir de tipos de resultados de datos acumulados.

Cómo funciona

Para acumular datos para su uso en consultas de datos acumulados, debe registrar cada servidor(incluido el servidor local) que desea incluir en la consulta.

Una vez registrados los servidores, debe configurar tareas servidor Datos acumulados en el servidorde generación de informes (el que genera los informes de varios servidores). Las tareas servidor Datosacumulados recuperan información de todas las bases de datos sobre las que se generan los informes,y llenan las tablas EPORollup_ del servidor de generación de informes. Las consultas de datosacumulados se centran en estas tablas de base de datos del servidor de generación de informes.

Para ejecutar una consulta Historial de conformidad con datos acumulados, debe realizar dos accionespreparatorias en cada servidor cuyos datos desee incluir:

• Crear una consulta para definir la conformidad.

• Generar un evento de conformidad.

Creación de una tarea servidor Datos acumuladosLas tareas servidor Datos acumulados extraen datos de varios servidores de forma simultánea.

Antes de empezarDebe registrar primero cada servidor de informes de ePolicy Orchestrator que desee incluiren la generación de informes acumulados. Es necesario registrar todos los servidores pararecopilar datos de resumen de dichos servidores y llenar las tablas EPORollup_ del servidorde generación de informes de datos acumulados.

El servidor de generación de informes también debe estar registrado si sus datos deresumen deben incluirse en los informes de datos acumulados.


1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, en Acciones | Nueva tarea.

2 En la página Descripción, escriba un nombre y una descripción para la tarea, elija si desea activarla y,a continuación, haga clic en Siguiente.

3 Haga clic en Acciones y seleccione Acumular datos.

Consultas e informesCreación de consultas con datos acumulados de varios servidores 20


4 En el menú desplegable Acumular datos de, seleccione Todos los servidores registrados o Servidores registradosseleccionados.

5 Si eligió Servidores registrados seleccionados en el paso anterior, haga clic en Seleccione y elija losservidores de los que desee obtener datos en el cuadro de diálogo Seleccionar servidores registrados.Haga clic en Aceptar.

6 Seleccione el tipo de datos que desea acumular. Para seleccionar varios tipos de datos, haga clic en+ al final del encabezado de la tabla.

Los tipos de datos Eventos de amenazas, Eventos de clientes y Directivas implementadas se puedenconfigurar para incluir las propiedades adicionales Purgar, Filtro y Método de acumulación. Para ello,haga clic en Configurar en la fila que describe las propiedades adicionales disponibles.


Aparece la página Planificación.

8 Planifique la tarea y haga clic en Siguiente.

Aparece la página Resumen.

Si generar un informe de historial de conformidad de datos acumulados, asegúrese de que la unidadde tiempo de la consulta Historial de conformidad con datos acumulados coincide con el tipo deplanificación de las tareas servidor Generar evento de conformidad de los servidores registrados.


Creación de una consulta para definir la conformidadLas consultas de conformidad son necesarias en los servidores de McAfee ePO cuyos datos se utilizanen consultas de datos acumulados.


1 Haga clic en Menú | Informes | Consultas e informes y, a continuación, en Acciones | Nueva.

2 En la página Tipo de resultado, seleccione Administración de sistemas en Grupo de funciones y Sistemas gestionadosen Tipos de resultados y, a continuación, haga clic en Siguiente.

3 Seleccione Gráfico de sectores booleano de la lista Mostrar resultados como y, a continuación, haga clic enConfigurar criterios.

4 Seleccione las propiedades para incluir en la consulta y, a continuación, defina los operadores yvalores para cada propiedad. Haga clic en Aceptar. Cuando aparezca la página Gráfico, haga clic enSiguiente.

Estas propiedades definen lo que es conforme para los sistemas gestionados por este servidor deMcAfee ePO.

5 Seleccione la columnas que se van a incluir en la consulta y haga clic en Siguiente.

6 Seleccione los filtros que se van a aplicar a la consulta, haga clic en Ejecutar y, a continuación, enGuardar.

Generación de eventos de conformidadLos eventos de conformidad se utilizan en consultas de acumulación para agregar datos en un soloinforme.

20 Consultas e informesCreación de consultas con datos acumulados de varios servidores




2 En la página Descripción, escriba el nombre de la nueva tarea y haga clic en Siguiente.

3 Seleccione Ejecutar consulta en el menú desplegable Acciones.

4 Haga clic en el símbolo para examinar (...) junto al campo Consulta y seleccione una consulta.Aparece el cuadro de diálogo Seleccione una consulta en la lista con la ficha Mis grupos activa.

5 Seleccione la consulta que define la conformidad. Podría ser una consulta predeterminada, comoResumen de conformidad de McAfee Agent en la sección Grupos de McAfee o una consulta creada por elusuario, como la que se describe en Creación de una consulta para definir la conformidad.

6 En el menú desplegable Subacciones, seleccione Generar evento de conformidad, especifique el porcentaje onúmero de sistemas de destino y, a continuación, haga clic en Siguiente.

Los eventos se pueden generar mediante la tarea Generar evento de conformidad si la no conformidadsupera un porcentaje definido o un número de sistemas definido.

7 Planifique la tarea para el intervalo de tiempo necesario para la generación de informes sobre elhistorial de conformidad. Por ejemplo, si debe recopilarse la conformidad cada semana, planifiquela tarea para que se ejecute cada semana. Haga clic en Siguiente.

8 Revise los detalles y, a continuación, haga clic en Guardar.

Acerca de los informesLos informes combinan las consultas y otros elementos en documentos PDF que proporcionaninformación detallada para los análisis.

Se pueden ejecutar informes para averiguar el estado del entorno — vulnerabilidades, uso y eventos,por ejemplo — con el fin de realizar los cambios necesarios y mantener el entorno seguro.

Las consultas proporcionan información similar, pero solo se pueden utilizar cuando interactúandirectamente con un servidor de McAfee ePO. Los informes permiten agrupar una o varias consultasen un solo documento PDF, para facilitar el análisis centralizado y offline.

Los informes son documentos configurables que pueden mostrar datos de una o varias consultas,extraídos de una o varias bases de datos. El resultado de la última ejecución de cada informe sealmacena en el sistema y está disponible.

Puede limitar el acceso a los informes mediante el uso de grupos y conjuntos de permisos, igual queocurre con las consultas. Los informes y las consultas pueden usar los mismos grupos. Además, comolos informes se componen básicamente de consultas, es fácil controlar que el acceso se realice demanera coherente.

Estructura de un informeLos informes contienen distintos elementos en formato básico.

Aunque los informes son muy personalizables, tienen una estructura básica que contiene todos loselementos que varían.

Consultas e informesAcerca de los informes 20


Tamaño y orientación de página

ePolicy Orchestrator admite por el momento seis combinaciones de tamaño y orientación de página.Son las siguientes:

Tamaños de página:

• Carta USA (216 x 279)

• Carta USA (216 x 356)

• A4 (210 x 297)

Orientación:

• Horizontal

• Vertical

Encabezados y pies de página

Los encabezados y pies de página también pueden utilizar un valor predeterminado del sistema opersonalizarse de distintas formas, incluso con logotipos. Los elementos que admiten en estemomento los encabezados y los pies de página son:

• Logotipo • Nombre de usuario

• Fecha/hora • Texto personalizado

• Número de página

Elementos de página

Los elementos de página proporcionan el contenido al informe. Se pueden combinar en cualquierorden y pueden duplicarse, si es necesario. Los elementos de página que ofrece ePolicy Orchestratorson:

• Imágenes • Tablas de consultas

• Texto estático • Gráficos de consultas

• Saltos de página

Uso de los informesPuede crear, editar y administrar informes que combinen consultas y otros elementos en documentosPDF detallados.Estos documentos proporcionan una gran cantidad de datos útiles, pero para conseguir un grupo deinformes que sea de utilidad es preciso realizar algunas tareas.

20 Consultas e informesUso de los informes


Procedimientos• Creación de informes en la página 251

Puede crear nuevos informes y almacenarlos en ePolicy Orchestrator.

• Edición de informes en la página 251Puede modificar el contenido de un informe o su orden de presentación.

• Visualización del resultado de los informes en la página 256Vea la última versión ejecutada de cada informe.

• Agrupación de informes en la página 256Todos los informes deben estar asignados a un grupo.

• Ejecución de informes en la página 257Los informes deben ejecutarse para poder ver sus resultados.

• Ejecución de un informe con una tarea servidor en la página 257Los informes se pueden ejecutar automáticamente mediante tareas servidor.

• Exportación e importación de informes en la página 258Los informes pueden contener información muy estructurada, por lo que su exportación eimportación de un servidor a otro permite efectuar la recuperación de los datos y lageneración de informes de manera coherente en todos los servidores de McAfee ePO.

• Configuración de la plantilla y la ubicación para informes exportados en la página 258Puede definir la apariencia y ubicación de almacenamiento para las tablas y paneles queexporte como documentos.

• Eliminación de informes en la página 259Los informes que ya no se utilizan pueden eliminarse.

• Configuración de Internet Explorer 8 para aceptar automáticamente las descargas deMcAfee ePO en la página 260Es posible que, como medida de seguridad, Microsoft Internet Explorer bloquee lasdescargas automáticas de ePolicy Orchestrator. Este comportamiento puede cambiarsemediante la modificación de la configuración de Internet Explorer.

Creación de informesPuede crear nuevos informes y almacenarlos en ePolicy Orchestrator.


1 Haga clic en Menú | Informes | Consultas e informes y seleccione la ficha Informe.

2 Haga clic en Acciones | Nuevo.

Aparecerá una página Diseño del informe en blanco.

3 Haga clic en Nombre, descripción y grupo. Asigne un nombre al informe, especifique una descripción si lodesea y seleccione un grupo adecuado para él. Haga clic en Aceptar.

4 Ahora puede agregar, eliminar y reorganizar los elementos, personalizar el encabezado y el pie, ymodificar el diseño de página. En este punto, puede comprobar cómo progresa el informe. Paraello, haga clic en Ejecutar para ejecutar el informe.

5 Cuando haya terminado, haga clic en Guardar.

Edición de informesPuede modificar el contenido de un informe o su orden de presentación.

Si va a crear un nuevo informe, llegará a esta pantalla tras hacer clic en Nuevo informe.

Consultas e informesUso de los informes 20




2 Seleccione un informe de la lista; para ello seleccione la casilla que hay junto a su nombre.

3 Haga clic en Editar.

Aparece la página Diseño del informe.

Puede realizar las siguientes acciones en el informe.

Procedimientos• Cómo añadir elementos a un informe en la página 252

Puede agregar nuevos elementos a un informe existente.

• Configuración de elementos de informes de imágenes en la página 253Cargue nuevas imágenes y modifique las imágenes utilizadas en un informe.

• Configuración de elementos de informes de texto en la página 253Puede insertar texto estático en un informe para explicar su contenido.

• Configuración de elementos de informes de tablas de consultas en la página 254Algunas consultas se muestran mejor como una tabla dentro de un informe.

• Configuración de elementos de informes de gráficos de consultas en la página 254Algunas consultas se muestran mejor como gráficos dentro de un informe.

• Personalización de los encabezados y los pies de página de los informes en la página 255Los encabezados y los pies de página proporcionan información sobre el informe.

• Eliminación de elementos de un informe en la página 255Los elementos de un informe que ya no se necesiten pueden eliminarse.

• Cambio del orden de los elementos de un informe en la página 256Puede cambiar el orden en el que aparecen los elementos en un informe.

Cómo añadir elementos a un informePuede agregar nuevos elementos a un informe existente.

Antes de empezarPara realizar este procedimiento, debe tener un informe abierto en la página Diseño delinforme.


1 Seleccione un elemento en el Cuadro de herramientas y arrástrelo por el Diseño del informe.

2 Cuando el elemento se encuentre en la ubicación adecuada, suéltelo.

Excepto Salto de página, todos los elementos requieren configuración. Aparece la página deconfiguración de los elementos.

3 Tras configurar el elemento, haga clic en Aceptar.



Configuración de elementos de informes de imágenesCargue nuevas imágenes y modifique las imágenes utilizadas en un informe.

Antes de empezarDebe tener un informe abierto en la página Diseño del informe.


Procedimiento1 Para configurar una imagen que ya pertenece a un informe, haga clic en la flecha del ángulo

superior izquierdo de la imagen. Haga clic en Configurar.

Aparece la página Configurar imagen. Si va a agregar una nueva imagen al informe, la página Configurarimagen aparece inmediatamente después de soltar el elemento Imagen en el informe.

2 Si desea utilizar una imagen existente, selecciónela en la galería.

3 Para utilizar una imagen nueva, haga clic en clic Examinar y seleccione la imagen en su equipo. Hagaclic en Aceptar.

4 Si desea especificar un ancho de imagen específico, introdúzcalo en el campo Ancho de la imagen.

De manera predeterminada, la imagen aparecerá con el ancho original, sin redimensionar, a menosque este sea superior al espacio disponible en la página. En tal caso, se ajustará al anchodisponible manteniendo las proporciones intactas.

5 Seleccione si desea que la imagen se alinee a la izquierda, al centro o a la derecha.


Configuración de elementos de informes de textoPuede insertar texto estático en un informe para explicar su contenido.



1 Para configurar texto que ya pertenece a un informe, haga clic en la flecha del ángulo superiorizquierdo del elemento de texto. Haga clic en Configurar.

Aparece la página Configurar texto. Si va a agregar texto nuevo al informe, la página Configurar textoaparece inmediatamente después de soltar el elemento Texto en el informe.

2 Edite el texto en el cuadro de edición Texto o agregue texto nuevo.

3 Cambie el tamaño de fuente según convenga.

El valor predeterminado es 12 puntos.

4 Seleccione la alineación del texto: izquierda, centro o derecha.


El texto introducido aparece en el elemento de texto dentro del diseño del informe.



Configuración de elementos de informes de tablas de consultasAlgunas consultas se muestran mejor como una tabla dentro de un informe.



1 Para configurar una tabla que ya pertenece a un informe, haga clic en la flecha del ángulo superiorizquierdo de la tabla. Haga clic en Configurar.

Aparecerá la página Configurar tabla de consulta. Si va a agregar una tabla de consulta al informe, lapágina Configurar tabla de consulta aparece inmediatamente después de soltar el elemento Tabla de consultaen el informe.

2 Seleccione una consulta de la lista desplegable Consulta.

3 Seleccione en la lista desplegable Base de datos la base de datos para ejecutar la consulta.

4 Seleccione el tamaño de fuente para los datos de la tabla.



Configuración de elementos de informes de gráficos de consultasAlgunas consultas se muestran mejor como gráficos dentro de un informe.



1 Para configurar un gráfico que ya pertenece a un informe, haga clic en la flecha del ángulo superiorizquierdo del gráfico. Haga clic en Configurar.

Aparecerá la página Configurar gráfico de consulta. Si va a agregar un gráfico de consulta al informe, lapágina Configurar gráfico de consulta aparece inmediatamente después de soltar el elemento Tabla deconsulta en el informe.

2 Seleccione una consulta de la lista desplegable Consulta.

3 Seleccione si desea mostrar solamente el gráfico, solo la leyenda o bien una combinación de losdos.

4 Si ha decidido mostrar el gráfico y la leyenda, seleccione cómo se colocarán.

5 Seleccione el tamaño de fuente para la leyenda.


6 Seleccione la altura del gráfico en píxeles.

El valor predeterminado es un tercio de la altura de la página.




Personalización de los encabezados y los pies de página de los informesLos encabezados y los pies de página proporcionan información sobre el informe.Hay seis ubicaciones fijas dentro del encabezado y el pie de página que pueden contener distintoscampos de datos. Tres están en el encabezado y tres en el pie.

El encabezado contiene un logotipo alineado a la izquierda y dos campos alineados a la derecha, unoencima de otro. Estos campos pueden contener de uno a cuatro valores.

• Nada

• Fecha/hora

• Número de página

• Nombre del usuario que ha ejecutado este informe

El pie contiene tres campos. Uno a la izquierda, uno centrado y uno a la derecha. Estos tres campospueden contener también los valores descritos, así como texto personalizado.


1 Haga clic en Menú | Informes | Consultas. Seleccione la ficha Informe.

2 Seleccione un informe y haga clic en Acciones | Editar.

3 Haga clic en Encabezado y pie de página.

4 De manera predeterminada, los informes utilizan la configuración del sistema para los encabezadosy los pies de página. Si no desea utilizar esta configuración, anule la selección de Utilizar configuraciónpredeterminada del servidor.

Para cambiar en la configuración del sistema los encabezados y pies de página, haga clic en Menú |Configuración | Configuración del servidor, seleccione Impresión y exportación y haga clic en Editar.

5 Para cambiar el logotipo, haga clic en Editar logotipo.

a Si desea que el logotipo sea texto, seleccione Texto e introduzca el texto en el cuadro de edición.

b Para cargar un nuevo logotipo, seleccione Imagen y busque y seleccione la imagen en suordenador. A continuación, haga clic en Aceptar.

c Para utilizar un logotipo que haya cargado anteriormente, selecciónelo.

d Haga clic en Guardar.

6 Cambie los campos de encabezado y pie de página según los datos adecuados y haga clic enAceptar.

7 Haga clic en Guardar para guardar los cambios del informe.

Eliminación de elementos de un informeLos elementos de un informe que ya no se necesiten pueden eliminarse.






3 Haga clic en la flecha en el ángulo superior izquierdo del elemento que desea eliminar y haga clicen Eliminar.

El elemento se elimina del informe.


Cambio del orden de los elementos de un informePuede cambiar el orden en el que aparecen los elementos en un informe.



2 Seleccione un informe en la lista y haga clic en Acciones | Editar.

3 Para mover un elemento, haga clic en la barra de título correspondiente y arrástrela hasta la nuevaposición.

La marca de posición debajo del elemento arrastrado se desplazará al mover el cursor por elinforme. Si se coloca el cursor en una posición no válida, aparecerán barras rojas en un lado delinforme.

4 Cuando el elemento se encuentre en la posición adecuada, suéltelo.


Visualización del resultado de los informesVea la última versión ejecutada de cada informe.

Cada vez que se ejecuta un informe, los resultados se almacenan en el servidor y se muestran en lalista de informes.

Cuando se ejecuta un informe, los resultados anteriores se eliminan y no se pueden recuperar. Si deseacomparar los resultados de distintas ejecuciones del mismo informe, debe archivar el resultado en otraubicación.


Procedimiento


2 En la lista de informes, verá la columna Resultado de la última ejecución. Cada entrada de esta columnaes un vínculo para recuperar el PDF creado en la última ejecución del informe. Haga clic en unvínculo de esta columna para recuperar un informe.

Se abrirá un PDF en su navegador y este se comportará tal y como lo haya configurado para ese tipode archivo.

Agrupación de informesTodos los informes deben estar asignados a un grupo.

Los informes se asignan a un grupo cuando se crean, pero esta asignación se puede modificar mástarde. Los motivos más habituales para agrupar los informes suelen ser reunir los que son similares obien administrar los permisos de determinados informes.




Procedimiento1 Haga clic en Menú | Informes | Consultas e informes y seleccione la ficha Informe.


3 Haga clic en Nombre, descripción y grupo.

4 Seleccione un grupo de la lista desplegable Grupo de informes y haga clic en Aceptar.


Al seleccionar el grupo elegido en la lista Grupos del panel izquierdo de la ventana de informes, elinforme aparece en la lista de informes.

Ejecución de informesLos informes deben ejecutarse para poder ver sus resultados.En ePolicy Orchestrator los informes pueden ejecutarse en tres lugares diferentes:

• En la lista de informes

• En una tarea servidor

• En la página Diseño del informe al crear o editar un informe

En esta sección se explica cómo ejecutar informes desde la lista de informes.



2 Seleccione un informe en la lista de informes y haga clic en Acciones | Ejecutar.

Cuando finaliza el informe, se envía el PDF resultante a su navegador. Según la configuración delnavegador, se mostrará o se descargará.

Algunos informes tardan algo en completarse. Es posible tener más de un informe en ejecución almismo tiempo, pero no puede iniciar más de un informe a la vez desde la interfaz. Cuando finaliza laejecución de un informe, la columna Resultado de la última ejecución de la lista de informes se actualiza conun vínculo al PDF que contiene esos resultados.

Ejecución de un informe con una tarea servidorLos informes se pueden ejecutar automáticamente mediante tareas servidor.

Si desea que se ejecute un informe sin intervención del usuario, lo más práctico es utilizar una tareaservidor. Este procedimiento crea una nueva tarea servidor que facilita la ejecución automática yplanificada de un informe dado.



