guía del cliente de symantec endpoint protection y...

Guía del cliente deSymantec™ EndpointProtection y SymantecNetwork Access Control

Guía del cliente de Symantec Endpoint Protection ySymantec Network Access Control

El software que se describe en este manual se suministra con acuerdo de licencia y solamentepuede utilizarse según los términos de dicho acuerdo.

Versión de la documentación 12.01.00.00

Aviso legalCopyright © 2011 Symantec Corporation. Todos los derechos reservados.

Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System,LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comercialesregistradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros países. Otrosnombres pueden ser marcas comerciales de sus respectivos propietarios.

Este producto de Symantec puede contener software de otros fabricantes para el cualSymantec está obligado a reconocer a estos terceros (“Programas de terceros”). Algunos delos programas de otros fabricantes están disponibles mediante licencias de código abiertoo software gratuito. El acuerdo de licencia que acompaña el software no altera ningúnderecho u obligación que pueda tener en virtud de esas licencias de código abierto o softwaregratuito. Para obtener más información sobre los Programas de otros fabricantes, consulteel apéndice de esta documentación Aviso legal sobre otros fabricantes, o bien el archivoLéame TPIP que acompaña este producto de Symantec.

El producto descrito en este documento se distribuye de acuerdo con licencias que restringensu uso, copia, distribución y descompilación o ingeniería inversa. Está prohibido reproducircualquier parte de este documento de cualquier forma y mediante cualquier medio sinautorización previa por escrito de Symantec Corporation y de los responsables de concedersus licencias, de haberlos.

LA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y NO SE OFRECE NINGÚN TIPO DEGARANTÍA EN RELACIÓN CON CONDICIONES EXPRESAS O IMPLÍCITAS,REPRESENTACIONES Y GARANTÍAS, INCLUSO GARANTÍAS IMPLÍCITAS DECOMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIÓN DEDERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIÓN CARECE DE VALIDEZLEGAL. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE DAÑOS INCIDENTALESO INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DEESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁSUJETA A CAMBIOS SIN PREVIO AVISO.

El Software y la Documentación con licencia se consideran programas informáticoscomerciales según lo definido en la sección 12.212 de la normativa de adquisiciones de laAdministración Federal de los EE. UU. (FAR) y conforme a derechos restringidos según lodefinido en la sección 52.227-19 de la FAR sobre derechos restringidos de los programasinformáticos comerciales, y en la sección 227.7202 de la normativa de adquisiciones de laDefensa de la Administración Federal de los EE. UU. (DFARS), sobre los derechos de losprogramas informáticos comerciales y la documentación de programas informáticos

comerciales, según corresponda, y cualquier normativa siguiente. Cualquier uso,modificación, versión de reproducción, rendimiento, visualización o divulgación del Softwarey de la Documentación con licencia por parte del Gobierno de los EE. UU. se realizaráexclusivamente de acuerdo con los términos de este acuerdo.

Symantec Corporation350 Ellis StreetMountain View, CA 94043

http://www.symantec.com.mx

http://www.symantec.com.mx

Soporte técnicoEl soporte técnico de Symantec cuenta con centros de soporte global. El rolprincipal del soporte técnico es responder a las consultas específicas sobrefunciones del producto y funcionalidad. El grupo de soporte técnico, además,elabora el contenido para nuestra Base de conocimientos en línea. El grupo desoporte técnico trabaja con otras áreas funcionales dentro de Symantec paracontestar las preguntas a tiempo. Por ejemplo, el grupo de soporte técnico trabajacon el Departamento de Ingeniería y Symantec Security Response paraproporcionar servicios de alertas y actualizaciones de definiciones de virus.

Las ofertas de soporte de Symantec incluyen lo siguiente:

■ Una gama de opciones de soporte que brindan flexibilidad para seleccionar lacantidad adecuada de servicio para organizaciones de cualquier tamaño

■ Soporte telefónico y basado en Web que proporciona respuesta rápida einformación actualizada

■ Garantía de actualización que entrega actualizaciones de software

■ Soporte global comprado según las horas laborables regionales o 24 horas aldía, 7 días a la semana

■ Ofertas de servicios superiores que incluyen servicios de administración decuentas

Para obtener información sobre las ofertas de soporte de Symantec, puede visitarel sitio web en la siguiente URL:

http://www.symantec.com/es/mx/business/support/

Todos los servicios de asistencia se prestarán de acuerdo con su acuerdo de soportey la política empresarial de soporte técnico vigente en el momento.

Contactar al soporte técnicoLos clientes con un acuerdo de soporte existente pueden acceder a la informacióndel soporte técnico en la siguiente URL:


Antes de contactar al soporte técnico, asegúrese de haber cumplido con losrequisitos de sistema que se enumeran en la documentación del producto. Además,es necesario que esté en el equipo en el cual ocurrió el problema, en caso de quesea necesario replicar el problema.

Cuando contacte al soporte técnico, tenga a mano la siguiente información:

■ Nivel de versión de producto



■ Información de hardware

■ Memoria disponible, espacio libre en el disco e información de la NIC

■ Sistema operativo

■ Número de versión y parche

■ Topología de red

■ Router, gateway e información de la dirección IP

■ Descripción del problema:

■ Mensajes de error y archivos de registro

■ Sesión de resolución de problemas llevada a cabo antes de contactar aSymantec

■ Cambios recientes en la configuración del software y en la red

Concesión de licencia y registroSi su producto de Symantec requiere registro o clave de licencia, acceda a nuestrapágina web de soporte técnico en la siguiente URL:


Servicio al clienteLa información del servicio al cliente está disponible en la siguiente URL:


El servicio al cliente está disponible para ayudar con preguntas no técnicas, comolos siguientes tipos de problemas:

■ Preguntas relacionadas con la concesión de licencias o la serialización deproductos

■ Actualizaciones del registro del producto, como cambio de dirección o denombre

■ Información general de producto (funciones, disponibilidad de idioma,distribuidores locales)

■ La información más reciente sobre actualizaciones del producto

■ Información sobre garantía de actualización y contratos de soporte

■ Información sobre los Programas de compras de Symantec

■ Sugerencia sobre las opciones de soporte técnico de Symantec

■ Preguntas no técnicas previas a las ventas



■ Problemas relacionados con los CD-ROM, los DVD o los manuales

Recursos de acuerdos de soporteSi desea contactar a Symantec con respecto a un acuerdo de soporte existente,contacte al equipo de administración del acuerdo de soporte correspondiente asu región:

[email protected] Pacífico y Japón

[email protected], Oriente Medio y África

[email protected]érica y América Latina

Servicios empresariales adicionalesSymantec ofrece un conjunto completo de servicios que permiten que se maximicela inversión en productos de Symantec y que se desarrolle el conocimiento, laexperiencia y la penetración global, lo que permite administrar los riesgos delnegocio de forma proactiva.

Los servicios empresariales disponibles incluyen lo siguiente:

Estos servicios quitan la carga de administrar y supervisar los dispositivos deseguridad y los eventos, lo que garantiza una respuesta rápida ante amenazasreales.

Servicios administrados

Los Servicios de consultoría de Symantec brindan experiencia técnica presencialde Symantec y de sus partners de confianza. Los Servicios de consultoría deSymantec ofrecen una variedad de opciones preembaladas y personalizablesque incluyen funcionalidades de evaluación, diseño, implementación,supervisión y administración. Cada uno se centra en establecer y mantener laintegridad y la disponibilidad de los recursos informáticos.

Servicios de consultoría

Los Servicios educativos proporcionan una gama completa de entrenamientotécnico, educación sobre la seguridad, certificación de seguridad y programasde comunicación del conocimiento.

Servicios educativos

Para acceder a más información sobre los servicios empresariales, visite nuestrositio web en la siguiente URL:

http://www.symantec.com/es/mx/business/services/

Seleccione su país o idioma del índice del sitio.

mailto:[email protected]



http://www.symantec.com/es/mx/business/services/

Soporte técnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Capítulo 1 Guía de inicio en el cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Acerca del cliente de Symantec Endpoint Protection .... . . . . . . . . . . . . . . . . . . . . . . . 11Acerca del cliente de Symantec Network Access Control ... . . . . . . . . . . . . . . . . . . . 13Guía de inicio de la página Estado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Acerca de los iconos de alerta de la página Estado .... . . . . . . . . . . . . . . . . . . . . . . . . . . 15Cómo analizar su equipo de forma inmediata ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Interrupción y retraso de análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Sitios donde se puede obtener más información .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Capítulo 2 Respuesta a las alertas y las notificaciones . . . . . . . . . . . . . . . . . . 21

Tipos de alertas y de notificaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Acerca de los resultados del análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Respuesta a la detección de un virus o un riesgo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Acerca de quitar un virus o un riesgo de un archivoinfectado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Respuesta a los mensajes de Diagnóstico Insight de descargas quepiden que se permita o que se bloquee un archivo que se intentadescargar ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Respuesta a los mensajes que solicitan que se permita o se bloqueeuna aplicación .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Acerca de los mensajes sobre una licencia caducada .... . . . . . . . . . . . . . . . . . . . . . . . 30Respuesta a los mensajes para actualizar el software de cliente ... . . . . . . . . . 30

Capítulo 3 Cómo garantizar que el equipo esté protegido . . . . . . . . . . . . . 33

Cómo administrar la protección del equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Actualización de la protección del equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Actualización del contenido de forma inmediata ... . . . . . . . . . . . . . . . . . . . . . . . 37Actualización del contenido según una programación .... . . . . . . . . . . . . . . . 37

Cómo determinar si el cliente está conectado y protegido .... . . . . . . . . . . . . . . . . 38Ocultar y visualizar el icono del área de notificación .... . . . . . . . . . . . . . . . . . 39

Acerca de los clientes administrados y los clientes noadministrados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Contenido

Cómo comprobar si el cliente es administrado o noadministrado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Acerca de cómo habilitar y deshabilitar la protección .... . . . . . . . . . . . . . . . . . . . . . . 43Cómo habilitar o deshabilitar la protección en el equipo cliente ... . . . . . . . . . 45Habilitar o deshabilitar Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Habilitar, deshabilitar y configurar Protección contra

intervenciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Acerca de los registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Visualización de los registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Habilitar el Registro de paquetes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Localizar el origen de los eventos registrados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Exportar datos de registro ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Capítulo 4 Cómo administrar los análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Cómo administrar análisis en su equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Cómo funcionan los análisis de virus y spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Acerca de los tipos de análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Acerca de los tipos de Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Acerca de los virus y los riesgos de seguridad .... . . . . . . . . . . . . . . . . . . . . . . . . . . 70Cómo los análisis responden a una detección de virus o de

riesgos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Cómo Symantec Endpoint Protection usa datos de reputación

para tomar decisiones sobre los archivos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Cómo programar un análisis definido por el usuario ... . . . . . . . . . . . . . . . . . . . . . . . . 75Cómo programar un análisis para que se ejecute manualmente o

cuando se inicia el equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Cómo administrar las detecciones de Diagnóstico Insight de descargas

en su equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Cómo personalizar la configuración de Diagnóstico Insight de

descargas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Cómo personalizar la configuración del análisis de virus y

spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Configuración de acciones para las detecciones de software malicioso

y de riesgos para la seguridad .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Acerca de la exclusión de elementos del análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Exclusión de elementos del análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Cómo administrar los archivos en cuarentena en el equipo

cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Acerca de poner en cuarentena los archivos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Poner en cuarentena un archivo desde el registro de riesgos o de

análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Contenido8

Enviar de forma manual un archivo potencialmente infectado aSymantec Security Response para su análisis ... . . . . . . . . . . . . . . . . . . . . . 96

Borrar automáticamente archivos de la cuarentena .... . . . . . . . . . . . . . . . . . . 97Acerca de enviar información sobre detecciones a Symantec Security

Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Cómo enviar la información sobre las detecciones a Symantec Security

Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Acerca del cliente y Windows Security Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Cómo administrar SONAR en el equipo cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Acerca de SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Acerca de los archivos y las aplicaciones que SONAR

detecta ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Cómo cambiar Configuración de SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Capítulo 5 Cómo administrar el firewall y la prevención deintrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Acerca de Protección contra amenazas de red .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Cómo administrar la protección mediante firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Cómo funciona un firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Ajustar la configuración del firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Habilitar la configuración de tráfico y de la navegación ocultapor la Web .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Permitir automáticamente las comunicaciones para los serviciosde red esenciales ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Habilitar el uso compartido de archivos e impresoras en lared .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Bloquear y desbloquear un equipo atacante ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Bloquear tráfico ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Acerca de cómo permitir o bloquear aplicaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Cómo permitir o bloquear el acceso de aplicaciones a la red .... . . . . . . 126Configurar valores específicos de una aplicación .... . . . . . . . . . . . . . . . . . . . . 127Quitar restricciones para una aplicación .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Visualización de la actividad de red .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Acerca de las reglas de firewall del cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Acerca del orden de procesamiento de la regla de firewall, la

configuración del firewall y la prevención de intrusiones ... . . . . . . . . . . 132Cómo cambiar el orden de las reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Cómo el firewall usa la inspección de estado .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Los elementos de una regla de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Cómo configurar reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Adición de una regla de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Cómo exportar e importar reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

9Contenido

Cómo habilitar y deshabilitar reglas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . 139Cómo administrar la prevención de intrusiones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Cómo funciona la prevención de intrusiones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Cómo habilitar o deshabilitar la prevención de intrusiones ... . . . . . . . . . . . . . . 142Configurar notificaciones de prevención de intrusiones ... . . . . . . . . . . . . . . . . . . 143

Capítulo 6 Cómo administrar Symantec Network AccessControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Cómo funciona Symantec Network Access Control ... . . . . . . . . . . . . . . . . . . . . . . . . . 145Cómo funciona el cliente con Enforcer ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Ejecutar una comprobación de integridad del host ... . . . . . . . . . . . . . . . . . . . . . . . . . 147Corregir el equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Configurar el cliente para la autenticación 802.1x .... . . . . . . . . . . . . . . . . . . . . . . . . 148

Reautenticar el equipo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Visualización de los registros de Symantec Network Access

Control ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Contenido10

Guía de inicio en el cliente

En este capítulo se incluyen los temas siguientes:

■ Acerca del cliente de Symantec Endpoint Protection

■ Acerca del cliente de Symantec Network Access Control

■ Guía de inicio de la página Estado

■ Acerca de los iconos de alerta de la página Estado

■ Cómo analizar su equipo de forma inmediata

■ Sitios donde se puede obtener más información

Acerca del cliente de Symantec Endpoint ProtectionEl cliente de Symantec Endpoint Protection combina varias capas de protecciónpara proteger de manera proactiva el equipo contra amenazas y ataques de redconocidos y desconocidos.

La Tabla 1-1 describe cada capa de protección.

1Capítulo

Tabla 1-1 Tipos de protección

DescripciónCapa

Esta capa combate una amplia gama de amenazas, comospyware, gusanos, caballos de Troya, rootkits y publicidadno deseada. Auto-Protect para el sistema de archivosexamina continuamente todos los archivos del equipo enbusca de virus y riesgos para la seguridad. Auto-Protectpara correo electrónico de Internet analiza los mensajesde correo electrónico entrantes y salientes que usan elprotocolo de comunicaciones POP3 o SMTP a través deSecure Sockets Layer (SSL). Auto-Protect para MicrosoftOutlook analiza los mensajes de correo electrónicoentrantes y salientes de Outlook.

Ver "Cómo administrar análisis en su equipo"en la página 58.

Protección contra virus yspyware

La tecnología de amenaza proactiva incluye SONAR, queofrece protección en tiempo real contra ataques de díacero. SONAR puede detener ataques incluso antes de quelas definiciones basadas en firmas tradicionales detectenuna amenaza. SONAR usa datos de heurística así comodatos de reputación de archivos para tomar decisionessobre aplicaciones o archivos.

Ver "Cómo administrar SONAR en el equipo cliente"en la página 102.

Protección proactiva contraamenazas

Esta capa abarca la protección de la prevención deintrusiones y el firewall. El firewall basado en reglas evitaque usuarios no autorizados accedan a su equipo. Elsistema de prevención de intrusiones detecta y bloqueaautomáticamente ataques de red.

Ver "Cómo administrar la protección mediante firewall"en la página 108.

Protección contra amenazas dered

El administrador determina qué tipos de protección el servidor de administracióndebe descargar en su equipo cliente. El cliente descarga automáticamente lasdefiniciones de virus, las definiciones IPS y las actualizaciones del producto a suequipo. Los usuarios que viajan con equipos portátiles puede obtener definicionesde virus y actualizaciones del producto directamente de LiveUpdate.

Ver "Actualización de la protección del equipo" en la página 36.

Guía de inicio en el clienteAcerca del cliente de Symantec Endpoint Protection

12

Acerca del cliente de Symantec Network AccessControl

El cliente de Symantec Network Access Control evalúa si un equipo está protegidocorrectamente y cumple con las políticas de seguridad antes de permitirleconectarse a la red corporativa.

El cliente se asegura de que el equipo cumpla con una política de seguridadconfigurada por su administrador. La política de seguridad comprueba si el equipoutiliza el software de seguridad más reciente, tal como aplicaciones de protecciónantivirus y de firewall. Si su equipo no ejecuta el software necesario, deberáactualizar el software manualmente o su cliente puede actualizar el software deforma automática. Hasta que su software de seguridad esté actualizado, es posibleque se bloquee la conexión de su equipo a la red. El cliente realiza análisisperiódicos para verificar que el equipo continúe cumpliendo con la política deseguridad.

Ver "Cómo funciona Symantec Network Access Control" en la página 145.

Guía de inicio de la página EstadoCuando se abre el cliente, aparecen la ventana principal y la página Estado.

La Tabla 1-2 muestra las principales tareas que se pueden realizar en la barra demenús del cliente y la opción Ayuda.

Tabla 1-2 Ventana principal del cliente

Para hacer estas tareasHaga clic enesta opción

Acceda a la principal Ayuda en pantalla y realice las siguientes tareas enel cliente:

■ Vea información sobre su equipo, el cliente y la protección del cliente.

■ Vea información sobre el estado de la conexión del cliente con elservidor de administración. Es posible también intentar conectarse alservidor, si es necesario.

■ Importe y exporte las políticas de seguridad y la configuración decomunicación en un cliente no administrado.

■ Vea y exporte registros de depuración y un archivo de solución deproblemas para ayudar a su administrador a diagnosticar un problemacon el cliente o la protección del cliente.

■ Descargue una herramienta de soporte para diagnosticar problemascomunes con el cliente.

Ayuda

13Guía de inicio en el clienteAcerca del cliente de Symantec Network Access Control


Vea si el equipo está protegido y si la licencia del equipo está actualizada.Los colores y los iconos de alerta de la página Estado muestran quétecnologías están habilitadas y protegen el cliente.

Ver "Acerca de los iconos de alerta de la página Estado" en la página 15.

Es posible:

■ Habilitar o deshabilitar una o más tecnologías de protección.

Ver "Acerca de cómo habilitar y deshabilitar la protección"en la página 43.

■ Ver si tiene los últimos archivos de definiciones para Protección contravirus y spyware, Protección proactiva contra amenazas y Proteccióncontra amenazas de red.

■ Ejecutar análisis activo.

Ver "Cómo analizar su equipo de forma inmediata" en la página 16.

■ Ver la lista de amenazas y los resultados del último análisis de virus yspyware.

Estado

Acceda y realice las siguientes tareas:

■ Ejecutar un análisis activo o un análisis completo de forma inmediata.


■ Crear un análisis programado, de inicio o manual.

Ver "Cómo programar un análisis definido por el usuario"en la página 75.

Ver "Cómo programar un análisis para que se ejecute manualmente ocuando se inicia el equipo" en la página 79.

Analizar

Guía de inicio en el clienteGuía de inicio de la página Estado

14


Defina la configuración para las tecnologías de protección y las funcionessiguientes:

■ Habilite y defina la configuración de Auto-Protect.

Ver "Cómo personalizar la configuración del análisis de virus yspyware" en la página 84.

■ Defina la configuración del firewall y del sistema de prevención deintrusiones.

Ver "Cómo administrar la protección mediante firewall" en la página 108.

■ Vea y agregue excepciones a los análisis.

Ver "Exclusión de elementos del análisis" en la página 91.

■ Visualice el icono del área de notificación.

Ver "Cómo determinar si el cliente está conectado y protegido"en la página 38.

■ Defina la configuración de Protección contra intervenciones.

Ver "Habilitar, deshabilitar y configurar Protección contraintervenciones" en la página 48.

■ Cree una programación para descargar actualizaciones de contenidoy del producto al cliente.

Ver "Actualización del contenido según una programación"en la página 37.

Ver "Cómo administrar la protección del equipo" en la página 34.

Cambiarconfiguración

Vea los virus y los riesgos para la seguridad que el cliente ha detectado yha puesto en cuarentena. Es posible restaurar, eliminar, limpiar, exportary agregar archivos en la cuarentena.

Ver "Acerca de poner en cuarentena los archivos" en la página 95.

Vercuarentena

Vea los registros del cliente.

Ver "Visualización de los registros" en la página 51.

Ver registros

Ejecute LiveUpdate de forma inmediata. LiveUpdate descarga las últimasdefiniciones de contenido y actualizaciones del producto de un servidorde administración que se encuentra dentro de la red de su empresa.

Ver "Actualización del contenido de forma inmediata" en la página 37.

LiveUpdate

Acerca de los iconos de alerta de la página EstadoLa parte superior de la página Estado muestra varios iconos de alerta para indicarel estado de la protección del equipo.

15Guía de inicio en el clienteAcerca de los iconos de alerta de la página Estado

Tabla 1-3 Iconos de alerta de la página Estado

DescripciónIcono

Muestra que cada protección está habilitada.

Advierte de que las definiciones de virus del equipo cliente están desactualizadas.Para recibir las definiciones de virus más recientes, se puede ejecutar LiveUpdatede forma inmediata.

El equipo cliente puede tener además los siguientes problemas:

■ El equipo cliente no pasó la comprobación del cumplimiento de seguridadde la integridad del host. Para descubrir qué debe hacer para pasar lacomprobación, consulte el registro de seguridad de Administración de clientes.

■ No se conectó la integridad del host.


Muestra que una o más protecciones están deshabilitadas o que el cliente tieneuna licencia caducada. Para habilitar una protección, haga clic en Reparar oReparar todo.

Ver "Acerca de cómo habilitar y deshabilitar la protección" en la página 43.

Cómo analizar su equipo de forma inmediataEs posible analizar manualmente su equipo en busca de virus y riesgos para laseguridad en cualquier momento. Es necesario analizar su equipo de formainmediata si instaló recientemente el cliente o si piensa que ha recibido un virus.

Elija qué desea analizar, desde un único archivo hasta un disquete o todo el equipo.Los análisis manuales incluyen análisis activos y análisis completos. Es posibletambién crear un análisis personalizado para ejecutarlo cuando lo necesite.

Ver "Cómo programar un análisis para que se ejecute manualmente o cuando seinicia el equipo" en la página 79.


Para obtener más información sobre las opciones de cada cuadro de diálogo, hagaclic en Ayuda.

Para analizar su equipo de forma inmediata

◆ Realice una de las acciones siguientes:

■ En el cliente, en la página Estado, al lado de Protección contra virus yspyware, haga clic en Opciones > Ejecutar análisis activo.

Guía de inicio en el clienteCómo analizar su equipo de forma inmediata

16

■ En el cliente, en la barra lateral, haga clic en Analizar.Realice una de las acciones siguientes:

■ Haga clic en Ejecutar análisis activo.