2 Asigne a la tarea un Nombre adecuado, añada Notas, si lo desea, y especifique si tiene un Estado deplanificación. Haga clic en Siguiente.

Si desea que la tarea se ejecute automáticamente, active el Estado de planificación (Activado).



3 Seleccione Ejecutar informe en el menú desplegable Acciones. Seleccione el informe que va a ejecutar yel idioma de destino. Haga clic en Siguiente.

4 Elija el Tipo de planificación (la frecuencia), la Fecha de inicio, Fecha de finalización y hora de Planificación paraejecutar el informe. Haga clic en Siguiente.

La información de planificación solo se utilizará si activa Estado de planificación.

5 Haga clic en Guardar para guardar la tarea servidor.

La tarea aparece ahora en la lista Tareas servidor.

Exportación e importación de informesLos informes pueden contener información muy estructurada, por lo que su exportación e importaciónde un servidor a otro permite efectuar la recuperación de los datos y la generación de informes demanera coherente en todos los servidores de McAfee ePO.


Procedimiento1 Abra la página Consultas seleccionando Menú | Informes | Consultas e informes y, a continuación, seleccione

la ficha Informe.


Acción Pasos

Exportarinformes

1 Seleccione el grupo que contiene el informe (o los informes) que desea exportar enla lista Grupos.

2 Seleccione los informes que desee exportar y, a continuación, haga clic en Acciones |Exportar.El servidor de McAfee ePO envía un archivo XML al navegador. Lo que ocurra acontinuación depende de la configuración de su navegador. De manerapredeterminada, la mayoría de los navegadores solicitarán que se guarde elarchivo.

El informe exportado contiene las definiciones de todos sus componentes. Entre ellosse incluyen definiciones de bases de datos externas, consultas o gráficos, entre otros.

Importarinformes

1 En la página Informe, haga clic en Acciones | Importar.

2 Haga clic en Examinar para localizar y seleccionar el archivo XML que contiene elinforme que desea importar.

3 Seleccione un grupo nuevo o existente para el informe. Si es un grupo nuevo,asígnele un nombre y seleccione si es privado o público. Si es existente, seleccioneel grupo al que se va a incorporar el informe.


5 Haga clic en Importar para finalizar la importación.

Los informes importados adquieren los permisos del grupo al que se importan.

Configuración de la plantilla y la ubicación para informesexportadosPuede definir la apariencia y ubicación de almacenamiento para las tablas y paneles que exporte comodocumentos.En la sección Impresión y exportación de la configuración del servidor, puede configurar:



• Encabezados y pies de página, incluidos logotipo personalizado, nombre, numeración de páginas,etc.

• El tamaño y la orientación de página para la impresión.

• El directorio en el que almacenar las tablas y paneles exportados.


1 Haga clic en Menú | Configuración | Configuración del servidor y seleccione Impresión y exportación en la listaCategorías de configuración.

2 Haga clic en Editar. Aparece la página Editar Impresión y exportación.

3 En la sección Encabezados y pies de página para documentos exportados, haga clic en Editar logotipo para abrir lapágina Editar logotipo.

a Seleccione Texto y añada el texto que desee en el encabezado del documento, o realice una delas siguientes acciones:

• Seleccione Imagen y busque el archivo de imagen, como el logotipo de su empresa.

• Seleccione el logotipo de McAfee predeterminado.

b Haga clic en Aceptar para volver a la página Impresión y exportación: Editar.

4 Seleccione en las listas desplegables los metadatos que quiera que aparezcan en el encabezado ypie de página.

5 Seleccione un Tamaño de página y una Orientación de página.

6 Escriba una nueva ubicación o acepte la ubicación predeterminada para guardar los documentosexportados.


Eliminación de informesLos informes que ya no se utilizan pueden eliminarse.

Antes de empezarPara eliminar un informe, debe tener permisos de edición sobre él.



2 Seleccione uno o varios informes para eliminarlos de la lista de informes.

3 Haga clic en Acciones | Eliminar. Si desea continuar con la eliminación, haga clic en Sí.

Los informes se eliminan. Las tareas servidor que se refieren a los informes eliminados ya no sonválidas.



Configuración de Internet Explorer 8 para aceptarautomáticamente las descargas de McAfee ePO Es posible que, como medida de seguridad, Microsoft Internet Explorer bloquee las descargasautomáticas de ePolicy Orchestrator. Este comportamiento puede cambiarse mediante la modificaciónde la configuración de Internet Explorer.

Con determinadas operaciones de ePolicy Orchestrator, como ejecutar un informe o exportarinformación a un archivo XML, es posible que Internet Explorer 8 le avise de que se ha bloqueado unadescarga.

Internet Explorer muestra esta información en una barra amarilla justo debajo de una barra de fichasque indica Para ayudar a proteger su seguridad, Internet Explorer ha impedido que estesitio descargue archivos en su equipo. Haga clic aquí para ver las opcionesdisponibles. Si hace clic en el mensaje, aparecerá una opción que le permite descargar el archivobloqueado esta vez solamente. Sin embargo, el mensaje volverá a aparecer la próxima vez que ePolicyOrchestrator intente enviar un archivo. Para que este mensaje no vuelva a aparecer, haga lo siguiente:


Procedimiento1 En Internet Explorer 8, seleccione Herramientas | Opciones de Internet.

2 Seleccione la ficha Seguridad y haga clic en Intranet local.

Si su servidor de McAfee ePO ya es un sitio de confianza, haga clic en Sitios de confianza en lugar deIntranet local.

3 Haga clic en Nivel personalizado.

4 Desplácese hasta la opción Preguntar automáticamente para descargas de archivo y elija Habilitar. Haga clic enAceptar y en Sí para confirmar su elección.

5 Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.

Al intentar de nuevo la operación original, se descarga el archivo solicitado sin que aparezca la barrade aviso amarilla.

Servidores de bases de datosePolicy Orchestrator puede recuperar datos no solo de sus propias bases de datos, sino también de lasque proporcionan algunas extensiones.

Para realizar tareas en ePolicy Orchestrator es posible que deba registrar varios tipos de servidoresdiferentes. Entre ellos, se pueden citar servidores de autenticación, catálogos de Active Directory,servidores de McAfee ePO y servidores de bases de datos que funcionen con extensiones concretasque haya instalado.

Tipos de bases de datos

Una extensión puede registrar un tipo de base de datos, conocido también como esquema oestructura, con ePolicy Orchestrator. En tal caso, esa extensión puede proporcionar datos a consultas,informes, monitores de paneles y tareas servidor. Para utilizar estos datos, antes debe registrar elservidor con ePolicy Orchestrator.

20 Consultas e informesServidores de bases de datos


Servidor de base de datos

Un servidor de base de datos es una combinación de un servidor y un tipo de base de datos instaladoen ese servidor. Un servidor puede alojar más de un tipo de base de datos y un tipo de base de datospuede instalarse en varios servidores. Cada combinación específica de ambos debe registrarse porseparado y se conoce como servidor de base de datos.

Tras registrar un servidor de base de datos, puede recuperar datos de la base de datos en consultas,informes, monitores de paneles y tareas servidor. Si se registra más de una base de datos que utilizael mismo tipo de base de datos, deberá seleccionar una como la predeterminada para dicho tipo.

Uso de servidores de bases de datosLos servidores de bases de datos se pueden registrar, modificar, ver y eliminar.

Procedimientos• Modificación de un registro de base de datos en la página 261

Si cambian la información de conexión o las credenciales de inicio de sesión para unservidor de base de datos, debe modificar el registro para reflejar el estado actual.

• Eliminación de una base de datos registrada en la página 261Las bases de datos que ya no se necesitan se pueden eliminar del sistema.

Modificación de un registro de base de datosSi cambian la información de conexión o las credenciales de inicio de sesión para un servidor de basede datos, debe modificar el registro para reflejar el estado actual.


1 Abra la página Servidores registrados seleccionando Menú | Configuración | Servidores registrados.

2 Seleccione la base de datos que desea editar y haga clic en Acciones | Editar.

3 Cambie el nombre o las notas para el servidor y haga clic en Siguiente.

4 Realice los cambios necesarios en la información. Si necesita verificar la conexión de la base dedatos, haga clic en Probar conexión.

5 Haga clic en Guardar para guardar los cambios.

Eliminación de una base de datos registradaLas bases de datos que ya no se necesitan se pueden eliminar del sistema.


1 Abra la página Servidores registrados: seleccione Menú | Configuración | Servidores registrados.

2 Seleccione la base de datos que desea eliminar y haga clic en Acciones | Eliminar.

3 En el cuadro de diálogo de confirmación que aparece, haga clic en Sí para eliminar la base dedatos.

Consultas e informesUso de servidores de bases de datos 20


La base de datos se elimina. Las consultas, informes u otros componentes de ePolicy Orchestrator queutilizaran la base de datos eliminada se marcarán como no válidos hasta que se actualicen utilizandootra base de datos diferente.

20 Consultas e informesUso de servidores de bases de datos


21 Problemas y fichas

Los problemas son elementos de acción que se pueden jerarquizar, asignar y seguir.

Problemas

Los usuarios pueden crear problemas básicos manualmente o el servidor de McAfee ePO puedecrearlos automáticamente en repuesta a eventos de productos. Por ejemplo, los usuarios con lospermisos adecuados pueden configurar ePolicy Orchestrator para crear automáticamente un problemade tipo Conformidad de reglas de punto de referencia si se detecta un sistema no conforme duranteuna auditoría.

Fichas

Una ficha es el equivalente externo de un problema que existe en un servidor de fichas. Cuando seagrega una ficha a un problema, el problema se conoce como "problema con ficha". Un problema conficha solamente puede tener una ficha asociada.

Integración de problemas con servidores de fichas de terceros

La integración de un servidor de fichas fuerza la creación de fichas asociadas con problemas que sehayan creado en los productos. ePolicy Orchestrator admite la solución integrada de servicio deasistencia y fichas de problemas Hewlett-Packard Openview Service Desk versiones 4.5 y 5.1.

Véase también Uso de problemas en la página 264Creación de problemas básicos de forma manual en la página 264Configuración de respuestas para crear automáticamente los problemas en la página 265Administración de problemas en la página 266

Contenido Descripción y funcionamiento de los problemas Uso de problemas Purga de problemas cerrados Descripción y funcionamiento de las fichas Integración con servidores de fichas Uso de fichas Uso de servidores de fichas Ampliación de un servidor de fichas registrado

21


Descripción y funcionamiento de los problemasLa forma de administrar los problemas la determinan los usuarios con permisos adecuados y lasextensiones de productos gestionados instalados.

El estado, la prioridad, la gravedad, la solución, la fecha de caducidad y la persona asignada a unproblema son valores que define el usuario y que se pueden modificar en cualquier momento. Tambiénpuede especificar las repuestas predeterminadas a problemas en la página Respuestas automáticas. Estosvalores predeterminados se aplican automáticamente cuando se crea un problema en función de unarespuesta configurada por el usuario. Las respuestas también permiten que varios eventos seacumulen en un único problema para evitar así que el servidor de McAfee ePO se sobrecargue con ungran número de problemas.

Los problemas se pueden eliminar de forma manual y los problemas cerrados se pueden purgartambién de forma manual en función de su antigüedad, y automáticamente a través de una tareaservidor configurada por el usuario.

Uso de problemasPuede crear, asignar, ver detalles, editar, eliminar y purgar problemas.

Procedimientos• Creación de problemas básicos de forma manual en la página 264

Los problemas básicos se pueden crear manualmente. Los problemas no básicos debencrearse automáticamente.

• Configuración de respuestas para crear automáticamente los problemas en la página 265Utilice respuestas para crear problemas automáticamente cuando se produzcandeterminados eventos.

• Administración de problemas en la página 266Puede asignar, eliminar, editar y ver detalles de los problemas, así como agregarlescomentarios.

Creación de problemas básicos de forma manualLos problemas básicos se pueden crear manualmente. Los problemas no básicos deben crearseautomáticamente.


1 Haga clic en Menú | Automatización | Problemas y, a continuación, en Acciones | Nuevo problema.

2 En el cuadro de diálogo Nuevo problema, seleccione Básico en la lista desplegable Crear problema de tipo y,a continuación haga clic en Aceptar.

3 Configure el nuevo problema.

Utilice estaopción...

Para...

Nombre Especificar un nombre descriptivo para el problema.

Descripción Especificar una descripción del problema.

21 Problemas y fichasDescripción y funcionamiento de los problemas


Utilice estaopción...

Para...

Estado Asignar un estado al problema:• Desconocido • Resuelto

• Nuevo • Cerrado

• Asignado

Prioridad Asignar una prioridad al problema:• Desconocida • Media

• Mínima • Alta

• Baja • Máxima

Gravedad Asignar una gravedad al problema:• Desconocida • Medio

• Mínima • Alto

• Bajo • Máxima

Solución Asignar una solución al problema. La solución del problema se puede asignaruna vez que se ha procesado el problema:• Nada

• Solucionado

• Omitido

• No se solucionará

Usuario asignado Especificar el nombre de usuario de la persona asignada al problema o hagaclic en ... para elegir uno.

Vencimiento Seleccionar si el problema tiene una fecha de vencimiento y, de ser así,asignar la fecha y hora en la que vence el problema. No se admiten fechas devencimiento pasadas.


Configuración de respuestas para crear automáticamente losproblemasUtilice respuestas para crear problemas automáticamente cuando se produzcan determinados eventos.


Procedimiento1 Haga clic en Menú | Automatización | Respuestas automáticas. A continuación, haga clic en Acciones y

seleccione Nueva respuesta.

Aparece la página Descripción del Generador de respuestas.

2 Rellene los campos y haga clic en Siguiente.

3 Seleccione las propiedades para limitar los eventos que activan la respuesta y haga clic en Siguiente.

4 Seleccione la frecuencia de los eventos requerida para generar una respuesta, un método paraagrupar los eventos y el período de tiempo máximo durante el que desee que se produzca estarespuesta; a continuación, haga clic en Siguiente.

Problemas y fichasUso de problemas 21


5 Seleccione Crear problema en la lista desplegable y, a continuación, seleccione el tipo de problema quese va a crear.

Esta opción determina las opciones que aparecen en esta página.

6 Especifique un nombre y una descripción para el problema. También puede seleccionar una o variasvariables para el nombre y la descripción.

Esta función proporciona un número de variables que ofrecen información para ayudar a resolver elproblema.

7 Introduzca o seleccione opciones adicionales para la respuesta y, a continuación, haga clic enSiguiente.

8 Revise los detalles de la respuesta y haga clic en Guardar.

Administración de problemasPuede asignar, eliminar, editar y ver detalles de los problemas, así como agregarles comentarios.


1 Haga clic en Menú | Automatización | Problemas.

2 Realice los procedimientos que desee.

Procedimiento Haga lo siguiente...

Cómo agregarcomentarios aproblemas

1 Seleccione la casilla de verificación junto a cada problema que deseacomentar y, a continuación, haga clic en Acción | Agregar comentario.

2 En el panel Agregar comentario, especifique el comentario que deseaagregar a los problemas seleccionados.

3 Haga clic en Aceptar para agregar el comentario.

Cómo agregar fichas aproblemas

Seleccione la casilla de verificación junto a cada problema que al quedesea agregar una ficha y, a continuación, haga clic en Acción | Agregarficha.

Asignación deproblemas

Seleccione la casilla de verificación junto a cada problema que deseaasignar y, a continuación, haga clic en Asignar a usuario.

Mostrar columnas en lapágina Problemas

Haga clic en Acciones | Elegir columnas. Seleccione las columnas de datosque se van a mostrar en la página Problemas.

Eliminación deproblemas

1 Seleccione la casilla de verificación junto a cada problema que deseaeliminar y, a continuación, haga clic en Eliminar.

2 Haga clic en Aceptar en el panel Acción para eliminar los problemasseleccionados.

Edición de problemas 1 Seleccione la casilla de verificación junto al problema y, a continuación,haga clic en Editar.

2 Edite el problema según sus preferencias.


Al modificar un problema, se rompe la conexión entre el problema y laficha.

21 Problemas y fichasUso de problemas


Procedimiento Haga lo siguiente...

Exportar la lista deproblemas

Haga clic en Acciones | Exportar tabla. Abre la página Exportar. En esta páginapuede especificar el formato de los archivos que se van a exportar, asícomo la forma en la que se van a comprimir (por ejemplo, en un archivozip) y qué se va a hacer con ellos (por ejemplo, enviarlos por correoelectrónico como adjuntos).

Ver detalles deproblemas

Haga clic en un problema.

Aparece la página Problemas: Detalles. Esta página muestra la configuracióncompleta del problema, así como el registro de actividad de problemas.

Purga de problemas cerradosEste procedimiento permite purgar problemas cerrados de la base de datos y eliminarlos de formapermanente.Al purgar un problema con ficha cerrado, este se elimina, pero la ficha asociada permanece en la basede datos del servidor de fichas.

Procedimientos• Purga manual de problemas cerrados en la página 267

Es conveniente purgar de la base de datos los problemas cerrados, de manera periódica,para evitar que se llene.

• Purga planificada de problemas cerrados en la página 267Puede planificar una tarea para purgar de forma periódica la base de datos de problemascerrados. De esta forma, se evita que la base de datos crezca demasiado.

Purga manual de problemas cerradosEs conveniente purgar de la base de datos los problemas cerrados, de manera periódica, para evitarque se llene.


1 Haga clic en Menú | Automatización | Problemas y, a continuación, en Acciones | Purgar.

2 En el cuadro de diálogo Purgar, especifique un número y, a continuación, una unidad de tiempo.

3 Haga clic en Aceptar para purgar los problemas cerrados anteriores a la fecha especificada.

Esta función afecta a todos los problemas cerrados, no solo a los que aparecen en la vista actual.

Purga planificada de problemas cerradosPuede planificar una tarea para purgar de forma periódica la base de datos de problemas cerrados. Deesta forma, se evita que la base de datos crezca demasiado.



2 Especifique un nombre y una descripción para la tarea servidor.

Problemas y fichasPurga de problemas cerrados 21


3 Active o desactive la planificación para la tarea servidor.

La tarea servidor no se ejecuta si no está activada.


Aparece la página Acciones.

5 En la lista desplegable, seleccione Purgar problemas cerrados.

6 Especifique un número y, a continuación, una unidad de tiempo.


8 Planifique la tarea servidor y haga clic en Siguiente.

9 Compruebe los detalles de la tarea servidor y haga clic en Guardar.

Los problemas cerrados se purgan a la hora de la tarea planificada.

Descripción y funcionamiento de las fichasUna ficha es el equivalente externo de un problema que existe en un servidor de fichas. Cuando seagrega una ficha a un problema, el problema se conoce como "problema con ficha".

Formas de agregar fichas a problemasUna ficha se puede agregar a un problema de forma manual o de forma automática. Un problema conficha solamente puede tener una ficha asociada.Cuando se agrega una ficha a un problema, el estado del problema con ficha resultante cambia a "Conficha", independientemente del estado anterior del problema. Cuando se crea una ficha en el servidorde fichas, el ID de esa ficha se agrega al problema con ficha. El ID de ficha crea la asociación entre elproblema y la ficha.

Una vez completados los pasos para la integración de un servidor de fichas, al resto de problemas seles asocia una ficha de forma automática. McAfee recomienda agregar siempre una persona asignadaa un problema antes de crear la ficha. Si se agrega una persona asignada de forma manual a unproblema con ficha, debe agregar de forma manual las fichas a todos los problemas existentes antesde la integración.

Asignación de problemas con ficha a usuariosAgregar manualmente una persona asignada a un problema con ficha se considera editar un problemay conlleva la ruptura de la asociación entre el problema y la ficha. Hágalo especificando una personaasignada en la respuesta que crea los problemas. De esta forma, se agrega una persona asignada alproblema automáticamente cuando se crea.Para obtener más detalles, consulte Cierre de fichas y de problemas con ficha.

Cierre de fichas y de problemas con fichaLos problemas con ficha los cierra automáticamente el sistema cuando se ejecuta la tarea servidorencargada de sincronizar los problemas con ficha. Esta tarea servidor identifica las fichas cuyo estadocambia a Cerrado desde la última vez que se ejecutó la tarea. El estado de un problema con fichaasociado a un ficha cerrada cambia entonces a Cerrado. Además, los comentarios de esa fichasustituyen a los comentarios del problema con ficha si la integración del servidor de fichas seconfiguró para sustituir comentarios del problema con ficha.Para obtener más información, consulte Ventajas de agregar comentarios a los problemas con ficha.