■ Haga clic en Ejecutar análisis completo.

■ En la lista de análisis, haga clic con el botón derecho en cualquieranálisis y después haga clic en Analizar ahora.El análisis comienza.Es posible ver el progreso del análisis a menos que el administradordeshabilite la opción. Para ver el progreso del análisis, haga clic en elvínculo del mensaje que aparece en el análisis actual: análisisencurso.Ver "Acerca de los resultados del análisis" en la página 23.

Es posible también interrumpir momentáneamente o cancelar el análisis.

Ver "Interrupción y retraso de análisis" en la página 17.

Para analizar su equipo desde Windows

◆ Desde la ventana Mi PC o desde el Explorador de Windows, haga clic con elbotón derecho en un archivo, carpeta o unidad y, a continuación, haga clicen Analizar en busca de virus.

Esta función se admite en sistemas operativos de 32 bits y de 64 bits.

Nota: Búsqueda de Insight no analiza una carpeta ni una unidad cuando serealiza este tipo de análisis. Búsqueda de Insight se ejecuta si se seleccionaun archivo o un grupo de archivos para analizar.

Interrupción y retraso de análisisLa función de interrupción de análisis permite detener la ejecución de un análisisen cualquier punto y continuarla después. Un usuario puede interrumpir cualquieranálisis que haya iniciado.

El administrador determina si se puede interrumpir un análisis iniciado por unadministrador. Si la opción Pausar análisis no está disponible, el administradordeshabilitó esta función. Si el administrador habilita la función Posponer, losusuarios podrán retrasar los análisis programados del administrador por unintervalo de tiempo determinado.

Cuando que un análisis se reanuda, se inicia desde donde se detuvo.

17Guía de inicio en el clienteCómo analizar su equipo de forma inmediata

Nota:Si interrumpe momentáneamente un análisis al mismo tiempo que el clienteanaliza un archivo comprimido, el cliente puede tardar varios minutos pararesponder a la solicitud de interrupción.

Ver "Cómo administrar análisis en su equipo" en la página 58.

Para interrumpir un análisis que inició

1 Cuando el análisis se ejecuta, en el cuadro de diálogo del análisis, haga clicen Pausar análisis.

El análisis se detendrá en el preciso lugar en que se encuentre, y el cuadro dediálogo permanecerá abierto hasta que se reanude.

2 En el cuadro de diálogo del análisis, haga clic en Reanudar análisis paracontinuar el análisis.

Para interrumpir o retrasar un análisis iniciado por el administrador

1 Cuando se ejecuta un análisis iniciado por el administrador, en el cuadro dediálogo del análisis, haga clic en Pausar análisis.

2 En el cuadro de diálogo Interrupción del análisis programado, realice unade las siguientes acciones:

■ Para interrumpir momentáneamente el análisis, haga clic en Interrumpir.

■ Para retrasar el análisis, haga clic en Posponer1hora o Posponer3horas.El administrador es quien determina el tiempo durante el que se puederetrasar el análisis. Cuando la interrupción alcanza el límite, el análisisse reinicia desde donde comenzó. El administrador también determina elnúmero de veces que se puede retrasar un análisis programado antes deque esta función quede deshabilitada.

■ Para continuar el análisis sin interrupciones, haga clic en Continuar.

Sitios donde se puede obtener más informaciónEl producto incluye varias fuentes de información.

Tabla 1-4 muestra los sitios web en donde se puede conseguir la informaciónadicional para ayudarle a usar el producto.

Tabla 1-4 Sitios web de Symantec

Dirección webTipo de información

http://www.symantec.com/es/mx/business/ products/downloads/index.jspSoftware de Symantec EndpointProtection

Guía de inicio en el clienteSitios donde se puede obtener más información

18

http://www.symantec.com/es/mx/business/products/downloads/index.jsp

Dirección webTipo de información

Symantec Endpoint Protection:http://www.symantec.com/business/support/overview.jsp?pid=54619

Symantec Network Access Control:http://www.symantec.com/business/support/overview.jsp?pid=52788

Base de conocimientos pública

Versiones y actualizaciones

Actualizaciones de la documentación ymanuales

Opciones de contacto

http://www.symantec.com/es/mx/security_response/Información y actualización de virus yotras amenazas

http://www.symantec.com/es/mx/business/Noticias y actualizaciones de productos

http://go.symantec.com/education_septcCapacitación técnica en línea gratuita

http://go.symantec.com/education_sepServicios de aprendizaje de Symantec

Symantec Endpoint Protection:

http://www.symantec.com/connect/security/forums/endpoint-protection-antivirus

Symantec Network Access Control:

http://www.symantec.com/connect/security/forums/network-access-control

Foros de Symantec Connect:

19Guía de inicio en el clienteSitios donde se puede obtener más información

http://www.symantec.com/business/support/overview.jsp?pid=54619

http://www.symantec.com/business/support/overview.jsp?pid=52788

http://www.symantec.com/es/mx/security_response/

http://www.symantec.com/es/mx/business/

http://go.symantec.com/education_septc

http://go.symantec.com/education_sep





Guía de inicio en el clienteSitios donde se puede obtener más información

20

Respuesta a las alertas y lasnotificaciones


■ Tipos de alertas y de notificaciones

■ Acerca de los resultados del análisis

■ Respuesta a la detección de un virus o un riesgo

■ Respuesta a los mensajes de Diagnóstico Insight de descargas que piden quese permita o que se bloquee un archivo que se intenta descargar

■ Respuesta a los mensajes que solicitan que se permita o se bloquee unaaplicación

■ Acerca de los mensajes sobre una licencia caducada

■ Respuesta a los mensajes para actualizar el software de cliente

Tipos de alertas y de notificacionesEl cliente funciona en el segundo plano para mantener el equipo protegido contraactividad maliciosa. El cliente necesita a veces notificar al usuario sobre unaactividad o solicitarle una respuesta.

La Tabla 2-1 muestra los tipos de mensajes que es posible ver y que se debenresponder.

2Capítulo

Tabla 2-1 Tipos de alertas y de notificaciones

DescripciónAlerta

Si un análisis detecta un virus o un riesgo para la seguridad, elcuadro de diálogo de los resultados del análisis o Detección deresultados de Symantec Endpoint Protection aparece con losdetalles sobre la infección. El cuadro de diálogo también muestrala acción que el análisis realizó sobre el riesgo. Generalmente,no es necesario tomar más medidas, excepto revisar la actividady cerrar el cuadro de diálogo. Es posible tomar medidas si esnecesario, sin embargo.

Ver "Acerca de los resultados del análisis"en la página 23.<Nombredelanálisis> iniciadoen o Detecciónde resultados de Symantec Endpoint Protection

Cuadro de diálogo<nombre del análisis>iniciado en o Detecciónde resultados deSymantec EndpointProtection

Es posible ver mensajes emergentes por los siguientes motivos:

■ El cliente actualiza automáticamente el software de cliente.

Ver "Respuesta a los mensajes para actualizar el softwarede cliente" en la página 30.

■ El cliente le solicita que permita o que bloquee una aplicación.

Ver "Respuesta a los mensajes que solicitan que se permitao se bloquee una aplicación" en la página 29.

■ La licencia de evaluación del cliente ha caducado.

Ver "Acerca de los mensajes sobre una licencia caducada"en la página 30.

Otros cuadros de diálogode mensajes

Respuesta a las alertas y las notificacionesTipos de alertas y de notificaciones

22

DescripciónAlerta

Las notificaciones que aparecen sobre el icono del área denotificación ocurren en las situaciones siguientes:

■ El cliente bloquea una aplicación.

Por ejemplo, es posible que vea la notificación siguiente:

Se ha bloqueado el tráfico de esta aplicación:(nombre de aplicación)

Si el cliente se configura para bloquear todo el tráfico, estasnotificaciones aparecen con frecuencia. Si su cliente estáconfigurado para permitir todo el tráfico, estas notificacionesno aparecen.

■ El cliente detecta un ataque de red contra su equipo.

Es posible que vea el tipo de notificación siguiente:

El tráfico de la dirección IP 192.168.0.3está bloqueado de 2/14/201015:37:58 a 2/14/2010 15:47:58.El ataque de análisis de puertos ha sidoregistrado.

■ La comprobación del cumplimiento de seguridad falló. Sepuede bloquear el tráfico que se dirige desde su equipo yhasta él.

No es necesario hacer nada más, excepto leer los mensajes.


Mensajes del icono delárea de notificación

Acerca de los resultados del análisisPara los clientes administrados, su administrador configura típicamente un análisiscompleto que se ejecuta por lo menos una vez a la semana. Para los clientes noadministrados, un análisis activo generado automáticamente se ejecuta al iniciarel equipo. De forma predeterminada, Auto-Protect se ejecuta continuamente enel equipo.

Cuando los análisis se ejecutan, un cuadro de diálogo del análisis aparece paraseñalar el progreso y mostrar los resultados del análisis. Cuando finalice el análisis,los resultados aparecerán en la lista. Si el cliente no detecta virus o riesgos parala seguridad, la lista permanece vacía y el estado se muestra como Finalizado.

Si el cliente detecta riesgos durante el análisis, el cuadro de diálogo de resultadosdel análisis muestra los resultados con la siguiente información:

23Respuesta a las alertas y las notificacionesAcerca de los resultados del análisis

■ Los nombres de los virus o de los riesgos para la seguridad.

■ Los nombres de los archivos infectados.

■ Las acciones que el cliente realiza en los riesgos.

Si el cliente detecta un virus o un riesgo para la seguridad, puede ser recomendableactuar sobre un archivo infectado.

Nota: Para los clientes administrados, el administrador puede elegir ocultar elcuadro de diálogo de resultados del análisis. Si se trata de un cliente noadministrado, se puede mostrar u ocultar este cuadro de diálogo.

Si usted o el administrador configuran el software de cliente para que muestre elcuadro de diálogo de resultados del análisis, podrá interrumpir, reiniciar o detenerel análisis.

Ver "Acerca de los clientes administrados y los clientes no administrados"en la página 40.

Ver "Respuesta a la detección de un virus o un riesgo" en la página 24.


Respuesta a la detección de un virus o un riesgoCuando se ejecuta un análisis definido por el administrador, un análisis definidopor el usuario o un análisis de Auto-Protect, es posible que vea un cuadro de diálogode resultados del análisis. Es posible usar el cuadro de diálogo de resultados delanálisis para actuar sobre el archivo afectado de forma inmediata.

Por ejemplo, puede optar por eliminar un archivo que haya sido limpiado porquedesea sustituirlo por un archivo original.

Puede también usar la cuarentena o el registro de riesgos o de análisis para realizaralguna acción sobre el archivo más tarde.

Ver "Cómo administrar los archivos en cuarentena en el equipo cliente"en la página 93.

Respuesta a las alertas y las notificacionesRespuesta a la detección de un virus o un riesgo

24

Para responder a una detección de virus o riesgo en el cuadro de diálogo de losresultados del análisis

1 En el cuadro de diálogo de resultados de análisis, seleccione los archivos sobrelos cuales desee actuar.

2 Haga clic con el botón derecho en el archivo y, a continuación, seleccione unade las siguientes opciones:

Elimina el virus del archivo. Esta opción estádisponible solamente para virus.

Limpieza

Excluye el archivo de un nuevo análisis.Excluir

Elimina el archivo infectado y todos los efectossecundarios. Para los riesgos para laseguridad, utilice esta acción con precaución.En algunos casos, si elimina riesgos para laseguridad, es posible que cause la pérdida defuncionalidad de alguna aplicación.

Suprimir permanentemente

Anula el efecto de la acción realizada.Deshacer acción

Pone en cuarentena los archivos infectados.Para los riesgos para la seguridad, el clientetambién intenta quitar o reparar los efectossecundarios. En algunos casos, si el clientepone en cuarentena un riesgo para laseguridad, es posible que cause la pérdida defuncionalidad de alguna aplicación.

Poner en cuarentena

Muestra información sobre el virus o el riesgopara la seguridad.

Propiedades

En algunos casos, la acción puede no estar disponible.

3 En el cuadro de diálogo, haga clic en Cerrar.

Es posible que no pueda cerrar el cuadro de diálogo si los riesgos que sedetallan requieren la toma de medidas. Por ejemplo, el cliente puede necesitarfinalizar un proceso o una aplicación, o puede necesitar detener un servicio.En ese caso, un cuadro de diálogo Eliminar riesgos ahora aparece.

4 Si aparece el cuadro de diálogo Eliminar riesgos ahora, haga clic en una delas siguientes opciones:

■ SíEl cliente quita el riesgo. La eliminación del riesgo puede requerir elreinicio del sistema. La información del cuadro de diálogo indica si unreinicio es obligatorio.

25Respuesta a las alertas y las notificacionesRespuesta a la detección de un virus o un riesgo

■ NoEl cuadro de diálogo de resultados le recuerda que aún se necesitan tomarmedidas. Sin embargo, se suprime el cuadro de diálogo Eliminar riesgosahora hasta que reinicie su equipo.

5 Si el cuadro de diálogo de resultados no se cerró en el paso 3, haga clic enCerrar.

Ver "Cómo los análisis responden a una detección de virus o de riesgos"en la página 73.



Acerca de quitar un virus o un riesgo de un archivo infectadoSi el cliente necesita terminar un proceso o una aplicación, o detener un servicio,se habilitará el botón Eliminar riesgos ahora. Es posible que no pueda cerrar elcuadro de diálogo si los riesgos del cuadro de diálogo necesitan que se tomenmedidas.

La Tabla 2-2 describe las opciones y el cuadro de diálogo de resultados.

Tabla 2-2 Opciones del cuadro de diálogo de resultados

DescripciónOpción

Cierra el cuadro de diálogo de resultados si no es necesario tomarmedidas en los riesgos.

Si necesita tomar medidas, aparece una de las siguientesnotificaciones:

■ Se requiere eliminar el riesgoAparece cuando un riesgo requiere finalizar un proceso. Siopta por quitar el riesgo, volverá al cuadro de diálogo deresultados. Si, además, es necesario reiniciar el equipo, lainformación que está en la fila del riesgo en el cuadro de diálogoindica que es necesario reiniciarlo.

■ Debe reiniciarAparece cuando un riesgo requiere reiniciar el equipo.

■ Debe eliminarse el riesgo y reiniciarAparece cuando un riesgo requiere que se finalice un procesoy otro riesgo requiere reiniciar el equipo.

Cerrar

Respuesta a las alertas y las notificacionesRespuesta a la detección de un virus o un riesgo

26

DescripciónOpción

Muestra el cuadro de diálogo Eliminar riesgo.

En el cuadro de diálogo Eliminar riesgo, es posible seleccionar unade las opciones siguientes para cada riesgo:

■ SíEl cliente quita el riesgo. Al quitar un riesgo, puede sernecesario reiniciar el equipo. La información del cuadro dediálogo indica si un reinicio es obligatorio.

■ NoCuando se cierra el cuadro de diálogo de resultados, el cuadrode diálogo Eliminar riesgo aparece. El cuadro de diálogo lerecuerda que aún se necesitan tomar medidas. Sin embargo,se suprime el cuadro de diálogo Eliminar riesgo hasta quereinicie su equipo.

Eliminar riesgosahora

Si un reinicio es obligatorio, la eliminación o la reparación no se completa hastaque se reinicie el equipo.

Es posible que necesite tomar medidas sobre un riesgo, pero puede optar portomarlas más adelante.

El riesgo se puede quitar o reparar en otro momento de las siguientes maneras:

■ Es posible abrir el registro del riesgo, hacer clic con el botón derecho en elriesgo y después tomar medidas.

■ Puede ejecutar un análisis para detectar el riesgo y abrir el cuadro de diálogode resultados de nuevo.

Es posible también tomar medidas haciendo clic con el botón derecho en un riesgoen el cuadro de diálogo y seleccionando una acción. Las medidas que se puedentomar dependen de las acciones configuradas para el tipo determinado de riesgoque el análisis detectó.

Ver "Respuesta a la detección de un virus o un riesgo" en la página 24.

Respuesta a los mensajes de Diagnóstico Insight dedescargas que piden que se permita o que se bloqueeun archivo que se intenta descargar

Cuando se habilitan las notificaciones de Diagnóstico Insight de descargas, sereciben mensajes sobre los archivos maliciosos y sin probar que DiagnósticoInsight de descargas detecta cuando se intenta descargarlos.

27Respuesta a las alertas y las notificacionesRespuesta a los mensajes de Diagnóstico Insight de descargas que piden que se permita o que se bloquee un archivo

que se intenta descargar

Nota: Independientemente de que las notificaciones estén habilitadas, se recibenmensajes de detección cuando la acción para los archivos sin probar es Solicitud.

Usted o el administrador puede cambiar el nivel de sensibilidad de DiagnósticoInsight de descargas con respecto a los archivos maliciosos. Cambiar el nivel desensibilidad puede cambiar el número de notificaciones que se reciben.

Diagnóstico Insight de descargas usa Insight, una tecnología de Symantec queevalúa archivos y determina una calificación del archivo que se base en sucomunidad global de millones de usuarios.

La notificación de Diagnóstico Insight de descargas muestra la siguienteinformación sobre el archivo detectado:

■ Reputación del archivoLa reputación del archivo indica la credibilidad de un archivo. Los archivosmaliciosos no confiables. Los archivos sin comprobar pueden ser confiables ono.

■ El uso común del archivo en la comunidad.El predominio de un archivo es importante. Los archivos que no son comuneses más probable que sean amenazas.

■ La antigüedad del archivoCuanto más reciente es un archivo, menos información Symantec tiene sobreel archivo.

La información puede ayudarle a decidir si permitir o bloquear el archivo.


Ver "Cómo Symantec Endpoint Protection usa datos de reputación para tomardecisiones sobre los archivos" en la página 74.

Para responder a una detección de Diagnóstico Insight de descargas que le pideque permita o bloquee un archivo

1 En el mensaje de detección de Diagnóstico Insight de descargas, realice unade las siguientes acciones:

■ Haga clic en Eliminar este archivo de mi equipo.Diagnóstico Insight de descargas mueve el archivo a la cuarentena. Estaopción aparece solamente para los archivos sin probar.

■ Haga clic en Permitir este archivo.Es posible que vea un cuadro de diálogo de permiso que le pregunta si estáseguro de que desea permitir el archivo.Si elige permitir un archivo sin probar que no fue puesto en cuarentena,el archivo se ejecuta de forma automática. Si elige permitir un archivo en

Respuesta a las alertas y las notificacionesRespuesta a los mensajes de Diagnóstico Insight de descargas que piden que se permita o que se bloquee un archivoque se intenta descargar

28

cuarentena, el archivo hace no se ejecuta de forma automática. Es posibleejecutar el archivo desde su carpeta temporal de Internet.La ubicación de la carpeta es, generalmente, \\Documents andSettings\Nombre de usuario\Local Settings\Temporary Internet Files.

2 En clientes no administrados, si se permite un archivo, Symantec EndpointProtection crea de forma automática una excepción para el archivo en esteequipo. En clientes administrados, si su administrador le permite crearexcepciones, Symantec Endpoint Protection crea de forma automática unaexcepción para el archivo en este equipo.

Respuesta a losmensajesque solicitanque sepermitao se bloquee una aplicación

Cuando una aplicación del equipo intenta acceder a la red, el cliente puede solicitarque se permita o se bloquee la aplicación. Es posible elegir bloquear una aplicaciónque se considera insegura para que acceda a la red.

Este tipo de notificación aparece por uno de los motivos siguientes:

■ La aplicación pide acceder a su conexión de red.

■ Se ha actualizado una aplicación que ha accedido a su conexión de red.

■ Su administrador actualizó el software de cliente.

■ El cliente cambia de usuario con la función de Cambio rápido de usuario.

Es posible que vea el siguiente tipo de mensaje, que indica cuándo una aplicaciónintenta acceder a su equipo:

IEXPLORE.EXE está intentando acceder a la red.

¿Desea permitir que este programa acceda a la red?

Para responder a los mensajes que solicitan que se permita o se bloquee unaaplicación

1 Opcionalmente, para suprimir el mensaje la próxima vez que la aplicaciónintente acceder a la red, en el cuadro de diálogo, haga clic en Recordar mirespuesta y no solicitarla nuevamente para esta aplicación.

2 Opcionalmente, para obtener más información sobre la conexión y laaplicación, haga clic en Detalles>>.

3 Realice una de las acciones siguientes:

■ Para permitir que la aplicación acceda a la red, haga clic en Sí.

■ Para bloquear el acceso de la aplicación a la red, haga clic en No.

29Respuesta a las alertas y las notificacionesRespuesta a los mensajes que solicitan que se permita o se bloquee una aplicación

Es posible también modificar la acción para la aplicación en el campoAplicaciones en ejecución o en la lista Aplicaciones.

Ver "Configurar valores específicos de una aplicación" en la página 127.

Acerca de los mensajes sobre una licencia caducadaEl cliente usa una licencia para actualizar las definiciones de virus de los análisisy para actualizar el software de cliente. El cliente puede usar una licencia deevaluación o una licencia paga. Si cualquier licencia ha caducado, el cliente noactualiza ningún contenido ni el software de cliente.

Tabla 2-3 Tipos de licencias

DescripciónTipo de Licencia

Si una licencia de evaluación ha caducado, la parte superior del panelEstado del cliente aparece en rojo y muestra el siguiente mensaje:

La licencia de evaluación caducó.

Todas las descargas de contenido se interrumpirán el fecha.Contacte con el administrador para comprar unalicencia de Symantec Endpoint Protection.

Es posible también ver la fecha de caducidad haciendo clic en Ayuda> Acerca de.

Licencia deevaluación

Si una licencia paga ha caducado, la parte superior del panel Estadodel cliente aparece en amarillo y muestra el siguiente mensaje:

Protección antivirus y antispyware - definicionesestán desactualizadas.

Licencia paga

Para cualquier tipo de licencia, es necesario ponerse en contacto con eladministrador para actualizar o renovar la licencia.

Ver "Tipos de alertas y de notificaciones" en la página 21.


Respuesta a losmensajes para actualizar el softwarede cliente

Si el software de cliente se actualiza automáticamente, es posible ver la notificaciónsiguiente:

Respuesta a las alertas y las notificacionesAcerca de los mensajes sobre una licencia caducada

30

Symantec Endpoint Protection ha detectado que

existe una versión más reciente del software.

¿Desea descargarla e instalarla ahora?

Para responder a una notificación de actualización automática


■ Para descargar el software inmediatamente, haga clic en Descargarahora.

■ Para recibir un recordatorio después de un tiempo especificado, haga clicen Recordármelo más tarde.

2 Si aparece un mensaje después de que comience el proceso de instalaciónpara el software actualizado, haga clic en Aceptar.