21 Problemas y fichasDescripción y funcionamiento de las fichas


Ventajas de agregar comentarios a los problemas con fichaCuando se agrega un comentario a un problema con ficha, se agrega a la ficha asociada de formainmediata o la próxima vez que se ejecuta la tarea servidor Sincronización de problemas. Loscomentarios del problema con ficha se agregan únicamente a las fichas cuyo estado no es Cerrada.

Si el servidor de fichas permite que se sustituyan los comentarios del problema con comentarios de laficha, cuando el estado de una ficha es Cerrada, los comentarios para esa ficha sustituyen a todos loscomentarios del problema con ficha asociado. Este proceso se realiza cuando la tarea servidorencargada de la sincronización de los problemas con ficha identifica una ficha cuyo estado hacambiado a Cerrada desde la última vez que se ejecutó la tarea. Esta tarea se realiza solo una vezpara cada ficha cerrada. Permitir que los comentarios del problema se sustituyan por los comentariosde la ficha puede dar a los usuarios que tienen acceso al sistema (pero no al servidor de fichas) lacapacidad de ver lo que ha ocurrido con la ficha.

Cómo reabrir fichasUna ficha se reabre si se agrega un problema con ficha agregado anteriormente y cuyo ID puedeasociarse a una ficha en el servidor de fichas. Si no se puede asociar, se crea una nueva ficha. Alreabrir una ficha no se reabre el problema con ficha asociado.

Para que se puedan reabrir fichas, también se debe configurar la asociación de la configuración para elservidor de fichas. Véase Campos obligatorios para la asociación.

Sincronización de problemas con fichaLa función Problemas incluye la tarea servidor Sincronización de problemas, que sincroniza problemascon ficha con sus fichas asociadas en el servidor de fichas. Esta tarea servidor está desactivada deforma predeterminada; no se ejecuta hasta que no se activa.

Cuando se ejecuta, el sistema intenta:

• Cambiar el estado de los problemas con ficha de Con ficha a Cerrado, si el estado de sus fichasasociadas es Cerrada.

• Crear fichas para problemas o agregar comentarios a fichas que el sistema no pudo crear o agregaranteriormente. Por ejemplo, si se produjo un error de comunicación cuando se agregaron porprimera vez las fichas o los comentarios.

• Sustituir los comentarios de un problema con ficha por los comentarios de su ficha asociada si elestado de la ficha es Cerrada, y la integración del servidor de fichas se configuró para sustituircomentarios de problemas con ficha.

• Cambiar el estado de cada problema con ficha a Asignado si el problema con ficha no tieneespecificada una persona asignada o a Nuevo si se elimina el servidor registrado para el servidor defichas.

Integración con servidores de fichasIntegre un servidor de fichas con ePolicy Orchestrator para crear fichas asociadas a problemas.

El software ePolicy Orchestrator admite la solución integrada de servicio de asistencia y fichas deproblemas Hewlett-Packard Openview Service Desk versiones 4.5 y 5.1.

La persona que realice esta integración debe estar familiarizada con el servidor de fichas y sus camposy formularios. La integración de un servidor de fichas consta de las siguientes tareas básicas:

Problemas y fichasIntegración con servidores de fichas 21


• Configure ePolicy Orchestrator para que se integre con el servidor de fichas.

El sistema que ejecute la extensión de fichas debe poder resolver la dirección del sistemaHewlett-Packard Openview Service Desk. Es posible que esto implique tener que agregar la direcciónIP del sistema Service Desk al archivo hosts del sistema donde se ejecute la extensión de fichas, obien que haya que definir una confianza del dominio entre los dos sistemas.

• Integre un servidor de fichas con ePolicy Orchestrator. Solamente puede integrarse un servidor defichas registrado con ePolicy Orchestrator.

• Configure las asociaciones de campos entre problemas y fichas.

Véase también Configuración de DNS para Hewlett-Packard Openview Service Desk 4.5 en la página 275

Consideraciones al eliminar un servidor de fichas registradoPuede haber ocasiones en las que desee eliminar el servidor registrado para su servidor de fichas. Porejemplo, si amplía su servidor de fichas.

Cuando se elimina el servidor registrado, el sistema cambia el estado de cada ficha a Asignada o aNueva si no se ha especificado ninguna persona asignada al problema, la próxima vez que se ejecutela tarea Sincronización de problemas. Esta es la razón por la que resulta importante desactivar laplanificación de esa tarea servidor si amplía el servidor de fichas. Para obtener más información,consulte Ampliación de un servidor de fichas registrado.

Cuando se elimina el servidor de fichas registrado, el ID de ficha que asociaba la ficha al problema conficha permanece con ese problema con ficha. Esto permite volver a abrir la ficha si se rompe laasociación entre el problema y la ficha. Por ejemplo, si la tarea servidor se ejecuta antes de que seregistre el servidor ampliado. Consulte Cómo reabrir fichas.

Campos obligatorios para la asociaciónLa asociación es el proceso por el que la información de los problemas se relaciona con la informaciónde las fichas. Cada elemento de información se denomina campo, y los campos de los problemastienen que asociarse a los correspondientes campos de las fichas.

Para determinar qué campos de fichas deben asociarse, en el formulario de fichas, revise los camposobligatorios para crear una ficha en el servidor de fichas. Para obtener más información sobre loscampos que son obligatorios, consulte la documentación de su servidor de fichas.

Para que el sistema sepa cuándo cerrar los problemas con ficha, debe asociarse el campo con elestado de la ficha.

Ejemplos de asociacionesCuando registra su servidor de fichas, también debe configurar las asociaciones de campos entre losproblemas y las fichas.

Las asociaciones de campos de los siguientes ejemplos son únicamente a título indicativo. Susasociaciones variarán en función de los campos obligatorios de su servidor de fichas y de los valoresque acepten esos campos.

La asociación es un proceso bidireccional. En estos ejemplos se muestra cómo asociar un problema auna ficha y cómo asociar el estado de la ficha al estado del problema. Por ejemplo, si la ficha estámarcada como cerrada, el estado del problema se actualizará para mostrar ese estado.

21 Problemas y fichasIntegración con servidores de fichas


Ejemplo de asociación para Hewlett-Packard Openview Service DeskEste es un ejemplo de asociación para las versiones 4.5 y 5.1 del servidor Hewlett-Packard OpenviewService Desk que se incluye únicamente a título indicativo.

Los valores origen, los valores asociados y los ID de campos distinguen entre mayúsculas y minúsculas.

Asociar un problema a ficha• Formulario de ficha: Problema_Predeterminado

• Campo de ficha: Descripción

• Operación: Identidad

• Campo de origen: Nombre

• Campo de ficha: Estado

• Operación: Sustitución

• Campo de origen: Estado

• Valores: Valor predeterminado: 10

Valor origen Valor asociado

NUEVO 10

RESUELTO 20

DESCONOCIDO 20

ASOCIADO 20

• Campo de ficha: Información


• Campo de origen: Descripción

• Campo de ficha: HistoryLines


• Campo de origen: Registro de actividad

• Campo de ficha: Especifique el nombre o ID para un campo de texto libre.


• Campo de origen: URL

Asociar la ficha al campo de estado del problema

Puesto que en esta sección solo se asocia el estado de la ficha, no se le solicita que agregue el ID delcampo de estado del problema. Este campo está implícito.

• Operación: Sustitución

• Campo de origen: Estado

• Valores: Valor predeterminado: CON FICHA

Valor origen Valor asociado

40 CERRADO

• Sustituir comentarios del problema por comentarios de la ficha: seleccionado

Problemas y fichasIntegración con servidores de fichas 21


• Campo de comentarios de la ficha: HistoryLines

• Las fichas se pueden reabrir: seleccionado

Uso de fichasPuede agregar fichas a problemas y sincronizar problemas mediante la tarea servidor Sincronizaciónde problemas.

Procedimientos• Cómo agregar fichas a problemas en la página 272

Puede agregar una ficha a un solo problema o a varios problemas de forma simultánea.

• Sincronización de fichas con problemas en la página 272La tarea servidor Sincronización de problemas actualiza los problemas con ficha y susfichas asociadas en el servidor de fichas.

• Sincronización planificada de problemas con ficha en la página 273La tarea servidor Sincronización de problemas actualiza los problemas con ficha y susfichas asociadas en el servidor de fichas. Configure la tarea servidor Sincronización deproblemas para que se ejecute de forma planificada.

Cómo agregar fichas a problemasPuede agregar una ficha a un solo problema o a varios problemas de forma simultánea.Una ficha se puede agregar de una forma similar cuando se visualizan los detalles de un problema.Cuando se agrega una ficha, se crea automáticamente una nueva ficha en el servidor de fichas. Losproblemas con las ficha existentes se ignoran.


1 Haga clic en Menú | Automatización | Problemas, seleccione la casilla de verificación situada junto alproblema y, a continuación, haga clic en Acciones | Agregar ficha.

2 En el cuadro de diálogo Agregar ficha, haga clic en Aceptar para agregar una ficha a cada problemaseleccionado.

Sincronización de fichas con problemasLa tarea servidor Sincronización de problemas actualiza los problemas con ficha y sus fichas asociadasen el servidor de fichas.


1 Haga clic en Menú | Automatización | Tareas servidor.

2 Haga clic en Ejecutar junto a la tarea Sincronización de problemas.

3 Revise los resultados de la tarea servidor.

Para obtener más detalles, consulte la sección de esta guía sobre el registro de tareas servidor.

21 Problemas y fichasUso de fichas


Sincronización planificada de problemas con fichaLa tarea servidor Sincronización de problemas actualiza los problemas con ficha y sus fichas asociadasen el servidor de fichas. Configure la tarea servidor Sincronización de problemas para que se ejecutede forma planificada.

La planificación de la tarea servidor Sincronización de problemas está desactivada de manerapredeterminada.


Procedimiento1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, haga clic en Editar en la columna

Acciones correspondiente a la tarea Sincronización de problemas.

2 Seleccione Activada junto a Estado de planificación.

Si desactiva la planificación, la tarea servidor no se ejecutará de forma planificada, aunque podráejecutarla de forma manual.


4 En la ficha Acciones, haga clic en Siguiente.

5 Planifique la tarea servidor según sus preferencias y haga clic en Siguiente.

6 Compruebe los detalles de la tarea servidor y haga clic en Guardar.

Uso de servidores de fichasEstos procedimientos permiten integrar su servidor de fichas con ePolicy Orchestrator.

Procedimientos• Instalación de extensiones para el servidor de fichas en la página 274

Debe integrar su sistema de fichas con ePolicy Orchestrator antes de poder emitir fichas.Los archivos que copie en ePolicy Orchestrator dependen de su sistema de fichas.

• Detención e inicio del servidor en la página 274Debe detener el servidor de McAfee ePO para poder copiar los archivos requeridos por elservidor de fichas. Tras copiar los archivos, inicie el servidor.

• Copia de los archivos de Hewlett-Packard Openview Service Desk en la página 274Antes de utilizar la extensión Hewlett-Packard Openview Service Desk (Service Desk) 5.1o 4.5, debe copiar algunos archivos. Para obtener información sobre estos archivos,consulte la documentación de Service Desk.

• Instalación de las extensiones del servidor de fichas en la página 274Debe instalar las extensiones de servidor de fichas antes de integrarlas en el sistema deadministración de fichas de ePolicy Orchestrator.

• Registro y asociación de un servidor de fichas en la página 275Debe completar estas tareas para poder agregar fichas a los problemas. Solo puede haberun servidor de fichas registrado en un momento dado.

• Configuración de asociaciones de campos en la página 276Para asociar fichas a problemas, debe configurar las asociaciones de campos para unservidor de fichas.

Problemas y fichasUso de servidores de fichas 21


Instalación de extensiones para el servidor de fichasDebe integrar su sistema de fichas con ePolicy Orchestrator antes de poder emitir fichas. Los archivosque copie en ePolicy Orchestrator dependen de su sistema de fichas.

Procedimiento1 Vaya a Inicio | Panel de control | Herramientas administrativas y haga doble clic en Servicios.

2 En la columna Nombre, haga doble clic en Servidor de aplicaciones de McAfee ePolicy Orchestrator.

3 Seleccione clic en la ficha General.

4 En Estado del servicio, haga clic en Detener.

El servidor está ahora detenido.

5 Copie los archivos necesarios para su servidor de fichas y, a continuación, repita los pasos del 1 al3.

6 En Estado del servicio, haga clic en Iniciar.

El servidor está ahora en ejecución.

Detención e inicio del servidorDebe detener el servidor de McAfee ePO para poder copiar los archivos requeridos por el servidor defichas. Tras copiar los archivos, inicie el servidor.

Procedimiento1 En Windows, haga clic en Inicio | Panel de control | Herramientas administrativas y haga doble clic en Servicios.

2 En la columna Nombre, localice y haga doble clic en Servidor de aplicaciones de McAfee ePolicy Orchestrator.

3 Seleccione clic en la ficha General.

4 En Estado del servicio, haga clic en Detener.

El servidor está ahora detenido.

5 Copie los archivos necesarios para su servidor de fichas y, a continuación, repita los pasos del 1 al3.

6 En Estado del servicio, haga clic en Iniciar.

El servidor está ahora en ejecución.

Copia de los archivos de Hewlett-Packard Openview ServiceDeskAntes de utilizar la extensión Hewlett-Packard Openview Service Desk (Service Desk) 5.1 o 4.5, debecopiar algunos archivos. Para obtener información sobre estos archivos, consulte la documentación deService Desk.

• Copie los archivos necesarios en la carpeta \Server\common\lib de su instalación del softwareePolicy Orchestrator.

Por ejemplo, C:\Archivos de programa\McAfee\ePolicy Orchestrator\common\lib.

Instalación de las extensiones del servidor de fichasDebe instalar las extensiones de servidor de fichas antes de integrarlas en el sistema deadministración de fichas de ePolicy Orchestrator.Para ver las definiciones de las opciones, haga clic en ? en la interfaz.

21 Problemas y fichasUso de servidores de fichas


Procedimiento1 Haga clic en Menú | Software | Extensiones y, a continuación, haga clic en Instalar extensión.

Únicamente puede haber una tarea actualizando el repositorio principal en un momento dado. Siintenta instalar una extensión al mismo tiempo que se está ejecutando una actualización delrepositorio principal, aparece el siguiente error:

No se ha podido instalar la extensión com.mcafee.core.cdm.CommandException: No se puedeincorporar el paquete seleccionado mientras la tarea de extracción se está ejecutando.

Espere a que finalice la actualización del repositorio principal e instale la extensión denuevo.

2 Vaya a la carpeta InstallDir\ePolicy Orchestrator\Installer\Core\Extensions y seleccioneel archivo de la extensión (.zip).

Las extensiones de Hewlett-Packard Openview Service Desk versiones 4.5 y 5.1 se incluyen conePolicy Orchestrator.


Registro y asociación de un servidor de fichasDebe completar estas tareas para poder agregar fichas a los problemas. Solo puede haber un servidorde fichas registrado en un momento dado.

Procedimientos• Configuración de DNS para Hewlett-Packard Openview Service Desk 4.5 en la página 275

Para realizar la integración con Service Desk 4.5, configure la información del servidor.

• Registro de un servidor de fichas en la página 275Antes de asociar fichas con problemas, debe registrar un servidor de fichas.

Configuración de DNS para Hewlett-Packard Openview Service Desk 4.5Para realizar la integración con Service Desk 4.5, configure la información del servidor.El sistema que ejecuta la extensión de fichas debe poder resolver la dirección del sistema ServiceDesk.

Procedimiento1 En el servidor de McAfee ePO que está integrado con el sistema de fichas, utilice un editor de texto

para abrir el archivo hosts.

Este archivo se encuentra en la carpeta c:\windows\system32\drivers\etc\.

2 Edite el archivo hosts para incluir la dirección IP del sistema que ejecuta Service Desk 4.5, seguidode un espacio y, a continuación, del sufijo DNS (nombre del sistema en el que ejecuta ServiceDesk 4.5).

Por ejemplo, 168.212.226.204 SRVDSK45.qaad.com.

3 Guarde y cierre el archivo hosts.

4 Reinicie el servidor de McAfee ePO.

Registro de un servidor de fichasAntes de asociar fichas con problemas, debe registrar un servidor de fichas.




1 Haga clic en Menú | Configuración | Servidores registrados y, a continuación, en Nuevo servidor.

2 Seleccione el tipo de servidor para su servidor de fichas.

De la opción elegida dependen las opciones que estarán disponibles en las páginas siguientes delgenerador.

3 Escriba un nombre y una descripción y, a continuación, haga clic en Siguiente.

4 Especifique el host para el servidor.

5 Escriba el puerto, nombre de usuario y contraseña para el servidor.

6 Si se ha seleccionado Service Desk 4.5 o 5.1, elija Flujo de trabajo.

Configuración de asociaciones de camposPara asociar fichas a problemas, debe configurar las asociaciones de campos para un servidor defichas.

Procedimientos• Asociación de problemas a fichas en la página 276

La configuración de la asociación entre los campos del problema y de la ficha mantiene losdatos sincronizados cuando se utiliza un servidor de fichas.

• Asociación de fichas al estado del problema en la página 277Para la total integración con el servidor de fichas, es necesario configurar la asociación decampos de la ficha con el campo de estado del problema.

Asociación de problemas a fichasLa configuración de la asociación entre los campos del problema y de la ficha mantiene los datossincronizados cuando se utiliza un servidor de fichas.

Los valores de origen, los valores asociados y los ID de campos distinguen entre mayúsculas yminúsculas.


1 Junto a Configurar asociación, haga clic en Configurar.

2 Seleccione las opciones necesarias en el panel Opciones de asociación.

Las opciones seleccionadas aparecen en el panel Definiciones de asociación con operadores paraespecificar cómo se debe asociar un problema a una ficha y cómo se debe asociar una ficha a unproblema. Deben completarse ambas asociaciones.

3 En Asociar problema a ficha, especifique el nombre de un Formulario de fichas.

4 Especifique un ID de Campo de ficha.

5 Seleccione una Operación.

21 Problemas y fichasUso de servidores de fichas



• Si se selecciona Sustitución, seleccione un campo de problema en la lista desplegable Campo deorigen y, a continuación, haga clic en Editar junto a Valores. Aparece el cuadro de diálogo Editarasociación de sustitución.

1 Especifique un Valor predeterminado que debe sustituirse si se devuelve un valor de origen queno se asocia.

2 Especifique un Valor origen para el problema y, a continuación, especifique el Valor asociado quedebe sustituirse para este valor en la ficha.

3 Haga clic en + para asociar otro valor.

4 Cuando termine, haga clic en Aceptar.

• Si se selecciona un Intervalo numérico, seleccione un campo de problema para asociar en el Campo deorigen y, a continuación, haga clic en Editar junto a Valores. Aparece el cuadro de diálogo Editarasociación de intervalo numérico.

1 Especifique un Valor predeterminado que debe sustituirse si se devuelve un intervalo de origenque no se asocia.

2 Especifique un Intervalo de origen para el problema y, a continuación, el Valor asociado que debesustituirse para este intervalo en la ficha.

3 Haga clic en + para asociar otro valor.

4 Cuando termine, haga clic en Aceptar.

• Si se selecciona Asociación personalizada, especifique el Valor que se debe agregar a la ficha.

7 Haga clic en + para asociar otro campo de ficha.

Asociación de fichas al estado del problemaPara la total integración con el servidor de fichas, es necesario configurar la asociación de campos dela ficha con el campo de estado del problema.

Puesto que en esta sección solo se asocia el estado de la ficha, no se le solicita que agregue el ID delcampo de estado del problema. Este campo está implícito.

Los valores de origen, los valores asociados y los ID de campos distinguen entre mayúsculas yminúsculas.


1 En Asociar la ficha al campo de estado del problema, seleccione una Operación.

2 En el Campo de origen, especifique el ID del campo de la ficha que contiene el estado de la ficha.

3 Si se selecciona Intervalo numérico o Sustitución en la opción Operación, haga clic en Editar junto a Valores.

• Si se selecciona Intervalo numérico, especifique un intervalo de Valores de ficha para la ficha y, acontinuación, la Etiqueta que se sustituye para este intervalo en el problema.

• Si se selecciona Sustitución, especifique un Valor origen para la ficha y, a continuación, el Valorasociado que se sustituye para este valor en el problema.