31Respuesta a las alertas y las notificacionesRespuesta a los mensajes para actualizar el software de cliente

Respuesta a las alertas y las notificacionesRespuesta a los mensajes para actualizar el software de cliente

32

Cómo garantizar que elequipo esté protegido


■ Cómo administrar la protección del equipo

■ Actualización de la protección del equipo

■ Cómo determinar si el cliente está conectado y protegido

■ Acerca de los clientes administrados y los clientes no administrados

■ Cómo comprobar si el cliente es administrado o no administrado

■ Acerca de cómo habilitar y deshabilitar la protección

■ Cómo habilitar o deshabilitar la protección en el equipo cliente

■ Habilitar o deshabilitar Auto-Protect

■ Habilitar, deshabilitar y configurar Protección contra intervenciones

■ Acerca de los registros

■ Visualización de los registros

■ Localizar el origen de los eventos registrados

■ Exportar datos de registro

3Capítulo

Cómo administrar la protección del equipoDe forma predeterminada, el equipo cliente está protegido y no es necesarioconfigurar el cliente. Sin embargo, puede supervisar la protección por los siguientesmotivos:

■ El equipo ejecuta un cliente no administrado.Una vez que se instala un cliente no administrado, solo tiene control sobre laprotección de su equipo. Un cliente no administrado está protegido de formapredeterminada. Pero es posible que sea necesario modificar la configuraciónde la protección del equipo.Ver "Acerca de los clientes administrados y los clientes no administrados"en la página 40.

■ Desea habilitar o deshabilitar una o más tecnologías de protección.

■ Desea verificar que tiene las últimas definiciones de virus.

■ Ha escuchado hablar de un virus reciente y desea ejecutar un análisis.

La Tabla 3-1 muestra el proceso para comprobar que su equipo esté protegido.

Tabla 3-1 Proceso para administrar la protección de su equipo

DescripciónPaso

Responda a los mensajes que aparecen y solicitan la entrada dedatos. Por ejemplo, un análisis puede detectar un virus o un riesgopara la seguridad y mostrar un cuadro de diálogo de los resultadosdel análisis que le pide que realice alguna acción sobre la detección.


Responder a las alertaso las notificaciones

Compruebe regularmente la página Estado para determinar quetodos los tipos de protección estén habilitados.

Ver "Guía de inicio de la página Estado" en la página 13.

Ver "Cómo habilitar o deshabilitar la protección en el equipocliente" en la página 45.

Comprobar el estadode la protección

Cómo garantizar que el equipo esté protegidoCómo administrar la protección del equipo

34

DescripciónPaso

Compruebe que las últimas definiciones de virus estén instaladasen su equipo.

■ Compruebe si tiene las últimas actualizaciones de protección.Es posible comprobar la fecha y la cantidad de estos archivosde definiciones en la página Estado del cliente, en cada tipode protección.

■ Obtenga las últimas actualizaciones de protección.


Actualizar lasdefiniciones de virus

(Cliente noadministradosolamente)

Ejecute un análisis para ver si el equipo o su aplicación de correoelectrónico tiene virus. De forma predeterminada, el cliente analizael equipo cuando lo enciende, pero se puede analizar el equipo encualquier momento.


Analizar el equipo

En la mayoría de los casos, la configuración predeterminadaproporciona una protección adecuada para su equipo. Si esnecesario, puede disminuir o aumentar los siguientes tipos deprotección:

■ Programación de análisis adicionales


■ Cómo agregar reglas de firewall (cliente no administradosolamente)


Ajustar laconfiguración de laprotección

Consulte los registros para ver si su cliente ha encontrado unadetección de virus o un ataque de red.


Ver registros para lasdetecciones o losataques

Compruebe que el cliente haya recibido la última política deseguridad. Una política de seguridad incluye la configuración másactual de las tecnologías de protección para su cliente.

La política de seguridad se actualiza automáticamente. Paraasegurarse de que tiene la última política, puede actualizarlamanualmente haciendo clic con el botón derecho en el icono delárea de notificación del cliente y en Actualizar política.


Actualizar la políticade seguridad

(Cliente administradosolamente)

35Cómo garantizar que el equipo esté protegidoCómo administrar la protección del equipo

Actualización de la protección del equipoLos productos de Symantec dependen de la información actual para proteger suequipo de amenazas descubiertas recientemente. Symantec pone esta informacióna disposición mediante LiveUpdate.

Las actualizaciones de contenido son los archivos que mantienen actualizadossus productos de Symantec con la última tecnología de protección contra amenazas.LiveUpdate obtiene los nuevos archivos de contenido desde un sitio de Internetde Symantec y reemplaza los archivos de contenido anteriores. Las actualizacionesque usted recibe dependen de los productos instalados en su equipo. Cómo suequipo recibe las actualizaciones depende de si su equipo es administrado o noadministrado y de cómo su administrador ha configurado las actualizaciones.

Los siguientes tipos de archivos son ejemplos de actualizaciones de contenido:

■ Archivos de definiciones de virus para Protección contra virus y spyware.

■ Firmas heurísticas y listas de aplicaciones comerciales para Protecciónproactiva contra amenazas.

■ Archivos de definiciones de IPS para Protección contra amenazas de red.Ver "Acerca de Protección contra amenazas de red" en la página 108.

LiveUpdate puede además proporcionar mejoras al cliente instalado. Estas mejorasse crean generalmente para ampliar la compatibilidad del sistema operativo o delhardware, para ajustar los problemas de rendimiento o para reparar errores delproducto. Estas mejoras al cliente se lanzan en función de la demanda. Un equipocliente puede recibir estas mejoras directamente desde un servidor de LiveUpdate.Un equipo cliente administrado puede, además, recibir actualizaciones del productoautomáticamente de un servidor de administración de su empresa.

Tabla 3-2 Maneras de actualizar el contenido en su equipo

DescripciónTarea

De forma predeterminada, LiveUpdate se ejecutaautomáticamente en los intervalos programados.

En un cliente no administrado, se puede deshabilitar ocambiar una programación de LiveUpdate.

Ver "Actualización del contenido según unaprogramación" en la página 37.

Actualizar el contenido segúnuna programación

De acuerdo con su configuración de seguridad, es posibleejecutar LiveUpdate de forma inmediata.

Ver "Actualización del contenido de forma inmediata"en la página 37.

Actualizar el contenido de formainmediata

Cómo garantizar que el equipo esté protegidoActualización de la protección del equipo

36

Actualización del contenido de forma inmediataEs posible actualizar los archivos de contenido de forma inmediata con LiveUpdate.Es necesario ejecutar LiveUpdate manualmente por los siguientes motivos:

■ El software de cliente fue instalado recientemente.

■ Ha transcurrido mucho tiempo desde el último análisis.

■ Sospecha que el equipo tiene un problema de virus u otro software malicioso.

Ver "Actualización del contenido según una programación" en la página 37.


Para actualizar la protección de forma inmediata

◆ En el cliente, en la barra lateral, haga clic en LiveUpdate.

LiveUpdate se conecta con el servidor de Symantec, comprueba si hayactualizaciones disponibles y las descarga e instala automáticamente.

Actualización del contenido según una programaciónEs posible crear una programación de modo que LiveUpdate se ejecuteautomáticamente en intervalos programados. Es conveniente programar laejecución de LiveUpdate cuando no se use el equipo.

Ver "Actualización del contenido de forma inmediata" en la página 37.

Nota: Si tiene un cliente administrado, solamente puede configurar LiveUpdatepara ejecutarse según una programación si su administrador le ha habilitado parahacerlo. Si el icono de candado aparece y las opciones están desactivadas, no esposible actualizar el contenido según una programación.

Para actualizar la protección según una programación

1 En el cliente, en la barra lateral, haga clic en Cambiar configuración.

2 Al lado de Administración de clientes, haga clic en Configurar opciones.

3 En el cuadro de diálogo Configuración de administración de clientes, hagaclic en LiveUpdate.

4 En la ficha LiveUpdate, seleccione Habilitar actualizaciones automáticas.

37Cómo garantizar que el equipo esté protegidoActualización de la protección del equipo

5 En el cuadro de grupo Frecuencia y tiempo, seleccione si desea que lasactualizaciones se ejecuten diaria, semanal o mensualmente. A continuación,seleccione el día o la semana, y la hora en que es necesario que lasactualizaciones se ejecuten.

La configuración del tiempo depende la opción que se selecciona del cuadrode grupo Frecuencia. La disponibilidad de las otras opciones en este cuadrode diálogo también depende de la frecuencia que seleccione.

6 En el cuadro de grupo Ventana Volver a intentar, seleccione Continuarintentando durante y, a continuación, especifique el intervalo de tiempodurante el cual el cliente intenta ejecutar LiveUpdate de nuevo.

7 En el cuadro de grupo Opciones de cálculo aleatorio, seleccione Decidiraleatoriamente que la hora de inicio sea + o - 9 horas) y, a continuación,especifique el número de horas o días.

Esta opción configura un intervalo antes o después de la hora programadapara que la actualización se inicie.

8 En el cuadro de grupo Detección inactiva, seleccione Demore LiveUpdatesprogramados hasta que el sistema esté inactivo. Las sesiones vencidas seejecutarán incondicionalmente.

Es posible también configurar las opciones para la conexión del servidorproxy a un servidor interno de LiveUpdate. Consulte la ayuda en pantallapara obtener información sobre las opciones.

9 Haga clic en Aceptar.

Cómo determinar si el cliente está conectado yprotegido

El cliente utiliza un icono de área de notificación para indicar si el cliente estáconectado o sin conexión y si el equipo cliente está protegido adecuadamente. Esposible hacer clic con el botón derecho en este icono para visualizar comandosutilizados frecuentemente. El icono se encuentra en la esquina inferior derechadel escritorio del equipo cliente.

Nota: En los clientes administrados, el icono del área de notificación no aparecesi el administrador lo ha configurado para que no esté disponible.

Cómo garantizar que el equipo esté protegidoCómo determinar si el cliente está conectado y protegido

38

Tabla 3-3 Iconos de estado de clientes de Symantec Endpoint Protection

DescripciónIcono

El cliente se ejecuta sin problemas. Está desconectado o no administrado.Los clientes no administrados no están conectados a un servidor deadministración. El icono es un escudo amarillo plano.

El cliente se ejecuta sin problemas. Está conectado y se comunica con elservidor. Todos los componentes de la política de seguridad protegen elequipo. El icono es un escudo amarillo con un punto verde.

El cliente tiene un problema menor. Por ejemplo, las definiciones de viruspueden estar desactualizadas. El icono es un escudo amarillo y un puntoamarillo claro que contiene una marca de exclamación negra.

El cliente no se ejecuta, tiene un problema grave o tiene por lo menos unatecnología de protección deshabilitada. Por ejemplo, la Protección contraamenazas de red puede estar deshabilitada. El icono es un escudo amarillocon un punto blanco delineado en rojo y una línea roja a través del punto.

La Tabla 3-4 muestra los iconos de estado de clientes de Symantec Network AccessControl que aparecen en el área de notificación.

Tabla 3-4 Iconos de estado de clientes de Symantec Network Access Control

DescripciónIcono

El cliente se ejecuta sin problemas, aprobó la comprobación de integridaddel host y actualizó la política de seguridad. Está desconectado o noadministrado. Los clientes no administrados no están conectados a unservidor de administración. El icono es una llave dorada plana.

El cliente se ejecuta sin problemas, aprobó la comprobación de integridaddel host y actualizó la política de seguridad. Se comunica con el servidor. Elicono es una llave dorada con un punto verde.

El cliente no superó la comprobación de integridad del host o no actualizóla política de seguridad. El icono es una llave dorada con un punto rojo quecontiene una "X" blanca

Ver "Ocultar y visualizar el icono del área de notificación" en la página 39.

Ocultar y visualizar el icono del área de notificaciónEs posible ocultar el icono del área de notificación, si es necesario. Por ejemplo,se lo puede ocultar si se necesita más espacio en la barra de tareas de Windows.

39Cómo garantizar que el equipo esté protegidoCómo determinar si el cliente está conectado y protegido

Ver "Cómo determinar si el cliente está conectado y protegido" en la página 38.

Nota: En clientes administrados, no es posible ocultar el icono del área denotificación si el administrador ha restringido esta función.

Para ocultar o mostrar el icono del área de notificación

1 En la ventana principal, en la barra lateral, haga clic en Cambiarconfiguración.

2 En la página Cambiarconfiguración, para Administracióndeclientes, hagaclic en Configurar opciones.

3 En el cuadro de diálogo Configuración de administración de clientes, en laficha General, en Mostraropciones, seleccione o anule la selección de Mostraricono de seguridad de Symantec en el área de notificación.