4 Seleccione Sustituir comentarios del problema por comentarios de la ficha si desea que los comentarios delproblema tengan prioridad y, a continuación, especifique el ID del Campo de comentarios de la ficha quesustituye los datos del campo de comentarios del problema.



5 Seleccione Las fichas se pueden reabrir si desea ofrecer esa posibilidad.

6 Una vez finalizado, haga clic en Probar asociación.

Si se realiza con éxito, aparece un ID de ficha en el cuadro de diálogo. Este es el ID para una fichade prueba que se creó en su servidor de fichas.


• Si la prueba ha sido satisfactoria, localice la ficha en su servidor de fichas y compruebe quetodos los valores para el tipo de problema básico están asociados correctamente, incluidos loscomentarios de la prueba. A continuación, haga clic en Aceptar.

La función de asociación de prueba verifica la asociación para el tipo de problema básico, conindependencia del tipo de problema configurado. Por tanto, la prueba de la asociación de tipos deproblemas de otras extensiones de productos (tipos de problemas extendidos) puede sercorrecta para la prueba de asociación básica, pero podría ver resultados inesperados en lasfichas. Para estos tipos de problemas, compruebe que las fichas que se agregan a los problemasuna vez que el servidor de fichas está totalmente integrado se crean correctamente.

• Si la prueba no ha sido satisfactoria, revise sus asociaciones y el estado del servidor de fichas.


Puede guardar la configuración y registrar el servidor incluso si la prueba de asociación no se realizacon éxito.


Ampliación de un servidor de fichas registradoSi amplía la versión de su servidor de fichas, es posible que deba modificar la integración del servidorde fichas existente para que siga funcionando.

Si la tarea servidor encargada de sincronizar los problemas con ficha se ejecuta después de modificar oeliminar el servidor de fichas registrado existente, pero antes de que se integre el servidor de fichasampliado, se rompe la asociación entre el problema y la ficha. Si esto se produce, finalice esta tarea y, acontinuación, agregue de forma manual las fichas a todos los problemas con fichas anteriores. Estohace que se ejecute la función de reapertura. Para obtener más detalles, consulte la sección de estaguía sobre cómo reabrir fichas.

Procedimiento1 Realice lo siguiente para desactivar la tarea servidor encargada de sincronizar los problemas con

ficha.

a Vaya a Menú | Automatización | Tareas servidor y haga clic en la tarea servidor Sincronización de problemas.Aparece la página Descripción del Generador de tareas servidor.

b Seleccione Desactivada junto a Estado de planificación.

c Haga clic en Guardar.

2 Asegúrese de que no se encuentra en ejecución ninguna instancia de la tarea servidor. Si hayalguna instancia en ejecución, espere a que finalice o anúlela antes de continuar.

21 Problemas y fichasAmpliación de un servidor de fichas registrado



• Edite el servidor de fichas registrado existente en función de los requisitos de configuración delservidor de fichas ampliado.

• Elimine el servidor de fichas registrado existente y, a continuación, cree uno nuevo en funciónde los requisitos de configuración del servidor de fichas ampliado.

Para obtener más detalles, consulte las secciones de esta guía sobre la integración de servidores defichas, instalación de extensiones de servidores de fichas y registro y configuración de servidoresde fichas.

4 Una vez que haya configurado la integración con el servidor de fichas ampliado, active la tareaservidor encargada de sincronizar los problemas con ficha.

Problemas y fichasAmpliación de un servidor de fichas registrado 21


21 Problemas y fichasAmpliación de un servidor de fichas registrado


22 Archivos de registro de ePolicyOrchestrator

El servidor de McAfee ePO mantiene archivos de registro que detallan diversas clases de eventos yacciones que se ocurren en el sistema.

Contenido El registro de auditoría El Registro de tareas servidor El registro de eventos de amenazas

El registro de auditoríaUtilice el registro de auditoría para mantener y acceder a un registro de todas las acciones de losusuarios de McAfee ePO. Las entradas del registro se muestran en una tabla que puede ordenarse.Para una mayor flexibilidad, también puede filtrarse de manera que solo muestre las acciones conerrores, o solo las entradas con una determinada antigüedad.El registro de auditoría muestra varias columnas:

• Acción: nombre de la acción que intentó realizar el usuario de McAfee ePO.

• Hora de finalización: hora en la que finalizó la acción.

• Detalles: más información sobre la acción.

• Prioridad: importancia de la acción.

• Hora de inicio: hora en la que se inició la acción.

• Correcto: si la acción finalizó correctamente.

• Nombre de usuario: nombre del usuario de la cuenta que ha iniciado la sesión y que se utilizó pararealizar la acción.

Se pueden realizar consultas sobre las entradas del registro de auditoría. Puede crear consultas sobreestos datos mediante el asistente Generador de consultas, o puede utilizar las consultaspredeterminadas relacionadas con los mismos. Por ejemplo, la consulta Intentos de inicio de sesión noconseguidos recupera una tabla con todos los intentos fallidos de inicio de sesión.

Visualización y purga del registro de auditoría Puede ver y purgar un historial de acciones del administrador.Al ver el registro de auditoría, los datos disponibles dependen de con qué frecuencia y antigüedad sepurguen las entradas del registro de auditoría.

Al purgar el registro de auditoría, se eliminan todas las entradas de forma permanente.

22



1 Haga clic en Menú | Administración de usuarios | Registro de auditoría y se mostrarán los registros deauditoría.


Acción Pasos

Visualización delregistro de auditoría

1 Haga clic en cualquiera de los títulos de columnas para ordenar la tabla por lacolumna elegida (alfabéticamente).

2 En la lista desplegable Filtro, seleccione una opción para limitar la cantidad dedatos visibles. Puede eliminar todas las acciones excepto las que no se hanpodido realizar o bien mostrar solamente las acciones que se produjerondurante un período de tiempo seleccionado.

3 Haga clic en cualquier entrada para ver los detalles.

Purga del registrode auditoría

1 Haga clic en Acciones | Purgar.

2 En el cuadro de diálogo Purgar, junto a Purgar los registros con más de, escriba unnúmero y seleccione una unidad de tiempo.


Se eliminan de forma permanente todas las entradas del registro de auditoría.

Planificación de la purga del registro de auditoríaPuede purgar automáticamente el registro de auditoría mediante una tarea servidor planificada.


1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, en Acciones | Nueva tarea. Se abre elasistente Generador de tareas cliente por la página Descripción.

2 Especifique un nombre y una descripción para la tarea y, a continuación, haga clic en Activada enEstado de planificación.

3 Haga clic en Siguiente. Aparece la página Acciones.

4 Seleccione Purgar registro de auditoría en la lista desplegable.

5 Detrás de Purgar los registros con más de, escriba un número y seleccione la unidad de tiempo que seutilizará como referencia para purgar las entradas del registro de auditoría.

6 Haga clic en Siguiente. Aparece la página Planificación.

7 Planifique la tarea según sus preferencias y haga clic en Siguiente. Aparece la página Resumen.

8 Revise los detalles de la tarea y haga clic en Guardar.

22 Archivos de registro de ePolicy OrchestratorEl registro de auditoría


El Registro de tareas servidorEl Registro de tareas servidor informa de los eventos que se producen en el servidor de McAfee ePO.

En el Registro de tareas servidor puede ver el resultado detallado de las tareas servidor planificadasque se están ejecutando o se han ejecutado en su servidor.

Las entradas del registro incluyen información acerca de:

• Si la tarea se ha realizado correctamente o no.

• Las tareas secundarias que se ejecutan al realizar la tarea planificada.

También puede cancelar una tarea que esté en ejecución.

Administración del Registro de tareas servidor Abra el Registro de tareas servidor para ver, filtrar y purgar los registros de tareas según susnecesidades.

El estado de cada tarea servidor aparece en la columna Estado:

• En espera: la tarea está esperando a que finalice otra tarea.

• En curso: la tarea se ha iniciado pero aún no ha terminado.

• Interrumpida: la tarea se ha interrumpido mediante una tarea servidor.

• Detenida: la tarea se ha detenido mediante una tarea servidor.

• Fallo: la tarea se inició pero no finalizó correctamente.

• Finalizada: la tarea ha terminado correctamente.

• Finalización pendiente: se ha enviado una solicitud de finalización.

• Cancelada: la tarea se ha interrumpido antes de finalizar.


Procedimiento1 Haga clic en Menú | Automatización | Registro de tareas servidor. Aparece la pantalla Registro de tareas

servidor.


Archivos de registro de ePolicy OrchestratorEl Registro de tareas servidor 22


Acción Pasos

Ver el registro detareas servidor.

1 Haga clic en cualquier título de columna para ordenar los eventos.

2 Seleccione uno de los registros de tareas, haga clic en Acciones y seleccione unade las siguientes opciones para manipular el registro de tareas servidor:

• Elegir columnas: aparece la página Seleccione las columnas que se van a mostrar.

• Exportar tabla: aparece la página Exportar.

• Purgar: aparece el cuadro de diálogo Purgar. Escriba un número y una unidadde tiempo para determinar el número de registros de tareas que eliminar yhaga clic en Aceptar.

• Detener tarea: detiene una tarea que está en curso.

Filtrar el registro detareas servidor.

Seleccione un filtro de la lista desplegable Filtro.

Purgar el registrode tareas servidor.


2 En el cuadro de diálogo Purgar, escriba un número de días, semanas, meses oaños. Se eliminarán todos los elementos que tengan como mínimo esaantigüedad.


3 Haga clic en cualquier título de columna para ordenar los eventos.

4 Seleccione uno de los registros de tareas, haga clic en Acciones y seleccione una de las siguientesopciones para manipular el registro de tareas servidor:

• Elegir columnas: aparece la página Seleccione las columnas que se van a mostrar.

• Exportar tabla: aparece la página Exportar.

• Purgar: aparece el cuadro de diálogo Purgar. Escriba un número y una unidad de tiempo paradeterminar el número de registros de tareas que eliminar y haga clic en Aceptar.

• Detener tarea: detiene una tarea que está en curso.

El registro de eventos de amenazasUtilice el registro de eventos de amenazas para ver y ordenar rápidamente los eventos de la base dedatos. El registro solamente se puede purgar por antigüedad.Los eventos se muestran en una tabla que se puede ordenar. Además, puede elegir las columnas quese van a mostrar. Puede elegir distintos datos de eventos para utilizarlos como columnas.

En función de los productos que esté gestionando, también podrá realizar determinadas accionessobre los eventos. Las acciones están disponibles en el menú Acciones de la parte inferior de la página.

Formato de eventos comúnLa mayoría de los productos utilizan ahora el formato de eventos común. Los campos de este formatose pueden utilizar como columnas en el registro de eventos de eventos de amenazas. Son lossiguientes:

• Acción realizada: acción que realizó el producto en respuesta a la amenaza.

• GUID del agente: identificador exclusivo del agente que reenvió el evento.

• Versión de archivos DAT: versión de los archivos DAT del sistema que envió el evento.

22 Archivos de registro de ePolicy OrchestratorEl registro de eventos de amenazas


• Nombre de host del producto de la detección: nombre del sistema que alberga el producto que realiza ladetección.

• ID del producto de la detección: ID del producto que realiza la detección.

• Dirección IPv4 del producto de la detección: dirección IPv4 del sistema que alberga el producto que realiza ladetección (si corresponde).

• Dirección IPv6 del producto de la detección: dirección IPv6 del sistema que alberga el producto que realiza ladetección (si corresponde).

• Dirección MAC del producto de la detección: dirección MAC del sistema que alberga el producto que realizala detección.

• Nombre del producto de la detección: nombre del producto gestionado que realiza la detección.

• Versión del producto de la detección: número de versión del producto que realiza la detección.

• Versión del motor: número de versión del motor del producto que realiza la detección (si corresponde).

• Categoría del evento: categoría del evento. Las categorías posibles dependen del producto.

• Hora de generación del evento (UTC): hora, según la Hora universal coordinada (UTC), a la que se detectóel evento.

• ID de evento: identificador exclusivo del evento.

• Hora de recepción del evento (UTC): hora, según la Hora universal coordinada (UTC), en la que el servidorde McAfee ePO recibió el evento.

• Ruta de archivos: ruta del sistema que envió el evento.

• Nombre de host: nombre del sistema que envió el evento.

• Dirección IPv4: dirección IPv4 del sistema que envió el evento.

• Dirección IPv6: dirección IPv6 del sistema que envió el evento.

• Dirección MAC: dirección MAC del sistema que envió el evento.

• Protocolo de red: protocolo del destino de la amenaza para clases de amenazas procedentes de unared.

• Número de puerto: puerto de destino de la amenaza para clases de amenazas procedentes de una red.

• Nombre del proceso: nombre del proceso de destino (si corresponde).

• ID de servidor: ID del servidor que envió el evento.

• Nombre de la amenaza: nombre de la amenaza.

• Nombre de host de origen de amenaza: nombre del sistema desde el que se originó la amenaza.

• Dirección IPv4 de origen de amenaza: dirección IPv4 del sistema desde el que se originó la amenaza.

• Dirección IPv6 de origen de amenaza: dirección IPv6 del sistema desde el que se originó la amenaza.

• Dirección MAC de origen de amenaza: dirección MAC del sistema desde el que se originó la amenaza.

• URL de origen de amenaza: URL desde la que se originó la amenaza.

• Nombre de usuario de origen de amenaza: nombre del usuario desde el que se originó la amenaza.

• Tipo de amenaza: clase de la amenaza.

• Nombre de usuario: nombre de usuario o dirección de correo electrónico del origen de la amenaza.

Archivos de registro de ePolicy OrchestratorEl registro de eventos de amenazas 22


Visualización y purga del registro de eventos de amenazas Los registros de eventos de amenazas deben consultarse y purgarse con regularidad.


1 Haga clic en Menú | Informes | Registro de eventos de amenazas.


Acción Pasos

Ver el registro deeventos deamenazas

1 Haga clic en cualquier título de columna para ordenar los eventos. Tambiénpuede hacer clic en Acciones | Elegir columnas. Aparece la página Seleccione las columnasque se van a mostrar.

2 En la lista Columnas disponibles, seleccione otras columnas según sus necesidades yhaga clic en Guardar.

3 Seleccione eventos en la tabla y, a continuación, haga clic en Acciones yseleccione Mostrar sistemas relacionados para ver los detalles de los sistemas queenviaron los eventos seleccionados.

Purgar eventosde amenazas


2 En el cuadro de diálogo Purgar, junto a Purgar los registros con más de, escriba unnúmero y seleccione una unidad de tiempo.


Los registros con una antigüedad mayor a la especificada se eliminan de formapermanente.

Planificación de la purga del registro de eventos de amenazasPuede crear una tarea servidor para purgar automáticamente el registro de eventos de amenazas.


1 Haga clic en Menú | Automatización | Tareas servidor y, a continuación, en Acciones | Nueva tarea. Se abre elasistente Generador de tareas cliente por la página Descripción.

2 Especifique un nombre y una descripción para la tarea y, a continuación, haga clic en Activada detrásde Estado de planificación.

3 Haga clic en Siguiente. Aparece la página Acciones.

4 Seleccione Purgar registro de eventos de amenazas en la lista desplegable.

5 Elija si desea purgar por antigüedad o a partir de los resultados de una consulta. Si purga porconsulta, debe elegir una que dé como resultado una tabla con entradas de eventos.

6 Haga clic en Siguiente. Aparece la página Planificación.

7 Planifique la tarea según sus preferencias y haga clic en Siguiente. Aparece la página Resumen.

8 Revise los detalles de la tarea y haga clic en Guardar.

22 Archivos de registro de ePolicy OrchestratorEl registro de eventos de amenazas


23 Recuperación ante desastres

La Recuperación ante desastres le ayuda a recuperar o volver a instalar rápidamente su softwareePolicy Orchestrator. La Recuperación ante desastres utiliza una función de Instantánea que guardaperiódicamente la configuración, las extensiones, las claves, etc. de ePolicy Orchestrator en registrosde Instantáneas en la base de datos de ePolicy Orchestrator.

Contenido La función Recuperación ante desastres Componentes de Recuperación ante desastres Funcionamiento de la recuperación ante desastres Configuración de una instantánea y restauración de la base de datos Configuración del servidor de recuperación ante desastres

La función Recuperación ante desastres La función Recuperación ante desastres de ePolicy Orchestrator emplea un proceso de creación deinstantánea que guarda determinados registros de la base de datos del servidor de McAfee ePO en labase de datos Microsoft SQL de ePolicy Orchestrator.

Los registros guardados por la instantánea contienen la configuración completa de ePolicy Orchestratoren el momento específico en el que se crea la instantánea. Una vez que los registros de la instantánease guardan en la base de datos, puede utilizar la función de copia de seguridad de Microsoft SQL paraguardar la base de datos de ePolicy Orchestrator completa y restaurarla en otro servidor SQL Server.

Ejemplos de conexión de restauración de la base de datos SQL

Mediante el servidor de base de datos SQL de ePolicy Orchestrator, que incluye la instantánea derecuperación ante desastres, puede conectar a:

• Un servidor físico de McAfee ePO restaurado con el nombre de servidor y la dirección IP originales.Permite la recuperación cuando, por ejemplo, falla una ampliación del software ePolicyOrchestrator.

• Un nuevo servidor físico de McAfee ePO con el nombre del servidor y la dirección IP original.Permite ampliar, o restaurar, el hardware del servidor y reanudar rápidamente la administración delos sistemas de la red.

• Un nuevo servidor físico de McAfee ePO con un nuevo nombre y dirección IP. De esta forma puede,por ejemplo, trasladar su servidor de un dominio a otro.

Este ejemplo puede proporcionar una solución de administración de la red temporal mientrasregenera y reinstala su servidor físico de McAfee ePO y el software en su dominio original.

• Un servidor físico de McAfee ePO nuevo o restaurado con varias tarjetas de interfaz de red (NIC).Debe confirmar que se ha configurado la dirección IP adecuada para la NIC del servidor de McAfeeePO.

23


La instantánea se configura, según la versión de la base de datos SQL, para que se ejecute a diario. Siconfigura una secuencia de comandos para ejecutar automáticamente la copia de seguridad SQL ycopiar el archivo de copia de seguridad en su servidor de base de datos SQL de restauración, podrárestaurar más fácilmente su servidor de McAfee ePO. Además, puede tomar una instantánea oejecutar sus secuencias de comandos de forma manual para guardar y crear rápidamente una copiade seguridad en el caso de cambios complejos o importantes de ePolicy Orchestrator.

El monitor Instantánea de recuperación ante desastres, que se encuentra en su panel de ePolicyOrchestrator, le permite administrar y supervisar las instantáneas en una sola ubicación.

Véase también Utilización de un comando remoto para determinar el servidor de base de datos Microsoft SQLServer y su nombre en la página 291Utilización de Microsoft SQL Server Management Studio para buscar información del servidorde McAfee ePO en la página 292Descripción de Instantánea de recuperación ante desastres y copia de seguridad en la página293Descripción general de la instalación de recuperación del servidor de McAfee ePO en la página294Configuración de la tarea servidor Recuperación ante desastres en la página 296

Componentes de Recuperación ante desastres Para utilizar la función Recuperación ante desastres con objeto de restaurar su software ePolicyOrchestrator se requieren ciertos hardware, software, privilegios de acceso e información.

Se necesitan dos plataformas de hardware de servidor:

23 Recuperación ante desastresComponentes de Recuperación ante desastres


• Su servidor físico de McAfee ePO, que denominamos servidor de McAfee ePO "principal".

• Hardware de servidor de SQL Server duplicado, denominado servidor "de restauración", queejecute una versión de Microsoft SQL Server correspondiente a la de la base de datos del servidorde McAfee ePO principal. Este servidor de restauración debe mantenerse actualizado con laconfiguración más reciente del servidor principal de base de datos SQL de McAfee ePO medianteprocesos de Instantánea y copia de seguridad de Microsoft SQL.

Para evitar problemas de copia de seguridad y restauración, deben coincidir las versiones dehardware de su servidor principal y de restauración y la versión de SQL.

Monitor Panel de instantáneas

El monitor Instantánea de servidor, que se encuentra en el panel del servidor de ePolicy Orchestrator,permite administrar y supervisar las Instantáneas desde una sola ubicación.

Si el monitor Instantánea no aparece en su panel, cree un nuevo panel y agregue el monitorRecuperación ante desastres.

Figura 23-1 Panel Recuperación ante desastres, monitor Instantánea

El monitor Instantánea de servidor permite:

• Hacer clic en Tomar instantánea para guardar manualmente una Instantánea del servidor de McAfeeePO.