Acerca de los clientes administrados y los clientes noadministrados

Su administrador puede instalar el cliente como un cliente administrado(instalación administrada por el administrador) o un cliente no administrado(instalación independiente).

Cómo garantizar que el equipo esté protegidoAcerca de los clientes administrados y los clientes no administrados

40

Tabla 3-5 Diferencias entre un cliente administrado y un cliente noadministrado

DescripciónTipo de cliente

Un cliente administrado se comunica con un servidor deadministración de la red. El administrador define la protección y laconfiguración predeterminada, y el servidor de administracióndescarga la configuración al cliente. Si el administrador realiza uncambio en la protección, el cambio se descarga casi de forma inmediataal cliente.

Los administradores pueden cambiar el nivel en el cual se interactúacon el cliente de las siguientes maneras:

■ El administrador administra el cliente en su totalidad.

No debe configurar el cliente. Toda la configuración está bloqueadao no disponible, pero puede ver información sobre lo que hace elcliente en su equipo.

■ El administrador administra el cliente, pero puede cambiar algunasopciones de configuración del cliente y realizar algunas tareas. Porejemplo, puede ejecutar sus propios análisis y recuperarmanualmente actualizaciones del cliente y actualizaciones deprotección.

La disponibilidad de las opciones del cliente, además de los valoresde configuración mismos, pueden cambiar periódicamente. Porejemplo, una opción puede cambiar cuándo el administradoractualiza la política que controla la protección del cliente.

■ El administrador administra el cliente, pero puede cambiar todaslas opciones de configuración del cliente y realizar todas las tareasde protección.

Clienteadministrado

Un cliente no administrado no se comunica con un servidor deadministración, y un administrador no administra el cliente.

Un cliente no administrado puede ser uno de los siguientes tipos:

■ Un equipo independiente que no se conecta a una red, como unequipo personal o un equipo portátil. El equipo debe incluir unainstalación de Symantec Endpoint Protection que utilice lasopciones predeterminadas o una configuración preestablecida porun administrador.

■ Un equipo remoto que se conecta a una red corporativa y que debecumplir los requisitos de seguridad para conectarse.

El cliente tiene una configuración predeterminada cuando se instalapor primera vez. Una vez que el cliente está instalado, puede cambiartodas las opciones de configuración del cliente y realizar todas lastareas de protección.

Cliente noadministrado

41Cómo garantizar que el equipo esté protegidoAcerca de los clientes administrados y los clientes no administrados

Ver "Cómo comprobar si el cliente es administrado o no administrado"en la página 42.

La Tabla 3-6 describe las diferencias en la interfaz de usuario entre un clienteadministrado y un cliente no administrado.

Tabla 3-6 Diferencias entre un cliente administrado y un cliente noadministrado por área de funciones

Cliente autoadministradoCliente administrado demanera centralizada

Área de funciones

El cliente no muestra un candadobloqueado o un candadodesbloqueado.

El cliente muestra una opción decandado bloqueado, y la opciónaparece atenuada para lasopciones que no se puedenconfigurar.

Protección contravirus y spyware

El cliente no muestra un candadobloqueado o un candadodesbloqueado.

El cliente muestra una opción decandado bloqueado, y la opciónaparece atenuada para lasopciones que no se puedenconfigurar.

Protección proactivacontra amenazas

Todas las opciones deconfiguración aparecen.

Las opciones de configuraciónque controla el administrador noaparecen.

Configuración deAdministración declientes y Proteccióncontra amenazas dered


Cómo comprobar si el cliente es administrado o noadministrado

Para comprobar cuánto control tiene para configurar la protección en su cliente,primero debe comprobar si se trata de un cliente administrado o no administrado.Es posible ajustar más configuraciones en un cliente no administrado que en uncliente administrado.

Ver "Acerca de los clientes administrados y los clientes no administrados"en la página 40.

Para comprobar si el cliente es administrado o no administrado

1 En la página Estado, haga clic en Ayuda > Solución de problemas.

2 En el cuadro de diálogo Solucióndeproblemas, haga clic en Administración.

Cómo garantizar que el equipo esté protegidoCómo comprobar si el cliente es administrado o no administrado

42

3 En el panel Administración, en Información general, junto a Servidor,busque la siguiente información:

■ Si se trata de un cliente administrado, el campo Servidor muestra ladirección del servidor de administración o el texto Desconectado.La dirección puede ser una dirección IP, un nombre DNS o un nombreNetBIOS. Por ejemplo, un nombre DNS puede ser SEPMServer1. Si se tratade un cliente administrado, pero que no está conectado actualmente a unservidor de administración, este campo aparece como Desconectado.

■ Si se trata de un cliente no administrado, el campo Servidor aparece comoAutoadministrado.

4 Haga clic en Cerrar.

Acerca de cómo habilitar y deshabilitar la protecciónGeneralmente, se recomienda mantener siempre las tecnologías de protecciónhabilitadas en el equipo cliente.

Puede ser recomendable deshabilitar temporalmente todas las tecnologías deprotección o las tecnologías de protección individuales si tiene un problema conel equipo cliente. Por ejemplo, si una aplicación no se ejecuta o no se ejecutacorrectamente, puede ser recomendable deshabilitar Protección contra amenazasde red. Si el problemas persiste una vez que se deshabilitan todas las tecnologíasde protección, ya sabe que el problema no es el cliente.

Advertencia: Asegúrese de habilitar las protecciones cuando haya finalizado lasolución del problema para que su equipo permanezca protegido.

La Tabla 3-7 describe los motivos por los que puede ser recomendable deshabilitarcada tecnología de protección.

43Cómo garantizar que el equipo esté protegidoAcerca de cómo habilitar y deshabilitar la protección

Tabla 3-7 Propósito de deshabilitar una tecnología de protección

Propósito de deshabilitar la tecnología de protecciónTecnología deprotección

Si deshabilita esta protección, se deshabilita Auto-Protect solamente.

Los análisis programados o de inicio se ejecutan de todos modos si usted o el administradorasí lo han establecido.

Es posible que tenga que habilitar o deshabilitar Auto-Protect por los siguientes motivos:

■ Auto-Protect puede impedir que abra un documento. Por ejemplo, si abre un documentode Microsoft Word que tiene una macro, es posible que Auto-Protect no permita que laabra. Si sabe que el documento es seguro, puede deshabilitar Auto-Protect.

■ Auto-Protect puede alertar acerca de una actividad propia de virus que el usuario sepacon seguridad que no está ocasionada por un virus. Por ejemplo, es posible que se muestreun aviso cuando se instalan nuevas aplicaciones informáticas. Si planea instalar másaplicaciones y desea evitar el aviso, es posible deshabilitar temporalmente Auto-Protect.

■ Auto-Protect puede interferir con el reemplazo de controladores de Windows.

■ Auto-Protect puede ralentizar el equipo cliente.

Nota: Si deshabilita Auto-Protect, usted además deshabilita Diagnóstico Insight dedescargas, incluso si está habilitado. SONAR además no puede detectar amenazas heurísticas.La detección de SONAR de cambios de archivos de host y de sistema continúa funcionando.

Ver "Habilitar o deshabilitar Auto-Protect" en la página 46.

Si Auto-Protect causa un problema con una aplicación, es mejor crear una excepción quedeshabilitar permanentemente la protección.


Protección antivirus yantispyware

Puede ser recomendable deshabilitar la Protección proactiva contra amenazas por lossiguientes motivos:

■ Observa demasiadas advertencias sobre amenazas que sabe que no son amenazas.

■ La Protección proactiva contra amenazas puede ralentizar el equipo cliente.

Ver "Cómo habilitar o deshabilitar la protección en el equipo cliente" en la página 45.

Protección proactivacontra amenazas

Cómo garantizar que el equipo esté protegidoAcerca de cómo habilitar y deshabilitar la protección

44

Propósito de deshabilitar la tecnología de protecciónTecnología deprotección

Puede ser recomendable deshabilitar la Protección contra amenazas de red por los siguientesmotivos:

■ Instala una aplicación que el firewall puede bloquear.

■ Una regla de firewall o una configuración de firewall bloquea una aplicación debido aun error del administrador.

■ El firewall o el sistema de prevención de intrusiones causa problemas relacionados conla conectividad de red.

■ El firewall puede ralentizar el equipo cliente.

■ No es posible abrir una aplicación.

Ver "Cómo habilitar o deshabilitar la prevención de intrusiones" en la página 142.

Ver "Cómo habilitar o deshabilitar la protección en el equipo cliente" en la página 45.

Si no está seguro de que Protección contra amenazas de red causa el problema, se recomiendadeshabilitar todas las tecnologías de protección.

En un cliente administrado, su administrador puede bloquear Protección contra amenazasde red totalmente de modo que usted no pueda habilitarla ni deshabilitarla.

Protección contraamenazas de red

Típicamente es necesario mantener Protección contra intervenciones habilitada.

Puede ser recomendable deshabilitar temporalmente Protección contra intervencionespara asegurarse de no recibir detecciones positivas falsas.

Ver "Habilitar, deshabilitar y configurar Protección contra intervenciones" en la página 48.

Protección contraintervenciones

Cómo habilitar o deshabilitar la protección en elequipo cliente

En el cliente, cuando se deshabilita alguna de las protecciones:

■ La barra de estado ubicada en la parte superior de la página Estado es roja.

■ El icono del cliente aparece con un signo de prohibición universal, un círculorojo con una raya diagonal. El icono del cliente aparece como un escudocompleto en la barra de tareas en la esquina inferior derecha del escritorio deWindows. En algunas configuraciones, el icono no aparece.Ver "Cómo determinar si el cliente está conectado y protegido" en la página 38.

En un cliente administrado, el administrador puede habilitar cualquier protecciónen cualquier momento.

Es posible también deshabilitar Auto-Protect, Protección proactiva contraamenazas o Protección contra amenazas de red con el propósito de solucionar

45Cómo garantizar que el equipo esté protegidoCómo habilitar o deshabilitar la protección en el equipo cliente

problemas. En un cliente administrado, el administrador puede bloquear unaprotección de modo que no se pueda deshabilitar.



Para habilitar las tecnologías de protección desde la página Estado

◆ En el cliente, en la parte superior de la página Estado, haga clic en Repararo Reparar todo.

Para habilitar o deshabilitar las tecnologías de protección desde la barra de tareas

◆ En el escritorio de Windows, en el área de notificación, haga clic con el botónderecho en el icono del cliente y realice una de las siguientes acciones:

■ Haga clic en Habilitar Symantec Endpoint Protection.

■ Haga clic en Deshabilitar Symantec Endpoint Protection.

Para habilitar o deshabilitar Protección proactiva contra amenazas o Proteccióncontra amenazas de red

◆ En el cliente, en la página Estado, al lado de Protección tipo de protección,realice una de las siguientes tareas:

■ Haga clic en Opciones > Habilitar protección tipo de protección.

■ Haga clic en Opciones > Deshabilitar todas las funciones de tipo deprotección.

Habilitar o deshabilitar Auto-ProtectEs posible habilitar o deshabilitar Auto-Protect para los procesos y los archivos,el correo electrónico de Internet y las aplicaciones de grupo de correo electrónico.Cuando se deshabilita cualquier tipo de Auto-Protect, el estado de la proteccióncontra virus y spyware aparece en rojo en la página Estado.

Al hacer clic con el botón derecho en el icono, una marca de verificación apareceal lado de Habilitar Auto-Protect cuando Auto-Protect para archivos y procesosestá habilitado.

Ver "Acerca de los iconos de alerta de la página Estado" en la página 15.


Cómo garantizar que el equipo esté protegidoHabilitar o deshabilitar Auto-Protect

46

Nota: En un cliente administrado, el administrador puede bloquear Auto-Protectde modo que no se pueda deshabilitar. Además, el administrador puede especificarque sea posible deshabilitar Auto-Protect temporalmente, pero que Auto-Protectse habilite automáticamente después de una cantidad de tiempo especificada..

En caso de que no se haya modificado la configuración predeterminada,Auto-Protect se carga de forma automática al iniciar el sistema con el fin deprotegerlo frente a los virus y los riesgos de seguridad. Auto-Protect analiza losprogramas en busca de virus y riesgos de seguridad cuando se ejecutan. Tambiénsupervisa su equipo en busca de cualquier actividad que pudiera indicar lapresencia de un virus o de un riesgo de seguridad. Cuando se detecte un virus, unaactividad vírica (un evento que pudiera estar provocado por un virus) o un riesgode seguridad, Auto-Protect emitirá una alerta.

Nota: Si deshabilita Auto-Protect, usted además deshabilita Diagnóstico Insightde descargas, incluso si está habilitado. SONAR además no puede detectaramenazas heurísticas; sin embargo, SONAR continúa detectando cambios delarchivo del host y del sistema.

Para habilitar o deshabilitar Auto-Protect para el sistema de archivos

◆ En el cliente, en la página Estado, al lado de Protección contra virus yspyware, realice una de las siguientes acciones:

■ Haga clic en Opciones > Habilitar Protección contra virus y spyware.

■ Haga clic en Opciones > Deshabilitar todas las funciones de protecciónantivirus y antispyware.

Para habilitar o deshabilitar Auto-Protect para el correo electrónico


2 Junto a Proteccióncontravirusyspyware, haga clic en Configuraropciones.


■ En la ficha Auto-Protectpara correoelectrónicode Internet, seleccioneo anule la selección de Habilitar Auto-Protect para correo electrónicode Internet.

■ En la ficha Auto-ProtectparaOutlook, seleccione o anule la selección deHabilitar Auto-Protect para Microsoft Outlook.

■ En la ficha Auto-Protect para Notes, seleccione o anule la selección deHabilitar Auto-Protect para Lotus Notes.


47Cómo garantizar que el equipo esté protegidoHabilitar o deshabilitar Auto-Protect

Habilitar, deshabilitar y configurar Protección contraintervenciones

La Protección contra intervenciones ofrece protección en tiempo real para lasaplicaciones de Symantec que se ejecutan en servidores y clientes. Evita que losprocesos que no pertenecen a Symantec, tales como gusanos, caballos de Troya,virus y riesgos para la seguridad, afecten los procesos de Symantec. Es posibleconfigurar el software para bloquear o registrar intentos de modificar los recursosde Symantec.

Si se habilita Protección contra intervenciones, es posible elegir las medidas quese tomarán cuando se detecta un intento de manipular el software de Symantec.Es posible también configurar Protección contra intervenciones para que muestreun mensaje que notifique sobre intentos de intervención. Si desea personalizarel mensaje, puede utilizar las variables predefinidas que Protección contraintervenciones completa con la información apropiada.

Nota:En un cliente administrado, su administrador puede bloquear la configuraciónde Protección contra intervenciones.

Para obtener información sobre las variables predefinidas, consulte la Ayuda enla ficha Protección contra intervenciones.


Para habilitar o deshabilitar Protección contra intervenciones



3 En la ficha Proteccióncontraintervenciones, seleccione o anule la selecciónde Proteger el software de seguridad de Symantec contra intervenciones ointentos de cierre.


Para configurar Protección contra intervenciones



3 En la ficha Protección contra intervenciones, en el cuadro de lista Acciónque se efectuará en caso de que una aplicación intente intervenir o cerrarel software de seguridad de Symantec, haga clic en Bloquear y registrar elevento o Registrar el evento solamente.

Cómo garantizar que el equipo esté protegidoHabilitar, deshabilitar y configurar Protección contra intervenciones

48

4 Si desea ser notificado cuando Protección contra intervenciones detectacomportamiento sospechoso, seleccione Mostrarunmensajedenotificaciónal detectar una intervención.

Si habilita estos mensajes de notificación, es posible recibir notificacionessobre los procesos de Windows, además de los procesos de Symantec.

5 Para personalizar el mensaje que aparece, actualice el texto en el campo delmensaje.


Acerca de los registrosLos registros contienen información sobre cambios en la configuración de losclientes, actividades relacionadas con la seguridad y errores. Estos registros sellaman eventos. Los registros muestran estos eventos con cualquier informaciónadicional relevante.

Las actividades relacionadas con la seguridad incluyen información sobredetecciones de virus, el estado del equipo, y el tráfico entrante o saliente del equipo.Si utiliza un cliente administrado, los registros se pueden cargar regularmenteen el servidor de administración. Un administrador puede utilizar sus datos paraanalizar el estado general de la seguridad de la red.

Los registros son un método importante para conocer la actividad del equipo y suinteracción con otros equipos y redes. Es posible utilizar la información de losregistros para realizar seguimientos de las tendencias relacionadas con los virus,los riesgos para la seguridad y los ataques al equipo. Si varias personas utilizanel mismo equipo, es posible que pueda identificar quién introduce riesgos, y ayudara esa persona a tomar mayores precauciones.

Para obtener más información sobre un registro, es posible presionar F1 y ver laayuda para ese registro.

La Tabla 3-8 describe los tipos de evento que muestra cada registro.

Tabla 3-8 Registros de clientes

DescripciónRegistro

Contiene entradas sobre los análisis que se han ejecutado en suequipo a lo largo del tiempo.

Registro de análisis

49Cómo garantizar que el equipo esté protegidoAcerca de los registros


Contiene entradas sobre los virus y los riesgos para la seguridad,como publicidad no deseada y spyware, que han infectado suequipo. Los riesgos para la seguridad incluyen un vínculo a lapágina web de Symantec Security Response, que proporcionainformación definiciones.

Ver "Poner en cuarentena un archivo desde el registro de riesgoso de análisis" en la página 96.

Registro de riesgos

Contiene información sobre las actividades del sistema de suequipo que están relacionadas con los virus y los riesgos para laseguridad. Esta información incluye cambios de configuración,errores e información de archivos de definiciones.

Registro del sistema deProtección contravirus y spyware

Contiene información sobre las amenazas que SONAR detectó ensu equipo. SONAR detecta cualquier archivo que actúe de formasospechosa. SONAR además detecta cambios de sistema.

Registro de amenazas

Contiene información sobre las actividades del sistema de suequipo que están relacionadas con SONAR.

Registro del sistema deProtección proactivacontra amenazas

Contiene los eventos que se refieren a ataques de prevención deintrusiones y el tráfico del firewall. El registro contieneinformación sobre las conexiones del equipo a través de la red.

Los registros de Protección contra amenazas de red puedenayudarlo a detectar actividades potencialmente peligrosas, comoanálisis de puertos. Pueden también ser utilizados para rastrearel origen del tráfico. Es posible también utilizar los registros dela protección de red para ayudar a solucionar problemas deconectividad o posibles ataques de red. Los registros puedenindicar cuándo el equipo fue bloqueado de la red y ayudarlo adeterminar por qué se ha bloqueado su acceso.

Registro de tráfico

Contiene información sobre los paquetes de datos que ingresan osalen a través de los puertos del equipo.

De forma predeterminada, el registro de paquetes estádeshabilitado. En un cliente administrado, no se puede habilitarel registro de paquetes. En un cliente no administrado, se puedehabilitar el registro de paquetes.

Ver "Habilitar el Registro de paquetes" en la página 52.

Registro de paquetes

El Registro de control contiene información sobre las claves deregistro de Windows, los archivos y las DLL a los que accede unaaplicación, además de las aplicaciones que el equipo ejecuta.

registro de control

Cómo garantizar que el equipo esté protegidoAcerca de los registros

50


Contiene información sobre las actividades que podrían plantearuna amenaza a su equipo. Por ejemplo, puede aparecer informaciónsobre actividades, tales como ataques de negación de servicio,análisis de puertos y alteraciones de archivos ejecutables.

Registro de seguridad

Contiene información sobre todos los cambios operativos que hanocurrido en su equipo.

Los cambios pueden incluir las actividades siguientes:

■ Un servicio se inicia o se detiene

■ El equipo detecta aplicaciones de red

■ Se configura el software

■ El estado de un cliente que sirve como proveedor deactualizaciones de grupo

Registro del sistema deAdministración declientes

Contiene entradas sobre los intentos de manipular las aplicacionesde Symantec en su equipo. Estas entradas contienen informaciónsobre los intentos que la Protección contra intervenciones hayadetectado o haya detectado y frustrado.

Registro de proteccióncontra intervenciones

Contiene información sobre el cliente, los análisis y el firewallpara los propósitos de la solución de problemas. Su administradorpuede pedir que se habiliten o se configuren los registros y quedespués se exporten.

Registros dedepuración


Visualización de los registrosEs posible ver los registros de su equipo para conocer los detalles de los eventosque han ocurrido.

Nota: Si Protección contra amenazas de red o Network Access Control no estáninstalados, no se puede ver el Registro de seguridad, el Registro del sistema ni elRegistro de control.

Para ver un registro

1 En la ventana principal, en la barra lateral, haga clic en Ver registros.

2 Haga clic en Ver registros al lado de uno de los siguientes elementos:

■ Protección antivirus y antispyware

51Cómo garantizar que el equipo esté protegidoVisualización de los registros

■ Protección proactiva contra amenazas

■ Protección contra amenazas de red

■ Administración del cliente

■ Network Access Control

Es posible que algunos elementos no aparezcan dependiendo de su instalación.

3 En el menú desplegable, seleccione el registro que desee ver.

Ver "Acerca de los registros" en la página 49.

Habilitar el Registro de paquetesTodos los registros de Protección contra amenazas de red y de Administración declientes están habilitados de forma predeterminada, a excepción del Registro depaquetes. En los clientes no administrados, se puede habilitar y deshabilitar elRegistro de paquetes.

En los clientes administrados, su administrador puede permitirle habilitar odeshabilitar el Registro de paquetes.


Para habilitar el Registro de paquetes

1 En el cliente, en la página Estado, a la derecha de Protección contra amenazasde red, haga clic en Opciones y después haga clic en Cambiarconfiguración.

2 En el cuadro de diálogo Configuración de protección contra amenazas dered, haga clic en Registros.

3 Marque Habilitar el registro de paquetes.


Localizar el origen de los eventos registradosEs posible rastrear algunos eventos para identificar el origen de datos de un eventoregistrado. Un seguimiento regresivo muestra los pasos exactos o los saltos, queel tráfico entrante hizo. Un salto es un punto de transición, tal como un router,por el que viaja un paquete al ir de un equipo a otro en Internet. Un seguimientoregresivo desanda la ruta de un paquete de datos, detectando los routers queutilizaron los datos para alcanzar su equipo.


Para algunas entradas de registro, es posible localizar un paquete de datos quefue utilizado en un intento de ataque. Cada router por el que pasa un paquete de

Cómo garantizar que el equipo esté protegidoLocalizar el origen de los eventos registrados

52

datos tiene una dirección IP. Es posible ver la dirección IP y otros detalles. Lainformación que se visualiza no garantiza que se haya detectado quién es el hacker.La dirección IP del salto final menciona al propietario del router mediante el cualse conectaron los hackers, pero no necesariamente a los hackers mismos.

Es posible realizar un seguimiento regresivo de algunos eventos registrados enel Registro de seguridad y el Registro de tráfico.

Para realizar un seguimiento regresivo de un evento registrado

1 En el cliente, en la barra lateral, haga clic en Ver registros.

2 A la derecha de Protección contra amenazas de red o de Administración declientes, haga clic en Ver registros. A continuación, haga clic en el registroque contiene la entrada que desea localizar.

3 En la ventana de visualización del registro, seleccione la fila de la entradaque usted desea localizar.

4 Haga clic en Acción y después haga clic en Realizar seguimiento regresivo.

5 En el cuadro de diálogo Información de seguimiento regresivo, haga clic enQuién es>> para ver información detallada sobre cada salto.