• Hacer clic en Consulte los detalles de la última ejecución para abrir la página Detalles del registro de tareas servidor.Esta página muestra información y mensajes de registro sobre la Instantánea guardada másrecientemente.

• Confirmar la fecha y hora en que se guardó la última Instantánea en la base de datos SQL, junto aÚltima ejecución.

• Hacer clic en el vínculo Recuperación ante desastres para abrir la página de ayuda con información sobreRecuperación ante desastres.

El color y el título del monitor Instantánea indican el estado de su Instantánea más reciente. Porejemplo:

Recuperación ante desastresComponentes de Recuperación ante desastres 23


• Azul, Guardando instantánea en base de datos: el proceso de Instantánea se encuentra encurso.

• Verde, Instantánea guardada en la base de datos: el proceso de Instantánea ha finalizadocorrectamente y está actualizado.

• Rojo, Error de instantánea: se ha producido un error durante el proceso de Instantánea.

• Gris, No hay ninguna instantánea disponible: no se ha guardado ninguna Instantánea deRecuperación ante desastres.

• Naranja, La instantánea está obsoleta: se han producido cambios en la configuración y no seha guardado una Instantánea reciente. Los cambios que activan un estado de Instantánea obsoletason:

• Se han producido cambios en alguna extensión. Por ejemplo, se ha actualizado, quitado,eliminado, ampliado o se ha recuperado una versión anterior.

• La carpeta "Keystore" ha cambiado.

• La carpeta "conf" ha cambiado.

• Cambio de la frase de contraseña de Recuperación ante desastres en Configuración del servidor.

Tarea servidor Instantánea de Recuperación ante desastres

Puede utilizar la tarea servidor Instantánea de Recuperación ante desastres para desactivar y activarla planificación de la tarea servidor Instantánea.

La planificación de la tarea servidor Instantánea está activada de manera predeterminada para la basede datos de Microsoft SQL Server, y desactivada de manera predeterminada para la base de datos deMicrosoft SQL Server Express Edition.

Requisitos de Recuperación ante desastres

Para utilizar la Recuperación ante desastres es necesario el hardware, el software y la información queaparecen en la siguiente tabla.

Requisito Descripción

Requisitos de hardware

Hardware del servidorprincipal de McAfee ePO

Los requisitos de hardware del servidor vienen determinados por elnúmero de sistemas gestionados.

Podría tener la base de datos SQL y el servidor de McAfee ePOinstalados en el mismo hardware de servidor o en uno distinto.Consulte la Guía de instalación del software ePolicy Orchestrator 5.1.0para conocer en detalle los requisitos de hardware.

Hardware del servidor derestauración de McAfee ePO

Este hardware de servidor debe coincidir con el hardware del servidorprincipal de McAfee ePO.

Servidor de McAfee ePOprincipal

Este servidor principal debe estar operativo y funcionandocorrectamente con una instantánea reciente guardada en la base dedatos SQL.

Base de datos SQL principal La base de datos SQL principal almacena la configuración del servidorde McAfee ePO, la información de los clientes y los registros deInstantánea de Recuperación ante desastres.

Requisitos de software

23 Recuperación ante desastresComponentes de Recuperación ante desastres


Requisito Descripción

Archivo de copia deseguridad de la base dedatos SQL principal

Mediante Microsoft SQL Server Management Studio o el proceso delínea de comandos BACKUP (Transact-SQL), puede crear un archivo decopia de seguridad de la base de datos principal que incluya losregistros de Instantánea.

Software de restauración dela base de datos SQL

Mediante Microsoft SQL Server Management Studio o el proceso delínea de comandos RESTORE (Transact-SQL), puede restaurar la basede datos principal, incluyendo los registros de Instantánea, en elservidor de base de datos SQL de restauración para duplicar laconfiguración de la base de datos SQL principal.

Software ePolicyOrchestrator

Este software, que se puede descargar del sitio web de McAfee, seutiliza para instalar y configurar el servidor de McAfee ePO derestauración.

Requisitos de información

Frase de contraseña decifrado de almacén declaves de Recuperaciónante desastres

Esta frase de contraseña se agrega durante la instalación inicial delsoftware ePolicy Orchestrator y descifra la información confidencialalmacenada en la Instantánea de Recuperación ante desastres.

Privilegios de administrador Debe disponer de acceso tanto al servidor principal como al derestauración, así como a la base de datos SQL con privilegios de tipoDBOwner o DBCreator, por ejemplo.

Última dirección IPconocida, nombre DNS onombre NetBIOS conocidosdel servidor de McAfee ePOprincipal

Si modifica alguno de estos valores durante la restauración del servidorde McAfee ePO, asegúrese de que los agentes McAfee Agent dispongande alguna forma de localizar el servidor. La forma más fácil de hacerloes crear un registro de nombre canónico (CNAME) en DNS que dirija lassolicitudes desde la dirección IP y el nombre DNS o NetBIOS originalesdel servidor de McAfee ePO principal a la nueva informacióncorrespondiente al servidor de McAfee ePO de restauración.

Véase también Utilización de un comando remoto para determinar el servidor de base de datos Microsoft SQLServer y su nombre en la página 291Utilización de Microsoft SQL Server Management Studio para buscar información del servidorde McAfee ePO en la página 292Descripción de Instantánea de recuperación ante desastres y copia de seguridad en la página293Descripción general de la instalación de recuperación del servidor de McAfee ePO en la página294Configuración de la tarea servidor Recuperación ante desastres en la página 296

Utilización de un comando remoto para determinar el servidorde base de datos Microsoft SQL Server y su nombreEl siguiente comando remoto de ePolicy Orchestrator se utiliza para determinar el servidor de base dedatos de Microsoft SQL Server y el nombre de la base de datos.


1 Escriba este comando remoto en la barra de direcciones de su navegador:

https://localhost:8443/core/config

Recuperación ante desastresComponentes de Recuperación ante desastres 23


En este comando:

• localhost: es el nombre del servidor de McAfee ePO.

• :8443 es el número de puerto predeterminado del servidor de McAfee ePO. Es posible que suservidor esté configurado para utilizar un número de puerto distinto.

2 Guarde la siguiente información que aparece en la página Configurar base de datos:• Nombre de host o dirección IP

• Nombre de la base de datos

Utilización de Microsoft SQL Server Management Studio parabuscar información del servidor de McAfee ePODesde Microsoft SQL Server Management Studio, averigüe información del servidor de McAfee ePOexistente.

Procedimiento1 Utilice una conexión a Escritorio remoto para iniciar sesión en el nombre de host o dirección IP del

servidor de base de datos Microsoft SQL Server.

2 Abra Microsoft SQL Server Management Studio y conéctese al servidor SQL.

3 En la lista Explorador de objetos, haga clic en <Nombre del servidor de base de datos> | Bases de datos | <Nombre dela base de datos> | Tablas.

4 Desplácese hasta localizar la tabla EPOServerInfo, haga clic con el botón derecho del ratón en elnombre de la tabla y seleccione Editar las primeras 200 filas en la lista.

5 Busque y guarde la información en los siguientes registros de la base de datos.

• ePOVersion: por ejemplo, 5.1.0 • LastKnownTCPIP: por ejemplo, 172.10.10.10

• DNSName: por ejemplo,epo-2k8-epo51.server.com

• RmdSecureHttpPort: por ejemplo, 8443

• ComputerName: por ejemplo, EPO-2K8-EPO51

Asegúrese de disponer de esta información, por si alguna vez necesita restaurar el software ePolicyOrchestrator.

Funcionamiento de la recuperación ante desastresPara volver a instalar rápidamente el software ePolicy Orchestrator es necesario realizar instantáneasperiódicas de la configuración de ePolicy Orchestrator. A continuación, debe realizar una copia deseguridad y restaurar la base de datos en un servidor de restauración, y volver a instalar el softwareePolicy Orchestrator mediante la opción Restaurar.

Véase también Configuración de la tarea servidor Recuperación ante desastres en la página 296Creación de una instantánea desde el panel en la página 298Creación de una instantánea desde la API web en la página 298Uso de Microsoft SQL para crear una copia de seguridad de la base de datos y su restauraciónen la página 300

23 Recuperación ante desastresFuncionamiento de la recuperación ante desastres


Descripción de Instantánea de recuperación ante desastres ycopia de seguridad Los procesos de Instantánea de recuperación ante desastres, copia de seguridad de base de datos SQLy copia crean una base de datos de ePolicy Orchestrator duplicada en un servidor de base de datosSQL de restauración.

A continuación se incluye una descripción de los procesos de instantánea para recuperación antedesastres, copia de seguridad de base de datos SQL y copia. Para más información, consulte:

• Creación de instantáneas

• Uso de Microsoft SQL para crear una copia de seguridad de la base de datos y su restauración

La siguiente imagen ilustra el proceso de recuperación ante desastres del software ePolicyOrchestrator y el hardware que se necesita.

En esta imagen, la base de datos SQL está instalada en el mismo servidor físico que el servidor deMcAfee ePO. El servidor de McAfee ePO y la base de datos SQL podrían estar instalados en distintosservidores físicos.

Figura 23-2 McAfee ePO

La configuración de recuperación ante desastres del software ePolicy Orchestrator incluye estos pasosgenerales que se realizan en el servidor principal de McAfee ePO:

1 Cree una instantánea de la configuración del servidor de McAfee ePO y guárdela en la base dedatos SQL principal. Puede hacerlo de manera manual o mediante una tarea servidorpredeterminada que se incluye para este fin.

Una vez creada la instantánea, estos son los archivos de base de datos que se guardan:

• C:\Archivos de programa\McAfee\ePolicy Orchestrator\Server\extensions: la rutapredeterminada a la información de extensión del software ePolicy Orchestrator.

• C:\Archivos de programa\McAfee\ePolicy Orchestrator\Server\conf: la ruta predeterminada a losarchivos necesarios que utilizan las extensiones del software ePolicy Orchestrator.

• C:\Archivos de programa\McAfee\ePolicy Orchestrator\Server\keystore: estas claves sonespecíficas para la comunicación agente-servidor de ePolicy Orchestrator y para los repositorios.

Recuperación ante desastresFuncionamiento de la recuperación ante desastres 23


• C:\Archivos de programa\McAfee\ePolicy Orchestrator\Server\DB\Keystore: la rutapredeterminada a los certificados del servidor de instalación de los productos de McAfee.

• C:\Archivos de programa\McAfee\ePolicy Orchestrator\Server\DB\Software: la rutapredeterminada a los archivos de instalación de los productos de McAfee.

Los registros de instantánea para recuperación ante desastres guardados incluyen las rutasconfiguradas para sus ejecutables registrados. Los archivos ejecutables registrados no seincluyen en la copia de seguridad y deben sustituirse cuando se restaure el servidor de McAfeeePO. Tras restaurar el servidor de McAfee ePO, los ejecutables registrados con rutas incorrectasaparecen en rojo en la página Ejecutables registrados.

Antes de restaurar el servidor de McAfee ePO debe probar las rutas de los ejecutablesregistrados. Es posible que algunas de estas rutas no aparezcan en rojo aunque seanincorrectas, debido a problemas de dependencia relacionados con los ejecutables registrados.

2 Cree la copia de seguridad de la base de datos SQL con Microsoft SQL Server Management Studio omediante el proceso de línea de comandos BACKUP (Transact-SQL).

3 Copie el archivo de copia de seguridad de la base de datos SQL, creado en el paso 2, en el servidorSQL de restauración duplicado.

Es fundamental realizar los pasos 2 y 3 para copiar las instantáneas del servidor SQL Serverprincipal en el servidor SQL Server de restauración con el fin de utilizar la función Recuperación antedesastres.

De esta forma finalizan los procesos de Instantánea de recuperación ante desastres y copia deseguridad del servidor de McAfee ePO. No es necesario que siga con la instalación de la recuperacióndel servidor de McAfee ePO a menos que vaya a reinstalar el software ePolicy Orchestrator.

Descripción general de la instalación de recuperación delservidor de McAfee ePO La reinstalación del software ePolicy Orchestrator es el último paso para restaurar rápidamente elservidor de McAfee ePO.

La presente es una descripción general de la reinstalación del software ePolicy Orchestrator en elservidor de restauración de McAfee ePO. Para obtener más detalles, consulte la Guía de instalación.

23 Recuperación ante desastresFuncionamiento de la recuperación ante desastres


La siguiente imagen ofrece una descripción general de la reinstalación del servidor de McAfee ePO.

En esta imagen, la base de datos SQL está instalada en el mismo servidor físico que el servidor deMcAfee ePO. El servidor de McAfee ePO y la base de datos SQL podrían estar instalados en distintosservidores físicos.

Figura 23-3 Instalación de recuperación del servidor de McAfee ePO

La instalación del software ePolicy Orchestrator mediante el archivo de instantánea de recuperaciónante desastres incluye estos pasos generales que se realizan en el servidor principal de McAfee ePO:

1 Localice el archivo de copia de seguridad de la base de datos SQL, copiado en el paso 3 de lasección anterior, y utilice Microsoft SQL Server Management Studio o el proceso de línea decomandos BACKUP (Transact-SQLthe BACKUP (Transact-SQL) para restaurar la configuración delservidor SQL principal al servidor SQL de restauración.

2 Durante la instalación del software de base de datos de ePolicy Orchestrator:

a En el cuadro de diálogo de bienvenida del software, haga clic en Restaurar ePO a partir de unainstantánea de base de datos existente.

b Seleccione Microsoft SQL Server para vincular el software ePolicy Orchestrator a la base de datosSQL de restauración que tenía la configuración del servidor principal de McAfee ePO restauradaen el paso 1.

Una vez iniciada la instalación del softwareePolicy Orchestrator, en lugar de crear nuevos registrosen la base de datos, en la configuración del software se utilizan los registros de base de datosguardados durante el proceso de instantánea.

3 Si modificó la última IP conocida, el nombre DNS o el nombre NetBIOS del servidor principal deMcAfee ePO, al crear el servidor de restauración de McAfee ePO los agentes McAfee Agent nopodrán conectarse al servidor de McAfee ePO restaurado. La forma más fácil de hacerlo es crear unregistro CNAME en DNS que dirija las solicitudes desde la dirección IP, y el nombre DNS o NetBIOSdel servidor principal de McAfee ePO hasta la nueva información del servidor de McAfee ePO derestauración.

Consulte Qué es Recuperación ante desastres para ver varios ejemplos de restauración de laconexión de la base de datos SQL al servidor de McAfee ePO.

Recuperación ante desastresFuncionamiento de la recuperación ante desastres 23


Ahora el servidor de restauración de McAfee ePO se ejecuta exactamente con la misma configuraciónque el servidor principal. Los clientes se pueden conectar al servidor de restauración y puedegestionarlos exactamente igual que antes de eliminar el servidor principal de McAfee ePO.

Configuración de una instantánea y restauración de la base dedatos

Para reinstalar rápidamente un servidor de McAfee ePO, configure una instantánea para recuperaciónante desastres para guardar, o confirmar que se guarda, una instantánea en la base de datos SQL. Acontinuación, realice una copia de seguridad de esa base de datos SQL, que incluye la instantánea, ycopie el archivo de copia de seguridad de la base de datos en un servidor SQL Server de restauración.

Para realizar una rápida reinstalación del servidor de McAfee ePO es necesario llevar a cabo lossiguientes procedimientos.

Procedimientos• Configuración de la tarea servidor Recuperación ante desastres en la página 296

La tarea Instantánea de servidor para recuperación ante desastres permite modificar lasinstantáneas de la configuración del servidor de McAfee ePO planificadas para su ejecuciónautomática, guardadas en la base de datos SQL.

• Creación de instantáneas en la página 297La creación frecuente de instantáneas de su servidor principal de McAfee ePO para larecuperación ante desastres es el primer paso para restaurar rápidamente un servidor deMcAfee ePO.

• Uso de Microsoft SQL para crear una copia de seguridad de la base de datos y surestauración en la página 300Para guardar la instantánea de recuperación ante desastres con la información deconfiguración del servidor de McAfee ePO, utilice los procedimientos de Microsoft SQLServer.

Véase también Configuración de la tarea servidor Recuperación ante desastres en la página 296Creación de una instantánea desde el panel en la página 298Creación de una instantánea desde la API web en la página 298Uso de Microsoft SQL para crear una copia de seguridad de la base de datos y su restauraciónen la página 300

Configuración de la tarea servidor Recuperación ante desastresLa tarea Instantánea de servidor para recuperación ante desastres permite modificar las instantáneasde la configuración del servidor de McAfee ePO planificadas para su ejecución automática, guardadasen la base de datos SQL.

El estado preconfigurado de su tarea Instantánea de servidor para recuperación ante desastresdepende de la base de datos SQL que utilice su servidor de McAfee ePO. La tarea Instantánea derecuperación ante desastres está activada, de forma predeterminada, en todos los servidores MicrosoftSQL Server, excepto en los que tienen la versión Express Edition.

McAfee no recomienda activar la planificación de la tarea Instantánea de recuperación ante desastrescon Microsoft SQL Server Express Edition, debido a sus limitaciones con el tamaño de archivos de datos.El tamaño de archivo de datos máximo para Microsoft SQL Server 2005 Express Edition es 4 GB y10 GB en el caso de Microsoft SQL Server 2008 y 2012 Express Edition.

23 Recuperación ante desastresConfiguración de una instantánea y restauración de la base de datos


Únicamente puede ejecutar una instancia de la instantánea para recuperación ante desastres al mismotiempo. Si se ejecutan varias instancias, solo crea un resultado la última instantánea y las anterioresse sobrescriben.

Si es necesario, puede modificar la tarea Instantánea para recuperación ante desastrespredeterminada.


1 Haga clic en Menú | Tareas servidor, seleccione Instantánea de servidor para recuperación ante desastres en la listaTareas servidor y haga clic en Editar.

Se abre el asistente de la tarea servidor Recuperación ante desastres.

2 En la ficha Descripciones en Estado de planificación, haga clic en Activado o Desactivado según corresponda.

3 En la ficha Planificación, cambie las siguientes opciones según sus necesidades:

• Tipo de planificación: elija la frecuencia con la que se guardará la instantánea.

• Fecha de inicio y Fecha de finalización: defina las fechas de inicio y finalización de ejecución de la tareade creación de instantáneas, o bien haga clic en Sin fecha de finalización para que la tarea se ejecutecontinuamente.

• Planificación: elija la hora a la que se guardará la instantánea. De manera predeterminada, latarea de instantánea se ejecuta a las 1:59 todos los días.

McAfee recomienda que se ejecute la tarea servidor Recuperación ante desastres durante horasde menor actividad para minimizar los cambios en la base de datos durante el proceso decreación de instantánea.

4 En la ficha Resumen, confirme que la tarea servidor está configurada correctamente y haga clic enGuardar.

Creación de instantáneasLa creación frecuente de instantáneas de su servidor principal de McAfee ePO para la recuperaciónante desastres es el primer paso para restaurar rápidamente un servidor de McAfee ePO.

Una vez realizados los cambios en la configuración del software de McAfee, deber realizar unainstantánea para recuperación ante desastres de forma manual realizando cualquiera de los siguientesprocedimientos.

Cree una tarea servidor de instantánea para recuperación ante desastres paa automatizar lasinstantáneas del servidor.

Procedimientos• Creación de una instantánea desde el panel en la página 298

Utilice el Panel de ePolicy Orchestrator para crear Instantáneas de recuperación antedesastres de su servidor de McAfee ePO principal y supervisar el proceso de creación deuna Instantánea conforme cambia el estado del Panel.

• Creación de una instantánea desde la API web en la página 298La API web de ePolicy Orchestrator permite crear instantáneas para la recuperación antedesastres de su servidor de McAfee ePO principal. De esta forma, puede utilizar una cadenade comando para completar el proceso.

Recuperación ante desastresConfiguración de una instantánea y restauración de la base de datos 23


Creación de una instantánea desde el panelUtilice el Panel de ePolicy Orchestrator para crear Instantáneas de recuperación ante desastres de suservidor de McAfee ePO principal y supervisar el proceso de creación de una Instantánea conformecambia el estado del Panel.


1 Haga clic en Menú | Informes | Paneles para ver el monitor Instantánea del servidor de ePO.

Si es necesario, haga clic en Agregar monitor y seleccione Instantánea del servidor de ePO en la lista. Acontinuación, arrástrelo hasta el panel.

2 Haga clic en Tomar instantánea para empezar a guardar la configuración del servidor de McAfee ePO.

Durante el proceso de creación de una Instantánea, la barra de título del Monitor de instantáneascambia para indicar el estado del proceso. Consulte en Monitor del panel Instantánea losindicadores de estado del monitor Instantánea.

El proceso de creación de una Instantánea puede llevar desde 10 minutos hasta más de una hora,según la complejidad y el tamaño de la red gestionada por ePolicy Orchestrator. Este proceso nodebe afectar al rendimiento de su servidor de McAfee ePO.

3 Si es necesario, haga clic en Consulte los detalles de la ejecución actual para abrir los Detalles del registro detareas servidor de la última Instantánea guardada.

Una vez finalizado el proceso de creación de una Instantánea, haga clic en Consulte los detalles de laejecución actual para abrir los Detalles del registro de tareas servidor de la última Instantánea guardada.

La Instantánea de recuperación ante desastres más reciente se guarda en la base de datos SQLprincipal del servidor de McAfee ePO. La base de datos ya está lista para crear la copia de seguridad ycopiarla en el servidor de base de datos SQL de restauración.

Creación de una instantánea desde la API webLa API web de ePolicy Orchestrator permite crear instantáneas para la recuperación ante desastres desu servidor de McAfee ePO principal. De esta forma, puede utilizar una cadena de comando paracompletar el proceso.

Todos los comandos descritos en este procedimiento se introducen en la barra de direcciones de sunavegador web para acceder a su servidor de McAfee ePO de manera remota.

Antes de mostrar el resultado, debe introducir el nombre de usuario y la contraseña del administrador.

Consulte la Guía de scripting de McAfee ePolicy Orchestrator 5.1.0 para conocer el uso de la API web yejemplos detallados.


Procedimiento1 Utilice el siguiente comando de Ayuda de la API web de ePolicy Orchestrator para determinar los

parámetros necesarios para ejecutar la Instantánea:

https://localhost:8443/remote/core.help?command=scheduler.runServerTask



En el comando anterior:

• localhost:: nombre del servidor de McAfee ePO.

• 8443: el puerto de destino, identificado como "8443" (el predeterminado), en este ejemplo.

• /remote/core.help?command=: abre la Ayuda de la API web.

• scheduler.runServerTask: abre la Ayuda de esta tarea servidor concreta.

El comando runServerTask distingue mayúsculas y minúsculas.

El comando del ejemplo anterior devuelve esta Ayuda.

Correcto:scheduler.runServerTask taskNameEjecuta una tarea servidor y devuelve el ID del registro de tareas. Utilice el ID del registro de tareas junto con el comando 'tasklog.listTaskHistory' para ver el estado de la tarea que se está ejecutando. Devuelve elID del registro de tareas o genera un error.Requiere permiso para ejecutar tareas servidor.Parámetros: [taskName (param 1) | taskId]: ID exclusivo o nombre de la tarea

2 Utilice el siguiente comando para mostrar todas las tareas servidor y determinar el parámetrotaskName necesario para ejecutar la tarea servidor Instantánea:

https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse

El comando del ejemplo devuelve una lista similar a la siguiente. La lista exacta depende de suspermisos y de las extensiones instaladas.

3 Con el nombre de tarea, Disaster Recovery Snapshot Server del paso anterior, ejecute la tareaservidor Instantánea utilizando el comando siguiente:

https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery%20Snapshot%20Server

Si la tarea se ejecuta correctamente, el resultado será similar al siguiente.

OK: 102

El proceso de creación de instantáneas puede llevar desde 10 minutos hasta más de una hora,según la complejidad y el tamaño de la red gestionada de ePolicy Orchestrator. Este proceso nodebe afectar al rendimiento de su servidor de McAfee ePO.

Recuperación ante desastresConfiguración de una instantánea y restauración de la base de datos 23


4 Confirme que la tarea servidor Instantánea de la API web se ha ejecutado correctamente.

a Utilice el siguiente comando para encontrar el ID del registro de tareas Instantánea de servidorpara recuperación ante desastres:

https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster%20Recovery%20Snapshot%20ServerEste comando mostrará todas las tareas Instantánea de servidor para recuperación antedesastres. Busque la tarea más reciente y anote el número de ID. Por ejemplo el ID 102 en elsiguiente caso:

ID: 102 Nombre: Instantánea de servidor de recuperación ante desastres Fecha de inicio: 8/7/12 11:00:34 AM Fecha de finalización: 8/7/12 11:01:18 AM Nombre de usuario: admin Estado: Finalizada Origen: planificador Duración: Menos de un minuto

b Utilice el siguiente comando y el ID de tarea 102 para ver todos los mensajes del registro detareas.

https://localhost:8443/remote/tasklog.listMessages?taskLogId=102Desplácese hasta el final de los mensajes y localice lo siguiente:

OK: Fecha: 8/7/12 11:00:34 AM Mensaje: Instantánea de servidor en base de datos

Fecha: 8/7/12 11:00:34 AM Mensaje: Empezando a guardar instantánea de servidor en la base de datos...

. . .

Fecha: 8/7/12 11:01:18 AM Mensaje: Instantánea de servidor guardada correctamente en la base de datos

Fecha: 8/7/12 11:01:18 AM Mensaje: Instantánea de servidor en base de datos

Uso de Microsoft SQL para crear una copia de seguridad de labase de datos y su restauración Para guardar la instantánea de recuperación ante desastres con la información de configuración delservidor de McAfee ePO, utilice los procedimientos de Microsoft SQL Server.

Antes de empezarPara realizar esta tarea debe disponer de conectividad y autorización para copiar archivosentre sus servidores SQL Server principal y de restauración de McAfee ePO. Consulte elApéndice A: Mantenimiento de bases de datos de ePolicy Orchestrator para obtenerdetalles.

Tras crear una instantánea de la configuración del servidor de McAfee ePO, debe hacer lo siguiente:

Procedimiento1 Crear una copia de seguridad de Microsoft SQL Server de la base de datos mediante:

• Microsoft SQL Server Management Studio

• Microsoft Transact-SQL



Consulte la documentación de Microsoft SQL Server para consultar los detalles a fin de llevar acabo estos procesos.

2 Copiar el archivo de copia de seguridad creado en su servidor SQL de restauración.

3 Restaurar la copia de seguridad de la base de datos SQL principal que incluya los registros deinstantánea de recuperación ante desastres mediante:

• Microsoft SQL Server Management Studio

• Microsoft Transact-SQL

Consulte la documentación de Microsoft SQL Server para consultar los detalles a fin de llevar acabo estos procesos.

De esta forma se crea un duplicado del servidor SQL lista para restaurarlo si fuera necesario; para ellose conectaría a una nueva instalación del software ePolicy Orchestrator mediante la opción Restaurar.

Configuración del servidor de recuperación ante desastres Puede cambiar la frase de contraseña de cifrado de almacén de claves utilizada cuando instaló elsoftware ePolicy Orchestrator y vincularla a la base de datos SQL restaurada con los registros de lainstantánea para recuperación ante desastres.

Antes de empezarPara cambiar la frase de contraseña de cifrado de almacén de claves debe tener derechosde administrador.

El uso de la función Recuperación ante desastres para crear una instantánea del servidor de McAfeeePO ofrece un método rápido de recuperación del servidor de McAfee ePO.

Como administrador, esta opción es útil si ha perdido u olvidado la frase de contraseña de cifrado dealmacén de claves durante la instalación del software ePolicy Orchestrator. Puede cambiar la frase decontraseña actual aunque no conozca la frase de contraseña configurada previamente.


Procedimiento1 Haga clic en Menú | Configuración | Configuración del servidor, seleccione Recuperación ante desastres en


2 En Frase de contraseña de cifrado de claves, haga clic en Cambiar frase de contraseña, escriba la nuevacontraseña y confírmela.

Esta frase de contraseña de cifrado de almacén de claves se utiliza para cifrar y descifrar lainformación confidencial almacenada en la instantánea del servidor. Debe utilizarse durante elproceso de recuperación del servidor de McAfee ePO. Apunte esta frase de contraseña.

La base de datos de ePolicy Orchestrator debe copiarse cada cierto tiempo en un servidor de base dedatos Microsoft SQL para crear una base de datos de copia de seguridad actualizada. Consulte enConfiguración de una instantánea y restauración de la base de datos los procesos de copia de seguridaddel servidor de base de datos y restauración.

Recuperación ante desastresConfiguración del servidor de recuperación ante desastres 23


23 Recuperación ante desastresConfiguración del servidor de recuperación ante desastres


A Mantenimiento de las bases de datos deePolicy Orchestrator

Sus bases de datos de ePolicy Orchestrator requieren un mantenimiento habitual para conseguir unrendimiento óptimo y proteger los datos.Utilice la herramienta de administración de Microsoft adecuada para su versión de SQL:

Versión de SQL Herramienta de administración

SQL 2008 y 2012 SQL Server Management Studio

SQL Server Express SQL Server Management Studio Express

Dependiendo de su tipo de despliegue del software ePolicy Orchestrator, debe dedicar algo de tiempoa la semana, probablemente unas horas, a realizar copias de seguridad y otras tareas regulares demantenimiento de la base de datos. Realice estas tareas con regularidad, una vez al día o a lasemana. Sin embargo, éstas son las únicos tareas de mantenimiento disponibles. Consulte ladocumentación de SQL para obtener más información sobre otros procedimientos de mantenimientode la base de datos.

Contenido Consideraciones de creación de un plan de mantenimiento SQL Elección del modelo de recuperación de base de datos SQL Desfragmentación de los datos de las tablas Creación de un plan de mantenimiento SQL Cambio de la información de conexión de SQL Server

Consideraciones de creación de un plan de mantenimiento SQLSu base de datos SQL es una parte esencial de ePolicy Orchestrator. Si no mantiene y crea una copiade seguridad de la información de la base de datos y se produce un fallo, podría perder toda laconfiguración de ePolicy Orchestrator y la protección de la red.El mantenimiento de la base de datos SQL de ePolicy Orchestrator incluye dos componentesprincipales:

• Recuperación ante desastres de ePolicy Orchestrator

• Mantenimiento y copia de seguridad de la base de datos SQL

Cada uno de estos componentes se describe en las siguientes secciones.

Recuperación ante desastres de ePolicy OrchestratorEl proceso de recuperación de ePolicy Orchestrator emplea una función Instantánea de recuperación antedesastres que cada cierto tiempo guarda la configuración, las extensiones, las claves y otroscomponentes de ePolicy Orchestrator en los registros de la Instantánea de recuperación ante desastres de la


base de datos de ePolicy Orchestrator. Los registros guardados por la Instantánea de recuperación antedesastres contienen la configuración completa de ePolicy Orchestrator correspondientes al momentoespecífico en el que se haya creado la Instantánea de recuperación ante desastres.

Para poder recuperarse rápidamente ante un fallo de la base de datos, es importante crearperiódicamente Instantáneas de recuperación ante desastres de la base de datos de ePolicy Orchestrator, realizarcopias de seguridad de los archivos de la base de datos y copiar el archivo de copia de seguridad delservidor SQL principal al servidor SQL de restauración.

Mantenimiento y copia de seguridad de la base de datos SQL

La base de datos SQL es el componente de almacenamiento central de todos los datos creados yutilizados por ePolicy Orchestrator. Este componente almacena todas las propiedades de los sistemasgestionados, su información de directivas y su estructura de directorios, además de otros datosrelevantes que el servidor necesita para mantener sus sistemas actualizados. El mantenimiento de labase de datos SQL de ePolicy Orchestrator SQL debe ser una prioridad. El proceso de mantenimientoperiódico de la base de datos SQL debe contemplar lo siguiente:

• Administración de archivos de registro (transacciones) y datos:

• Separación de los archivos de registro y datos

• Configuración correcta de Crecimiento automático

• Configuración de inicialización instantánea de archivos

• Confirmación de que la reducción automática no está activada y que la reducción no forma partede ningún plan de mantenimiento.

• Desfragmentación de índice: consulte Desfragmentación de los datos de las tablas

• Detección de daños: mediante la tarea Comprobar la integridad de la base de datos o DBCC CHECKDB.

• Creación de una copia de seguridad y administración de archivos

• Planificación de estas tareas para que se realicen de forma automática.

Por suerte, la base de datos SQL incluye funciones, tales como el Asistente para planes de mantenimiento ysecuencias de comandos Transact-SQL, que puede configurar para realizar automáticamente estastareas.

Elección del modelo de recuperación de base de datos SQLDesde la perspectiva de ePolicy Orchestrator, hay dos modelos disponibles para mantener las bases dedatos de Microsoft SQL Server (SQL Server): Modo de recuperación simple y Modo de recuperacióncompleta. McAfee recomienda el uso del modelo de recuperación simple para la base de datos deePolicy Orchestrator.

Mediante el modelo de recuperación simple, el servidor SQL Server identifica los registros incluidos enla copia de seguridad como Inactivos. Esto se conoce también como truncar el registro. De esta forma,las nuevas operaciones que se graben en el registro de transacciones pueden sobrescribir las entradasinactivas, con lo que se evita el crecimiento excesivo del registro de transacciones.

Mediante el modelo de recuperación completa, el registro de transacciones sigue creciendo hasta queconsume todo el espacio disponible en disco, a menos que se realice una copia de seguridad periódica.Si su base de datos de ePolicy Orchestrator está configurada para utilizar el modelo de recuperacióncompleta, debe realizar copias de seguridad del registro de transacciones con regularidad para limitarsu tamaño.

A Mantenimiento de las bases de datos de ePolicy OrchestratorElección del modelo de recuperación de base de datos SQL


Si utiliza el modelo de recuperación simple, una vez que se ejecuta CheckPoint y los registros selimpian en el disco, SQL Server trunca el registro de transacciones. Al truncar el registro detransacciones, se libera espacio en el disco.

En el modelo de recuperación simple, no se crea una copia de seguridad del registro de transacciones;solo se realizan las copias de seguridad completas habituales de la base de datos de ePolicyOrchestrator. En caso de desastre, solo podría recuperar la última copia de seguridad completa. Todoslos cambios que se hayan producido desde la última copia de seguridad completa, se pierden.

Para mayoría de los clientes empresariales, el uso del modelo de recuperación simple es una soluciónaceptable, ya que prácticamente solo se pierde información de eventos entre las copias de seguridad.El modelo de recuperación completa implica una sobrecarga de administración por la realización decopias de seguridad del registro de la base de datos de ePolicy Orchestrator con regularidad.

Principalmente por esta razón, McAfee recomienda utilizar el modelo de recuperación simple para labase de datos de ePolicy Orchestrator.

Si opta por el modo de recuperación completa, asegúrese de que dispone de un buen plan de copia deseguridad tanto para la base de datos de ePolicy Orchestrator como para el registro de transacciones.Los planes de copia de seguridad de bases de datos SQL Server están fuera del ámbito de esta guía.Para obtener más información, consulte la documentación de Microsoft SQL Server.

Desfragmentación de los datos de las tablas Uno de los problemas de rendimiento más significativos de las bases de datos es la fragmentación delos datos de las tablas. Para resolver este problema, puede reorganizar, o si es necesario regenerar,los datos de las tablas.

La fragmentación de los datos de las tablas puede compararse al índice que aparece al final de unlibro. Cada entrada del índice de este gran libro puede llevar a varias páginas que están dispersas portodo el libro. Esto significa que debe mirar en cada página para localizar la información exacta queestá buscando.

Este caso es completamente distinto del índice utilizado en un listín telefónico en el que los datos seclasifican en orden alfabético. La búsqueda de un nombre común, como "López", puede llevar a variaspáginas consecutivas, pero, en este caso, siempre estarán ordenadas.

En el caso de una base de datos, al principio los datos de la tabla aparecen ordenados como un listíntelefónico y, con el tiempo, terminan pareciéndose más al índice de un gran libro.

Por este motivo, de vez en cuando debe reclasificar los datos para volver a crear el orden de tipo listíntelefónico. Llegados a este punto reorganizar o regenerar los índices es fundamental. Con el tiempo labase de datos se fragmenta cada vez más, especialmente si gestiona un gran entorno en el que cadadía se registran miles de eventos.

Configurar una tarea de mantenimiento SQL para reorganizar y regenerar automáticamente los índiceses esencial para mantener el rendimiento óptimo del servidor de McAfee ePO. Puede incluir lareindexación como parte de su planificación de creación de copia de seguridad habitual, con el fin decombinarlo todo en una sola tarea.

Al configurar la tarea, no seleccione la opción de reducción del tamaño de la base de datos. Es unaconfusión habitual de muchos administradores al configurar crear la tarea de mantenimiento.

La desventaja de utilizar la tarea de mantenimiento SQL es que provoca la regeneración, oreorganización, de todos los índices, independientemente del nivel de fragmentación de las tablas.Para reducir al mínimo el tiempo dedicado a la regeneración y reorganización de una base de datos de

Mantenimiento de las bases de datos de ePolicy OrchestratorDesfragmentación de los datos de las tablas A


producción de gran tamaño, piense en configurar una tarea agente de servidor SQL que ejecute unasecuencia de comandos SQL personalizada para reorganizar o regenerar los índices de maneraselectiva según el nivel de fragmentación de estos.

Para determinar el nivel de fragmentación de un índice, puede consultar la vista de administracióndinámica (DMV) sys.dm_db_index_physical_stats. Existe información de mantenimiento de bases dedatos SQL Server online que proporciona ejemplos de secuencias de comandos SQL que se puedenutilizar para regenerar o reorganizar los índices de manera selectiva en función del nivel defragmentación. Consulte el ejemplo D de sys.dm_db_index_physical_stats (Transact-SQL), en labiblioteca Microsoft Library, para obtener más información.

Una regla habitual para determinar si se deben reorganizar o regenerar los datos de la tabla, según lafragmentación, es:

• Menos del 30 %: reorganizar los datos de la tabla.

• Más del 30 %: regenerar los datos de la tabla.

La reorganización del índice se lleva a cabo online (lo que quiere decir que la tabla está disponible paraconsultas mientras se realiza el proceso) y es recomendable. En el caso de las tablas que están muyfragmentadas, la regeneración puede ser la mejor opción, pero debe ejecutarse offline a menos que seutilice SQL Server Enterprise Edition.

Para obtener más información, consulte Reorganizing and Rebuilding Indexes (Reorganizar y volver agenerar índices) en la Biblioteca online de Microsoft.

Creación de un plan de mantenimiento SQL Para generar automáticamente una copia de seguridad de la base de datos de ePolicy Orchestrator,cree un plan de mantenimiento de base de datos SQL mediante, por ejemplo, SQL ServerManagement Studio.

Debe utilizar la función Instantánea de recuperación ante desastres de ePolicy Orchestrator paraguardar periódicamente su configuración de ePolicy Orchestrator, extensiones, claves y otroscomponentes en los registros de esta función en la base de datos SQL. Los registros de Instantánea derecuperación ante desastres, junto con las copias de seguridad regulares de su base de datos, lepermiten recuperarse rápidamente si el hardware que alberga su servidor de McAfee ePO sufre un fallo.

Procedimiento1 Cree un nuevo plan de mantenimiento. Consulte la información de Microsoft en:

• Cómo iniciar el Asistente para planes de mantenimiento (SQL Server Management Studio)

• Crear un plan de mantenimiento

Se inicia el Asistente para planes de mantenimiento.

2 Escriba un nombre para el plan de mantenimiento, por ejemplo, Planes de mantenimiento de labase de datos de ePO.

3 Configure un programa para el plan de mantenimiento. Planifique la tarea para que se ejecute ahoras de menor actividad. Por ejemplo, puede configurar una tarea recurrente para que se ejecutetodos los sábados a las 23 horas, sin fecha final.

A Mantenimiento de las bases de datos de ePolicy OrchestratorCreación de un plan de mantenimiento SQL


http://msdn.microsoft.com/en-us/library/ms188917.aspx

http://technet.microsoft.com/en-us/library/ms189858.aspx

http://msdn.microsoft.com/en-us/library/ms191002(v=sql.105).aspx

http://msdn.microsoft.com/en-us/library/ms189953.aspx

4 Defina las siguientes tareas de mantenimiento:

• Comprobar la integridad de la base de datos

• Volver a generar índice

• Copia de seguridad de la base de datos (completa)

5 Defina el orden de las tareas de mantenimiento de la forma siguiente:

• Comprobar la integridad de la base de datos

• Copia de seguridad de la base de datos (completa)

• Volver a generar índice

El orden de ejecución de estas tareas es intercambiable. McAfee recomienda que la copia deseguridad de la base de datos se realice antes del proceso de regeneración del índice. De estaforma, se garantiza que haya una copia de seguridad de la base de datos que funcione en caso deproblemas durante el proceso de regeneración.

6 Defina la tarea Comprobar la integridad de la base de datos para incluir:

• El nombre de la base de datos de ePolicy Orchestrator

• Incluir índices

7 Defina la tarea Copia de seguridad de la base de datos (completa) para incluir:


• Ubicación de copia de seguridad

8 Defina la tarea Volver a generar índice para incluir:


• Objeto: tablas y vistas

• Cambiar el porcentaje de espacio libre por página al 10 %:

Una tarea Volver a generar índice provocaría la actualización de las estadísticas como parte delproceso (de hecho con un análisis completo, por lo que tras la regeneración del índice, no esnecesario ejecutar la tarea Actualizar estadísticas.

9 Defina Seleccionar opciones de informe para incluir:

• Escribir informe en un archivo de texto

• Buscar ubicación de nueva carpeta

De esta forma se crea un plan de mantenimiento para generar de forma automática una copia deseguridad de su base de datos de ePolicy Orchestrator.

Mantenimiento de las bases de datos de ePolicy OrchestratorCreación de un plan de mantenimiento SQL A


Cambio de la información de conexión de SQL ServerPuede editar los datos de configuración de la conexión de SQL Server en una página web especial deePolicy Orchestrator.

De esta forma, podrá modificar la información de la cuenta de usuario en ePolicy Orchestrator cuandose realizan cambios en los modos de autenticación de SQL Server en SQL Server Enterprise Manager oen SQL Server Management Studio. Realice este procedimiento si necesita usar la cuenta de unusuario SQL con privilegios especiales para añadir seguridad a la red.

Si se cambia la configuración de base de datos para que este servidor de McAfee ePO utilice una basede datos de McAfee ePO que no corresponde exactamente, es posible que se eliminen las extensionesde productos y se pierdan todos los datos asociados. McAfee recomienda realizar este procedimientoúnicamente para cambiar la configuración de la base de datos existente.

Puede utilizar la página web https://<nombreservidor>:<puerto>/core/config para ajustar lainformación de archivo de configuración de base de datos, que se modificaba antes con el archivoCfgnaims.exe.

Conceptos de interés sobre esta página:

• Autenticación: si la base de datos está disponible, esta página utiliza la autenticación de usuario deMcAfee ePO normal y solo puede acceder a ella un administrador. Si no está disponible, se necesitauna conexión desde el sistema que ejecuta SQL Server.

• Para que los cambios en la configuración surtan efecto, es necesario reiniciar el servidor de McAfeeePO.

• Como último recurso, puede editar el archivo de configuración de forma manual (<directorio deinstalación de ePO>server\conf\orion\db.properties), especificar la contraseña en textoplano, iniciar el servidor y, a continuación, utilizar la página de configuración para volver a editar elarchivo de configuración de base de datos, que almacenará la versión cifrada de la frase decontraseña.


1 Inicie una sesión en ePolicy Orchestrator con las credenciales de administrador.

2 Escriba la siguiente URL en la barra de dirección del navegador.

https://<nombre servidor>:<puerto>/core/config

3 En la página Configurar base de datos, cambie las credenciales o la información de SQL Server segúnsus preferencias.

Las demás opciones de configuración de esta página incluyen:

• Nombre de host o dirección IP: indica el nombre de host o la dirección IP del servidor de base de datosutilizado.

• Instancia del servidor de base de datos: indica el nombre de instancia del servidor si éste está en unclúster.

• Puerto del servidor de base de datos: indica el puerto del servidor utilizado para las comunicacionesentre el servidor de McAfee ePO y el servidor de base de datos SQL.

• Nombre de la base de datos: indica el nombre concreto de la base de datos utilizada en el servidorSQL Server.

• Comunicación SSL con el servidor de base de datos: indica si el puerto de conexión no utiliza nunca,intenta utilizar o utiliza siempre SSL.

A Mantenimiento de las bases de datos de ePolicy OrchestratorCambio de la información de conexión de SQL Server


Haga clic en Probar conexión para confirmar la conexión entre el servidor de McAfee ePO y el servidorde base de datos SQL.

4 Haga clic en Aplicar cuando haya terminado.

5 Para aplicar los cambios, reinicie el sistema o los servicios de ePolicy Orchestrator.

Mantenimiento de las bases de datos de ePolicy OrchestratorCambio de la información de conexión de SQL Server A


A Mantenimiento de las bases de datos de ePolicy OrchestratorCambio de la información de conexión de SQL Server


B Apertura de una conexión de consolaremota

Con su nombre de servidor de McAfee ePO, o su dirección IP, y el número de puerto de comunicacióndel servidor se puede conectar y configurar ePolicy Orchestrator desde cualquier navegador deInternet admitido.

Cuando se conecta a ePolicy Orchestrator mediante una conexión remota, no están permitidos algunoscambios de configuración. Por ejemplo, no se pueden utilizar ejecutables registrados desde unaconexión remota.

Para configurar una conexión remota, debe determinar el nombre, o la dirección IP, de su servidor deMcAfee ePO, así como el número del puerto de comunicación del servidor. Al abrir ePolicy Orchestratormientras haya iniciado una sesión en su servidor de McAfee ePO físico, observe la dirección queaparezca en el navegador. Debe ser similar a la siguiente:

https://win-2k8-epo51:8443/core/orionSplashScreen.do

En este ejemplo de URL:

• win-2k8-epo51 es el nombre del servidor de McAfee ePO

• :8443: es el número de puerto de comunicación entre la consola y el servidor de aplicacionesutilizado por ePolicy Orchestrator.

El valor predeterminado es el puerto "8443" a menos que lo haya cambiado.

Procedimiento1 Abra cualquier navegador de Internet compatible con ePolicy Orchestrator. Consulte la Guía de

instalación del software McAfee ePolicy Orchestrator para ver una lista de los navegadorescompatibles.

2 En la barra de direcciones del navegador, escriba una de las siguientes cadenas y haga clic en Intro:

https://<nombre servidor>:8443

https://<direcciónip_del_servidor>:8443

Por ejemplo, https://win-2k8-epo51:8443

3 Inicie una sesión en ePolicy Orchestrator y ha establecido una conexión con la consola remota.

Consulte la Guía de scripting de ePolicy Orchestrator para ver ejemplos de comandos que puedeejecutar desde una conexión mediante la consola remota.


B Apertura de una conexión de consola remota


C Preguntas más frecuentes

Aquí se recopilan las respuestas a las preguntas más frecuentes sobre el software ePolicyOrchestrator.

Contenido Preguntas sobre administración de directivas Preguntas sobre eventos y respuestas

Preguntas sobre administración de directivas

¿Qué es una directiva?

Una directiva es un subconjunto personalizado de valores de configuración de un producto quecorresponden a una categoría determinada. Puede crear, modificar o eliminar las directivas connombre de cada categoría según sus necesidades.

¿Qué son las directivas McAfee Default y My Default?

Tras la instalación, cada categoría de directivas contiene al menos dos directivas. Estas dos directivasse llaman McAfee Default y My Default. Estas son las únicas directivas presentes en la primerainstalación. Inicialmente, los valores de configuración de ambas son los mismos.

Las directivas predeterminadas McAfee Default no se pueden editar ni eliminar, ni se puede cambiar sunombre. Las directivas My Default, en cambio, sí se pueden editar, eliminar y cambiar de nombre.

¿Qué ocurre con los grupos y sistemas descendientes del grupo al que he asignadouna nueva directiva?

Todos los grupos y sistemas descendientes definidos para heredar la categoría de directivas específicaheredan la directiva aplicada al grupo ascendiente.

¿En qué medida se ven afectados los grupos y sistemas a los que se aplica unadirectiva cuando esta se modifica en el Catálogo de directivas?

Todos los grupos y sistemas a los que se aplica una directiva recibirán las modificaciones que seefectúen en la misma, en la próxima comunicación entre el agente y el servidor. A continuación, ladirectiva se implementa en cada intervalo de implementación de directivas.

He asignado una nueva directiva, pero no se está implementando en los sistemasgestionados. ¿Por qué?

Las nuevas asignaciones de directivas no se implementan hasta la próxima comunicación entre elagente y el servidor.


He pegado asignaciones de directivas de un grupo o sistema (origen) en otro(destino), pero las directivas asignadas a la ubicación de destino no coinciden conlas de la ubicación de origen. ¿Por qué?

Cuando copia y pega asignaciones de directivas, solamente se pegan las asignaciones reales. Si laubicación de origen había heredado una directiva que se ha seleccionado para copiarse, entonces loque se pega en la ubicación de destino es la característica de herencia. La ubicación de destino heredala directiva (para esa categoría de directivas concreta) de su propio ascendiente, que puede serdistinta de la que heredó la ubicación de origen.

Preguntas sobre eventos y respuestas

Si configuro una regla de respuesta para detecciones de virus, ¿tengo que recibirun mensaje de notificación para cada evento que se reciba durante un brote?

No. Puede configurar las reglas de forma que solo se envíe una notificación para un número específicode eventos en un período de tiempo concreto, o como máximo una vez en un período de tiempodeterminado.

¿Puedo crear una regla que genere notificaciones para varios destinatarios?

Sí. Puede introducir varias direcciones de correo electrónico de destinatarios en el asistente Generadorde respuestas.

¿Puedo crear una regla que genere distintos tipos de notificaciones?

Sí. Las notificaciones de ePolicy Orchestrator admiten cualquier combinación de los siguientes destinosde notificación para cada regla:

• Correo electrónico (incluido SMTP estándar, SMS y texto de buscapersonas)

• Servidores SNMP (mediante capturas SNMP)

• Cualquier herramienta externa instalada en el servidor de McAfee ePO

• Problemas

• Tareas servidor planificadas

C Preguntas más frecuentesPreguntas sobre eventos y respuestas


Índice

Aacerca de esta guía 11

activar la función de retransmisión del agente 143

Active Directoryaplicar conjuntos de permisos 42

configurar autorización de Windows 44

contenedores, asignar a grupos del árbol de sistemas 118

estrategias de implementación 42

inicio de sesión de usuario 41

sincronización solo de sistemas 107

Actual, ramaincorporar paquetes de actualización 213

actualizaciónarchivos DAT y motor 194

actualización globalactivar 204

descripción del proceso 203

requisitos 203

actualizacionesconsideraciones para crear tareas 198

global, proceso 203

incorporar manualmente 212

paquetes de despliegue 194

paquetes y dependencias 192

planificar una tarea de actualización 198

seguridad y firmas de los paquetes 192

sitios de origen y 61

tareas cliente 198

actualizaciones de productosdescripción del proceso 194

desplegar 194

incorporar paquetes manualmente 212


sitios de origen y 61

tipos de paquetes admitidos 192

actualizaciones globalescontenido 71

actualizarautomáticamente mediante actualización global 204

descripción del proceso 194

planificar una tarea de actualización 198

tareas de despliegue 192

administración de directivascrear consultas 183

administración de directivasusar grupos 102

administración de la seguridad 99

administración de problemas 264

administración en la nubecómo funciona el software 17

Administrador de software 151

acerca de 151

compatibilidad de productos 153

contenido 151

eliminar extensiones 152

eliminar paquetes 152

incorporar extensiones 152

incorporar paquetes 152

software con licencia 152

software de evaluación 152

administradoresacerca de 56

agrupar agentes 98

crear grupos 95, 102

gestionar cuentas de usuarios 40

mover agentes entre servidores 96

permisos 56

prioridad 92

sitios de origen, configurar 66

administradores de agentesacerca de 91

asignar agentes 93

configurar y administrar 93

cuándo no utilizar 28

cuándo utilizar 28

escalabilidad 28

funcionamiento 91

mover agentes entre servidores 96

prioridad de asignación 97

prioridad en el archivo sitelist 92

varios 91

administradores globalespermisos necesarios para Recuperación ante desastres 288

agenteagrupar 96

agrupar agentes por reglas de asignación 96

configurar directivas para utilizar repositorios 71

configurar proxy para 70


agente (continuación)consultas proporcionadas por 147

convertir en SuperAgent 138

despliegue 164

función de retransmisión 141

función de retransmisión, activar 143

función de retransmisión, desactivar 142

GUID y ubicación del árbol de sistemas 110

llamadas de activación 136

mantenimiento 133

McAfee Agent, componentes de ePolicy Orchestrator 16

primera comunicación con el servidor 110

respuestas y reenvío de eventos 218

agentes inactivos 145

agregación, véase notificaciones agregar comentarios a problemas 266

agrupar, véase notificaciones ancho de banda

consideraciones para reenviar eventos 222

consideraciones para tareas de extracción 205

repositorios distribuidos y 61

y tareas de replicación 206

ancho de banda de red (Véase árbol de sistemas, organización)104

Anterior, ramaguardar versiones de paquetes 212

mover paquetes DAT y del motor a 212

Aplicar etiqueta, acción 125

árbol de sistemasagrupar agentes 98

asignar directivas a un grupo 174

clasificación basada en criterios 107

creación, automatizada 104

grupos y llamadas de activación manuales 136

llenar grupos 111

requisitos de acceso 103

árbol de sistemas, organizaciónancho de banda de red 104

archivos de texto, importar sistemas y grupos 115

asignar grupos a contenedores de Active Directory 118

consideraciones de planificación 103

crear grupos 111

entradas duplicadas 120

importar de contenedores de Active Directory 118

importar sistemas y grupos 113, 115

límites de la red 104

mover sistemas a grupos manualmente 123

sistemas operativos 105

utilizar subgrupos 120

árbol de sistemas, sincronizarcon la estructura de Active Directory 118

planificar 122

archivo CRL, actualización en la autenticación basada encertificados 48

archivos DATVéase también archivos de definición de detecciones

eliminar del repositorio 212

evaluar 200

ramas del repositorio 213

archivos DAT, actualizarconsideraciones para crear tareas 198

desde sitios de origen 66

despliegue 194

en el repositorio principal 64


incorporar versiones 200

planificar una tarea 198

tarea diaria 198

archivos de definición de detecciones 15

archivos de extensionesinstalar 211

archivos de lista de repositoriosacerca de 65

agregar repositorio distribuido a 75

exportar a 80, 81

importar desde 81, 82

prioridad de administradores de agentes 92

SiteList.xml, usos 65

uso de 80

archivos de registroregistro de tareas servidor 283

ASCI (véase intervalo de comunicación agente-servidor) 134

asignación de administradoresadministrar 94

editar prioridad 94, 97

ver resumen 94

asignación de directivasbloquear 169

Catálogo de directivas 169

copiar y pegar 176–178

grupo, asignar a 174

implementación desactivada, ver 186

sistemas, asignar a 175

ver 185–187

asignación de problemas con ficha a usuarios 268

asignar problemas 266

autenticaciónconfigurar para Windows 44

autenticación con certificadosactualizar el archivo CRL 48

con comandos OpenSSL 55

convertir archivo PVK a PEM 55

creación de un certificado autofirmado 52

firmado por una autoridad de certificación independiente 52

modificar la autenticación de certificados del servidor 47

autenticación de Windowsactivar 43

estrategias 42

Índice


autenticación mediante certificados de clientesactivar 47

configurar ePolicy Orchestrator 46

configurar usuarios 48

desactivar 47

estrategias de uso 46

introducción 45

solucionar problemas 49

autenticación, configurar para Windows 41

autorizaciónestrategias 42

Bbase de datos

restaurar SQL 296

base de datos SQLdescripción de copia de seguridad 293

descripción general de recuperación 294

herramientas de administración 303

plan de mantenimiento para copias de seguridad de basesde datos SQL 306

planificación de instantánea 296

proceso de copia de seguridad y restauración 300

Recuperación ante desastres 288

restaurar la base de datos 296

tarea de mantenimiento de SQL para desfragmentar losdatos de las tablas 305

bases de datosconsultas en varios servidores 247

consultas y recuperar datos 238

descripción de copia de seguridad 293


desfragmentación de los datos de las tablas 305

editar información 308

herramientas de administración 303

mantener 304

plan de mantenimiento para copias de seguridad de basesde datos SQL 306

planificación de instantánea 296


puertos y comunicación 20


recuperar 304

búsqueda rápida 22

Búsqueda rápida de sistemas, monitor predeterminado 234

CCambiar rama, acción 200

Catálogo de directivaspágina, ver 167

uso de 170

Catálogo de etiquetas 125

certificado de seguridadautoridad de certificación (CA) 50

creación de un certificado autofirmado 52

certificado de seguridadinstalar 51, 52

certificado del servidoreliminar 47

sustituir 50

certificados SSLacerca de 50

clasificación del árbol de sistemasactivar 117

configuración de servidores y sistemas 20, 109

configuración predeterminada 110

criterios basados en etiquetas 110

dirección IP 109

durante la comunicación agente-servidor 109

ordenar los sistemas una vez 109

ordenar subgrupos 110

clave de licencia 38

claves de seguridadconfiguración del servidor 20

comodín, grupos 110

comparar directivas 188

comparar tareas cliente 202

compartir directivasasignar 188

designar 189

mediante servidores registrados 189

mediante tareas servidor 188, 189

registrar servidor 188

varios servidores de McAfee ePO 189

componentesePolicy Orchestrator, acerca de 16


repositorios, acerca de 61

servidor de McAfee ePO, acerca de 16

Comprobar integridad de IP, acción 109

comunicación agente-servidoracerca de 133

administrar 148

clasificación del árbol de sistemas 109

conexiones LAN y límites geográficos 104

conexiones VPN y límites geográficos 104

conexiones WAN y límites geográficos 104

configuracióndescripción 31

funciones esenciales 34

configuración automática 33

Configuración automática de productosdescripción general 35

configuración de proxyagente 70

configuración del servidor 38

configuración del servidoractualización global 204

actualizaciones globales 71

categorías predeterminadas 20

Índice


configuración del servidor (continuación)certificados SSL 50

configuración de proxy 38

Internet Explorer 70

notificaciones 217

proxy y repositorios principales 61

puertos y comunicación 20


tipos 20

configurar 25

conformidadcrear consultas 248

generar eventos 248

conjuntos de permisos 88

administrar 57

aplicar a grupos de Active Directory 42

árbol de sistemas 103

asignar a grupos de Active Directory 41

asignar a informes 256

ejemplo 56

exportar e importar 57, 59

interacción con usuarios y grupos 56

uso 57

conmutación por recuperación del servidor original 294

consola remota, conexión 311

consultas 88

acciones sobre resultados 238

acerca de 238

agente 147

cambiar grupos 245

configurar 240

crear consultas de conformidad 248

datos acumulados, de varios servidores 247

ejecutar existente 243

exportados como informes 238

exportar a otros formatos 246

filtros 239

formatos de informes 238

grupo de consultas personal 244

permisos 237

personalizadas, administrar 241

planificadas 243

resultados como monitores de panel 238

resultados como tablas 239

subacción 243

tipo de resultado 247

tipos de gráficos 239

usar en una tarea servidor 248

uso 240

utilizar resultados para excluir sistemas de las etiquetas128

contactosrespuestas y 225

contraseñascambiar en cuentas de usuario 40

convenciones tipográficas e iconos utilizados en esta guía 11

convertir agentes en SuperAgents 138

crear fichas 268

crear problemas 264

credencialesguardar en caché para el despliegue 149

modificar registros de base de datos 261

credenciales de despliegue de agentes 149

criterios de clasificaciónbasados en direcciones IP 116

basados en etiquetas 105, 110, 116

configurar 116

dirección IP 109

grupos, automatizada 105

ordenar sistemas en grupos 107

para grupos 116

criterios de clasificación basados en etiquetas 105, 110

cuentastipos de usuarios 39

cuentas de usuarioadministrar 40

cambiar contraseñas 40

tipos 39

Ddesactivar la función de retransmisión del agente 142

desplazamiento mediante el menú 19

despliegueVéase también despliegue de productos

actualización global 204

agente 164

de producto y actualización, primer 195


instalar productos 195, 196

paquetes admitidos 192

productos y actualizaciones 194

seguridad del paquete 192

tareas 192

tareas, para sistemas gestionados 195

despliegue de productoscomparación con la tarea cliente de despliegue 157

crear 161

métodos 157

supervisión y modificación 160, 163

uso con configuración automática 33

dirección IPcomo criterio de agrupación 104

comprobar coincidencia de direcciones IP 109

criterios de clasificación 111, 116

intervalo, como criterio de clasificación 116

IPv6 28

máscara de subred, como criterio de clasificación 116

ordenar 109

Índice


directivas 88

acerca de 167

administración en la página Catálogo de directivas 171

asignar y administrar 172

cambiar propietario 172

categorías 167

cómo se aplican a los sistemas 169

comparar 188

compartir entre servidores de McAfee ePO 173

comprobar cambios 147

configuración, ver 185

configurar 172

controlar en la página Catálogo de directivas 170

herencia 169

herencia del grupo, ver 187

herencia interrumpida, restablecer 187

importar y exportar 167, 173, 174

preguntas más frecuentes 313

propiedad 169, 186

responder a eventos 144

respuesta automática 144

usar etiquetas para la asignación 181

uso con el Catálogo de directivas 170

ver 167, 184

directivas basadas en sistemasacerca de 181

criterios 181

directivas basadas en usuarioacerca de 180

criterios 180

directivas implementadascrear consultas 183

Directorio (Véase árbol de sistemas) 118

documentaciónconvenciones tipográficas e iconos 11

destinatarios de esta guía 11

específica de producto, buscar 12

dominios NTactualizar grupos sincronizados 122

importar a grupos creados manualmente 120

sincronización 107, 120

Eeditar problemas 266

editar registros de servidores de base de datos 261

Ejecutar criterios de la etiqueta, acción 125

elementos de informesconfigurar gráficos 254

configurar imágenes 253

configurar tablas 254

configurar texto 253

eliminar 255

reordenar 256

eliminar problemas 266

eliminar registros de servidores de base de datos 261

entradas duplicadas en el árbol de sistemas 120

ePolicy Orchestratoragregar a sitios de confianza 260

cómo funciona el software 17

consola remota, conexión 311

funciones esenciales 35

iniciar y cerrar sesión 19

introducción 13

escalabilidadacerca de 27

horizontal 27

planificación 27

uso de administradores de agentes 28

uso de varios servidores 27

vertical 27

etiquetas 88

aplicación manual 129

aplicar 130, 131

basadas en criterios 107

clasificación basada en criterios 116

crear etiqueta con el asistente Generador de etiquetas 125

crear, eliminar y modificar subgrupos 127

criterios de clasificación de grupos 105

editar, eliminar, exportar y mover 126

excluir sistemas del etiquetado automático 128

etiquetas basadas en criteriosaplicar 130, 131

ordenar 116

etiquetas, subgruposcrear, eliminar y modificar 127

Evaluación, ramauso para nuevos archivos DAT y del motor 200

eventosde notificación, intervalo 223

determinar cuáles se reenvían 222

eventos de conformidad 248

filtrado, configuración del servidor 20

reenviar y notificaciones 219

eventos de directivasresponder a 144

exportaracerca de 87

asignaciones de directivas 88

conjuntos de permisos 57, 59

consultas 88

directivas 88

etiquetas 88

informes 258

objetos tarea cliente 88

paneles 88

procedimientos 88

repositorios 88

respuestas 88, 221

sistemas 88

Índice


exportar sistemas 114

Ffichas

acerca de 263, 268

agregar a problemas 272

asociaciones con problemas (véase problemas con ficha)268

cerrar 268

crear 263, 268

gestionar comentarios 269

instalar extensiones de servidor 274

integraciones con servidores 269

reabrir 269

sincronizar 269, 272

sincronizar de forma planificada 273

uso 272

fila de tabla, seleccionar casillas de verificación 23

filtrosdefinir para reglas de respuesta 224

Filtrado de eventos, configuración 20

lista 22

para el registro de tareas servidor 283

resultados de la consulta 239

frase de contraseña de cifrado de almacén de clavesdefinir 301


función de retransmisión 141, 142

función de retransmisión, activar 143

función de retransmisión, desactivar 142

funciones de ePolicy Orchestratorcomponentes 16

GGenerador de consultas

acerca de 239

crear consultas personalizadas 237, 241

tipos de resultados 239

Generador de etiquetas, asistente 125

Generador de informescrear informes personalizados 237

Generador de respuestas, asistente 225

Generador de tareas servidor, asistente 131

gestionar directivasuso de tareas cliente 201

globales, administradores, véase administradores gráficos (Véase consultas) 239

Grupo Recolector 102

gruposactualizar manualmente con dominios NT 122

basados en criterios 110

clasificación, automatizada 105

comodín 110

configurar criterios para clasificar 116

gruposcontrol de acceso 56

crear manualmente 112

criterios de clasificación 116

definición 102

directivas, herencia de 103

implementar directivas para un producto 176

importar de dominios NT 120

mover sistemas manualmente 123

pegar asignaciones de directivas a 177

sistemas operativos y 105

utilizar la dirección IP para definir 104

ver asignación de directivas 186

grupos de administradoresacerca de 92

crear 95

editar la configuración 95

eliminar 95

Hherencia

definición 103

interrumpida, restablecer 187

ver para directivas 187

y configuración de directivas 169

herencia interrumpidacrear consultas 183

Herramienta de migración de datosutilizada en la verificación de compatibilidad de productos

153

Hewlett-Packard Openview Service Desk 263, 269

Iidentificador exclusivo global (GUID) 110

implementación (Véase implementación de directivas) 176

implementación de directivasactivar y desactivar 176

cuándo se implementan las directivas 167

para un producto 176

ver asignaciones en las que está desactivada 186

importarasignaciones de directivas 88

conceptos básicos 88

conjuntos de permisos 57, 59

consultas 88

directivas 88

etiquetas 88

informes 258

objetos tarea cliente 88

paneles 88

procedimientos 88

repositorios 88

respuestas 88, 221

sistemas 88

Índice


informes 227

acerca de 249

agregar a un grupo 256

agregar elementos 252

configurar 240

configurar elementos de gráficos 254

configurar elementos de imagen 253

configurar elementos de tablas 254

configurar elementos de texto 253

configurar plantilla y ubicación para 258

crear 237, 251

editar existentes 251

ejecutar 257

ejecutar con una tarea servidor 257

eliminar 259

eliminar elementos 255

encabezados y pies de página 255

estructura y tamaño de página 249

exportar e importar 258

formatos 238

planificar 257

reordenar elementos 256

resultados de consultas exportados 238

uso 250

ver resultado 256

inicio de sesión, mensajes 40

instalaciónplanificación 27

instalación de productosconfigurar tareas de despliegue 195, 196

instalar archivos de extensiones 211

instantáneaconfigurar 296

crear 297

crear desde el Panel 298

crear desde la API web 298

descripción 293

detalles del registro de tareas servidor 297

monitor del panel 288

parte de Recuperación ante desastres 287

planificación predeterminada 296

registros guardados en la base de datos 293

interfazbarra de favoritos 19

menú 19

navegación 19

interfaz,Menú 20

Internet Explorerconfiguración de proxy 70

descargas bloqueadas 260

intervaloentre notificaciones 223

intervalo de eventos de notificación 223

Jjerarquía de SuperAgents 140

KKit de recursos de Microsoft Windows 115

Llímites (Véase árbol de sistemas, organización) 104

límites geográficos, ventajas 104

lista de compatibilidad de productosconfigurar origen de descarga 155

descripción 153

listasbúsqueda 22

filtrar 22

llamadas de activacióna grupos del árbol de sistemas 136

acerca de 135

manual 136

SuperAgents y 136, 137

tareas 135

MMcAfee Agent

estadísticas 143

propiedades, ver 147

McAfee Agent (véase agente) 16

McAfee Default, directivapreguntas más frecuentes 313

McAfee Product Improvement Programconfigurar 209

eliminación del programa 209

McAfee ServicePortal, acceso 12

mensajeinicio de sesión personalizado 40

mensajes de inicio de sesión personalizados 40

Menúnavegación por la interfaz 20

Mi organización, grupo del árbol de sistemas 101

Microsoft Internet Information Services (IIS) 63

modo de evaluación 38

monitoresconfigurar 232

monitores de panelesconfigurar 232

mover y redimensionar 233

uso 232

monitores, Recuperación ante desastresestado de instantánea 288

motoreliminar del repositorio 212

ramas del repositorio 213

motor, actualizaciónincorporar manualmente 213

Índice


motor, actualización (continuación)paquetes de despliegue 194

motor, actualizardesde sitios de origen 66

en el repositorio principal 64

planificar una tarea 198

My Default, directivapreguntas más frecuentes 313

Nnavegación

barra de navegación 20

mediante el menú 19, 20

Menú 20

notificacionesasignar permisos 220

destinatarios 216

funcionamiento 216

reenviar eventos 219

regulación, agregación y agrupación 216

servidores SNMP 86, 221

Nuevo grupo, asistentecrear nuevos grupos 244

OOrdenar ahora, acción 107

Ppaneles 88

administrar 230

conceder permisos 230

configuración de predeterminados 236

configurar 229

configurar monitores 232

configurar para informes exportados 258

crear instantáneas 298

importar y exportar 231

introducción 229

monitores predeterminados 234

mover y redimensionar monitores 233

uso 229

paquetesconfigurar tarea de despliegue 196


mover entre ramas del repositorio 213

seguridad de 192

paquetes de despliegue de productosactualizaciones 192

incorporar 212


paquetes admitidos 192


paquetes de idioma (Véase agente) 104

paquetes seleccionadosdesactivar la replicación 78

evitar la replicación 77

permisosadministrador 56

asignar para notificaciones 220

asignar para respuestas 220

para paneles 230

sobre consultas 237

plan de mantenimiento, servidores SQL 303

planificaraplicar etiquetas basadas en criterios 131

Instantánea para recuperación ante desastres 296

tareas servidor con sintaxis cron 207

planificar tarea servidorpara compartir directivas 189

prácticas recomendadasduplicar directivas antes de asignarlas 169


intervalo de comunicación agente-servidor 133

problemasacerca de 263

administrar 264

agregar comentarios 266

agregar fichas a 272

asignar 266

asociaciones con fichas (véase problemas con ficha) 268

crear 264

crear automáticamente a partir de respuestas 265

editar 266

eliminar 266

uso 264

ver detalles 266

problemas con fichaacerca de 268

asignar a usuarios 268

cerrar 268

crear 263

gestionar comentarios 269

reabrir 269

sincronizar 269, 272

sincronizar de forma planificada 273

problemas, purgarproblemas cerrados 267

problemas cerrados de forma planificada 267

proceso de copia de seguridad y restauraciónpara la base de datos SQL 300

plan de mantenimiento para bases de datos SQL 306

Product Improvement Programconfigurar 209

eliminación del programa 209

propiedadescomprobar cambios de directivas 147

McAfee Agent, ver desde la consola 147

producto 146

Índice


propiedades (continuación)sistema 146

propiedades de productos 146

proxy, configuraciónconfigurar para el repositorio principal 69

proyectos de despliegue de productosacerca de 157

Prueba de clasificación, acción 107

puerto de comunicación con el agente 149

puertoscomunicación con el agente 149


configuración del servidor y comunicación 20

purgar problemas cerrados 267

manualmente 267

Rrama Actual

definición 64

rama Anteriordefinición 64

rama Evaluacióndefinición 64

ramasActual 213

Anterior 212

Cambiar rama, acción 200

eliminar paquetes DAT y del motor 212

Evaluación 200

mover manualmente paquetes entre 213

tipos, y repositorios 64

recomendacionesárbol de sistemas, crear 111

bloquear asignación de directivas 169

despliegue de productos 192


recomendaciones de McAfeeárbol de sistemas, planificar 103

crear una tarea servidor Datos acumulados 247

desplegar agentes al importar dominios grandes 120

evaluar límites de la organización 104

fases para el Despliegue de productos 192

planificar tareas de replicación 206

uso de direcciones IP para la clasificación 104

utilizar actualización global 203

utilizar criterios de clasificación basados en etiquetas 105

Recomendaciones de McAfeeduplicar directivas antes de asignarlas 169

Recuperación ante desastrescomponentes 288


configurar instantáneas 296

descripción 293

frase de contraseña de cifrado de almacén de claves 288

Recuperación ante desastresinformación necesaria para 292

instantánea 287

qué es 287

tarea servidor 296

registrar servidores de base de datos 86

registro de auditoríaacerca de 281

purgar automáticamente 282

utilizado con Despliegue de productos 161

ver y purgar historial de acciones 281

registro de eventos de amenazasacerca de 284

ver y purgar 286

registro de tareas servidoracerca de 208

ver, filtrar y purgar tareas 283

reglasconfigurar contactos para respuestas 225

configurar para notificaciones, servidores SNMP 222

predeterminadas para notificaciones 217

reglas de asignaciónagentes y administradores 96

reglas de asignación de directivas 179

acerca de 179

basadas en sistema 179

basadas en usuario 179

crear 181

criterios de la regla 179

directivas basadas en sistemas 181

directivas basadas en usuario 180

editar prioridad 182

eliminar y editar 182

importar y exportar 182

prioridad 179

ver resumen 182

y directivas multinodo 179

reglas de notificaciónimportar archivos .MIB 222

predeterminadas 217

reglas de respuestacrear y editar 223

definir filtros para 224

definir umbrales 225

Descripción, página 224

regulación, véase notificaciones replicación

desactivar de paquetes seleccionados 78

evitar para paquetes seleccionados 77

repositorio principalactualizar mediante tareas de extracción 205

componentes de ePolicy Orchestrator 16


repositorios 88

concepto 61

Índice


repositorios 88 (continuación)crear repositorios SuperAgent 72

funcionamiento 66

importar desde archivo de lista de repositorios 81

no gestionados, copiar contenido en 79

organizar jerarquía de SuperAgents 140

principal, configuración de proxy 69

ramas 64, 200, 213

replicación y selección 206

sitio de origen 61

tipos 61

repositorios distribuidosacerca de 61, 63

activar uso compartido de carpetas 78

ancho de banda limitado y 61

añadir a ePolicy Orchestrator 75

carpeta, crear 75

cómo seleccionan los agentes 206

componentes de ePolicy Orchestrator 16

crear y configurar 74


eliminar 79

eliminar repositorios SuperAgent 74

no gestionado 63

no gestionados, copiar contenido en 79

replicar paquetes en repositorios SuperAgent 73

SuperAgent, procedimientos 72

tipos 63

repositorios distribuidos locales 79

repositorios en recursos compartidos UNCacerca de 63



editar 78

repositorios FTPacerca de 63



editar 78

repositorios HTTPacerca de 63



editar 78

repositorios no gestionados 63

repositorios principalesacerca de 61

comunicación con sitios de origen 69

configuración de proxy 69

usar tareas de replicación 206

repositorios SuperAgentacerca de 63

crear 72

eliminar 74

procedimientos 72

repositorios SuperAgentreplicar paquetes en 73

requisitos para actualización global 203

requisitos de acceso al árbol de sistemas 103

respuestas 88, 221

asignar permisos 220

configurar 218, 219, 225

configurar para crear automáticamente los problemas 265

contactos para 225

planificación 217

preguntas más frecuentes 314

reenviar eventos 218

reglas que activan 225

servidores SNMP 221

respuestas automáticas 144, 215

SService Desk

ejemplo de asociaciones (véanse los servidores de fichas)271

ServicePortal, buscar documentación del producto 12

servidoresampliación de hardware mediante Recuperación ante

desastres 287

base de datos 260

compartir directivas 173

compartir objetos entre ellos 87

configuración y control de comportamiento 20

cuándo utilizar más de uno 27

descripción de configuración 31

descripción de copia de seguridad 293


importar directivas desde 174

importar y exportar consultas 245

importar y exportar directivas 167


Recuperación ante desastres 288, 292

registrar otros servidores de McAfee ePO 83

registro de tareas servidor, acerca de 208

servidor de McAfee ePO, componentes 16

servidores LDAP, registrar 85

SNMP y las notificaciones 221

SNMP y respuestas 221

tipos admitidos 83

tipos que se pueden registrar 83

transferir sistemas 123

servidores de base de datosacerca del uso 260

editar registros 261

eliminar 261

registrar 86

uso 261

servidores de correo electrónicoconfigurar respuestas 219

Índice


servidores de fichasampliar 278

asociar 276

asociar fichas al estado del problema 277

asociar problemas a fichas 276

campos obligatorios para la asociación 270

configurar DNS para Service Desk 4.5 275

consideraciones al eliminar 270

ejemplos de asociaciones 270

ejemplos de asociaciones para Service Desk 271

Hewlett-Packard Openview Service Desk 269

instalar extensiones 274

instalar extensiones para 274

instalar extensiones para Service Desk 274

integración con 269

registrar 275

registrar y asociar 275

uso 273

servidores LDAPestrategias de autenticación 42

servidores LDAP, registrar 85

servidores registradosactivar capacidad para compartir directivas 189

admitidos por ePolicy Orchestrator 83

agregar servidores SNMP 86

registrar 83

servidores LDAP, agregar 85

servidores SNMPVéase también respuestas

registrar 86

servidores SQLconsideraciones para plan de mantenimiento 303

servidores SQL Server, véase bases de datos sincronización

Active Directory y 107

configuración predeterminada 110

desplegar agentes automáticamente 106

dominios NT 107

excluir contenedores de Active Directory 106

impedir entradas duplicadas 107

planificar 122

Sincronizar ahora, acción 105

sistemas y estructuras 106

solo sistemas con Active Directory 107

sincronización con Active Directorycon la estructura del árbol de sistemas 118

eliminar sistemas 105, 106

gestionar entradas duplicadas 105

límites y 104

Sincronizar ahora, acción 105

sistemas y estructura 106

tareas 105

tipos 106

sincronización de problemas con ficha 269

sincronización de problemas, tarea servidor 269

sincronizar dominios 104

sistemas 88

asignar directivas a 175

exportar del árbol de sistemas 114

implementar directivas para un producto 176

ordenar en grupos 118

pegar asignaciones de directivas a 178

propiedades 146

ver asignación de directivas 187

sistemas de fichasHewlett-Packard Openview Service Desk 263

sistemas gestionadosactualización global 61

administrar directivas en 167

asignación de directivas 187

comunicación agente-servidor 133

consultas de datos acumulados 247

instalar productos 196

ordenar, según criterios 107

tareas de despliegue para 195

tareas para 195

sistemas operativosagrupar 105

filtros para regla de respuesta 224

sistemas heredados (Windows 95, Windows 98) 105

sitelist, archivos 92

sitioscambiar entre los sitios de origen y de respaldo 68


eliminar de origen y de respaldo 69

respaldo 61, 66

sitios de origenacerca de 61

actualizaciones de productos y 61

cambiar a respaldo 68

configurar 66

crear 67


eliminar 69

importar desde SiteMgr.xml 82

respaldo 61

y paquetes de actualización 194

sitios de respaldoacerca de 61

cambiar a origen 68

configurar 66


eliminar 69

Software ePolicy Orchestratoracerca de 15

solucionar problemasautenticación mediante certificados de clientes 49

comprobar propiedades de McAfee Agent y productos 147

despliegue de productos 192

Índice


Soporte técnico, buscar información del producto 12

SPIPE 133

SQL Servereditar información 308

subgruposbasados en criterios 110

y administración de directivas 120

subredes, como criterio de agrupación 104

SuperAgentsacerca de 137

almacenamiento en caché 139

convertir agentes 138

jerarquía 140

llamadas de activación 136, 137

llamadas de activación a grupos del árbol de sistemas 136

repositorios distribuidos 63

Ttarea de extracción

actualizar repositorio principal 205

registro de tareas servidor 208

tarea servidorpara compartir directivas 188

tarea servidor Datos acumulados 247

tareas clienteacerca de 191

catálogo de tareas cliente 191

comparación con los proyectos de despliegue de productos157

comparar 202

compartir 191

crear 201

editar configuración 201

ejecutar inmediatamente 145

eliminar 202

objetos 191

uso de 201

tareas cliente, bajo demanda 145

tareas de extracciónconsideraciones de planificación 205

tareas de replicaciónactualizar repositorio principal 206

tareas de replicacióncompleta frente a incremental 206


tareas servidoracerca de 203

archivo de registro, purgar 283

consulta con una subacción 243

Datos acumulados 247

ejecutar informes 257

permitir sintaxis cron 207

planificar con sintaxis cron 207

planificar una consulta 243



Sincronizar dominios/Active Directory 105

sustituir certificado del servidor 50

tipos de servidoresadmitidos por ePolicy Orchestrator 83

Uusuarios

conjuntos de permisos y 56

utilidad NETDOM.EXE, crear un archivo de texto 115

utilidadesNETDOM.EXE, crear un archivo de texto 115

Vvarios servidores de McAfee ePO

compartir directivas 189

ver detalles de problemas 266

Vínculos de McAfee, monitor predeterminado 234

vista de administración dinámica (DMV) 305

WWindows

autenticación, configurar 41, 44

autorización, configurar 44

Índice


epo_510_pg_es-es

Documents