Se muestra un panel desplegable con información detallada sobre elpropietario de la dirección IP en la cual se originó el evento de tráfico. Esposible utilizar Ctrl+C y Ctrl+V para cortar y pegar la información del panelen un mensaje de correo electrónico para su administrador.

6 Haga clic en Quién es << de nuevo para ocultar la información.

7 Cuando haya terminado, haga clic en Aceptar.

Exportar datos de registroEs posible exportar la información de algunos registros a un archivo de valoresseparados por comas (.csv) o a un formato de base de datos de Access (*.mdb). Elformato csv es un formato de archivo común que la mayoría de los programas dehoja de cálculo y de base de datos utilizan para importar datos. Después de importarlos datos en otro programa, es posible utilizarlos para crear presentaciones,gráficos o combinarlos con otra información. Es posible exportar la informaciónde los registros de Protección contra amenazas de red y de Administración declientes a archivos de texto delimitado por tabulaciones.


53Cómo garantizar que el equipo esté protegidoExportar datos de registro

Nota: Si ejecuta el software de cliente en Windows Server 2008 Server Core, noes posible exportar datos de registro a un archivo .mdb. El formato .mdb necesitaalgunas aplicaciones de Microsoft que no están disponibles en Server Core.

Es posible exportar los registros siguientes a un archivo .csv o .mdb:

■ Registro del sistema de virus y spyware

■ Registro de riesgos de virus y spyware

■ Registro de análisis de virus y spyware

■ Registro del sistema de Protección proactiva contra amenazas

■ Registro de amenazas de Protección proactiva contra amenazas

■ Registro de protección contra intervenciones

Nota: Si filtra los datos del registro de cualquier manera y después los exporta, seexportan solamente los datos filtrados actualmente. Esta restricción no se aplicaa los registros que se exportan a un archivo de texto delimitado por tabulaciones.Todos los datos de esos registros se exportan.

Es posible exportar los registros siguientes a un archivo .txt delimitado portabulaciones:

■ Registro de control de Administración de clientes

■ Registro de seguridad de Administración de clientes

■ Registro del sistema de Administración de clientes

■ Registro de paquetes de Protección contra amenazas de red

■ Registro de tráfico de Protección contra amenazas de red

Nota: Además de un archivo de texto delimitado por tabulaciones, es posibletambién exportar los datos del Registro de paquetes en formato de supervisor dered o formato de NetXray.

En la instalación Server Core de Windows Server 2008, los cuadros de diálogo dela interfaz de usuario pueden diferir de los que se describen en estosprocedimientos.

Cómo garantizar que el equipo esté protegidoExportar datos de registro

54

Para exportar datos a un archivo .csv


2 Al lado de Protección antivirus y antispyware o Protección proactiva contraamenazas, haga clic en Ver registros.

3 Haga clic en el nombre del registro que desee.

4 En la ventana del registro, asegúrese de que los datos que desee guardaraparezcan y después haga clic en Exportar.

5 En la lista desplegable Guardar en, vaya al directorio donde desee guardarel archivo.

6 En el cuadro de texto Nombredearchivo, escriba un nombre para el archivo.

7 Haga clic en Guardar.


Para exportar datos de registros de Protección contra amenazas de red o deAdministración de clientes a un archivo de texto


2 A la derecha de Protección contra amenazas de red o de Administración declientes, haga clic en Ver registros.

3 Haga clic en el nombre del registro del cual desea exportar datos.

4 Haga clic en Archivo > Exportar.

Si seleccionó el Registro de paquetes, puede hacer clic en Exportaral formatode supervisor de red o Exportar al formato de NetXray.

5 En la lista desplegable Guardar en, vaya al directorio donde desee guardarel archivo.

6 En el cuadro de texto Nombredearchivo, escriba un nombre para el archivo.

7 Haga clic en Guardar.

8 Haga clic en Archivo > Salir.

55Cómo garantizar que el equipo esté protegidoExportar datos de registro

Cómo garantizar que el equipo esté protegidoExportar datos de registro

56

Cómo administrar losanálisis


■ Cómo administrar análisis en su equipo

■ Cómo funcionan los análisis de virus y spyware

■ Cómo programar un análisis definido por el usuario

■ Cómo programar un análisis para que se ejecute manualmente o cuando seinicia el equipo

■ Cómo administrar las detecciones de Diagnóstico Insight de descargas en suequipo

■ Cómo personalizar la configuración de Diagnóstico Insight de descargas

■ Cómo personalizar la configuración del análisis de virus y spyware

■ Configuración de acciones para las detecciones de software malicioso y deriesgos para la seguridad

■ Acerca de la exclusión de elementos del análisis

■ Exclusión de elementos del análisis

■ Cómo administrar los archivos en cuarentena en el equipo cliente

■ Acerca de enviar información sobre detecciones a Symantec Security Response

■ Cómo enviar la información sobre las detecciones a Symantec SecurityResponse

■ Acerca del cliente y Windows Security Center

4Capítulo

■ Cómo administrar SONAR en el equipo cliente

Cómo administrar análisis en su equipoDe forma predeterminada, un cliente administrado ejecuta un análisis activodiariamente a las 12.30 p. m. Un cliente no administrado se instala con un análisisactivo preestablecido que se deshabilita.

Si tiene un cliente no administrado, puede administrar sus propios análisis. Enun cliente administrado, es posible que pueda configurar sus propios análisis, siel administrador habilitó esta configuración.

Tabla 4-1 Cómo administrar los análisis

DescripciónPaso

Revise los tipos de análisis y los tipos de virus y riesgos para laseguridad.

Ver "Cómo funcionan los análisis de virus y spyware"en la página 64.

Leer sobre cómo losanálisis funcionan

Asegúrese de que tiene las últimas definiciones de virusinstaladas en su equipo.


Actualizar lasdefiniciones de virus

Auto-Protect se encuentra habilitado de forma predeterminada.Siempre se debe mantener Auto-Protect habilitado. Si deshabilitaAuto-Protect, también se deshabilita Diagnóstico Insight dedescargas y se impide que SONAR haga detecciones heurísticas.


Comprobar queAuto-Protect estéhabilitado

Analice regularmente su equipo en busca de virus y riesgos parala seguridad. Asegúrese de que los análisis se ejecutenregularmente comprobando la fecha del último análisis.

Ver "Cómo analizar su equipo de forma inmediata"en la página 16.


Analizar el equipo

Cómo administrar los análisisCómo administrar análisis en su equipo

58

DescripciónPaso

Siempre que se ejecuta un análisis manual, programado, deinicio o definido por el usuario, el software de SymantecEndpoint Protection muestra de forma predeterminada uncuadro de diálogo de progreso del análisis para señalar elprogreso. Además, Auto-Protect puede mostrar un cuadro dediálogo de resultados siempre que detecte un virus o un riesgode seguridad. Es posible deshabilitar estas notificaciones.

La función de interrupción de análisis permite detener laejecución de un análisis en cualquier punto y continuarladespués. Un usuario puede interrumpir cualquier análisis quehaya iniciado.

En las redes administradas, el administrador determina si sepuede interrumpir momentáneamente un análisis iniciado porel administrador. Si la opción Pausaranálisis no está disponible,el administrador deshabilitó esta función. Si el administradorhabilita la función Posponer, los usuarios podrán retrasar losanálisis programados del administrador por un intervalo detiempo determinado.

Cuando que un análisis se reanuda, se inicia desde donde sedetuvo.

Nota: Si interrumpe momentáneamente un análisis al mismotiempo que el cliente analiza un archivo comprimido, el clientepuede tardar varios minutos para responder a la solicitud deinterrupción.


Interrumpir o retrasarlos análisis

59Cómo administrar los análisisCómo administrar análisis en su equipo

DescripciónPaso

Cuando los análisis se ejecutan, puede ser que vea un cuadro dediálogo de los resultados de análisis. Es posible usar el cuadrode diálogo de los resultados del análisis para realizar algunasacciones en los elementos que el análisis detecta.

En una red administrada, es posible que el cuadro de diálogo deprogreso del análisis no aparezca tras los análisis iniciados porel administrador. El administrador puede elegir no mostrar losresultados cuando el cliente detecta un virus o un riesgo parala seguridad. En algunos casos, el administrador puede permitirlever los resultados del análisis, pero no interrumpirmomentáneamente ni reanudar un análisis.

Nota: El idioma del sistema operativo es posible que no puedainterpretar algunos caracteres en los nombres de los virus queaparecen en el cuadro de diálogo de los resultados del análisis.Si el sistema operativo no puede interpretar los caracteres, éstosaparecen como signos de interrogación en las notificaciones.Por ejemplo, algunos nombres de virus en unicode puedencontener caracteres de doble byte. En los equipos con el clienteen un sistema operativo en inglés, estos caracteres aparecencomo signos de interrogación.

Ver "Respuesta a la detección de un virus o un riesgo"en la página 24.

Interactuar con losresultados del análisis


60

DescripciónPaso

De forma predeterminada, Symantec Endpoint Protectionproporciona un alto nivel de seguridad mientras que reduce almínimo el impacto en el rendimiento del equipo. Es posiblepersonalizar la configuración para aumentar el rendimiento delequipo aún más.

Para los análisis programados y manuales, se pueden cambiarlas siguientes opciones:

■ Ajuste del análisis

Configure el ajuste del análisis en Máximo rendimiento deaplicaciones.

■ Archivos comprimidos

Cambie el número de los niveles para analizar los archivoscomprimidos.

■ Análisis reanudables

Es posible especificar un tiempo máximo para que un análisisse ejecute. El análisis se reanuda cuando el equipo estáinactivo.

■ Análisis aleatorios

Es posible especificar que un análisis ordene aleatoriamentesu hora de inicio dentro de un intervalo específico.

Es posible que además desee deshabilitar los análisis de inicioo cambiar la programación para los análisis programados.



Ajustar los análisis paramejorar el rendimientodel equipo


DescripciónPaso

En la mayoría de los casos, la configuración predeterminada delanálisis proporciona una protección adecuada para su equipo.En algunos casos, puede ser recomendable aumentar laprotección. Si aumenta la protección, es posible que afecte elrendimiento del equipo.

Para los análisis programados y manuales, se pueden cambiarlas siguientes opciones:

■ Rendimiento del análisis

Configure el ajuste del análisis en Máximo rendimiento deanálisis.

■ Acciones de análisis

Cambie las acciones de reparación que ocurren cuando sedetecta un virus.

■ Duración del análisis

De forma predeterminada, los análisis programados seejecutan hasta que el intervalo especificado caduca y, acontinuación, se reanudan cuando el equipo cliente estáinactivo. Es posible configurar la duración del análisis enAnalizar hasta finalizar.

■ Búsqueda de Insight

Búsqueda de Insight usa el conjunto de definiciones másrecientes para analizar y para tomar decisiones sobre losarchivos. Además, usa la tecnología de reputación deSymantec. Se debe asegurar de que Búsqueda de Insight estéhabilitada. La configuración de Búsqueda de Insight essimilar a la configuración de Diagnóstico Insight dedescargas.

También es posible aumentar el nivel de protección deBloodhound. Bloodhound localiza y aísla las regiones lógicas deun archivo para detectar comportamiento de virus. Es posiblecambiar el nivel de detección de Automático a Modo intensopara aumentar la protección en su equipo. La configuraciónModointenso, sin embargo, es probable que produzca más falsospositivos.


Ajustar análisis paraaumentar la protecciónen su equipo


62

DescripciónPaso

Para Auto-Protect, puede ser recomendable cambiar lassiguientes opciones:

■ Memoria caché de archivo

Asegúrese de que la memoria caché de archivos estéhabilitada (se habilita de forma predeterminada). Cuando sehabilita la memoria caché de archivos, Auto-Protect recuerdalos archivos limpios que analizó y no los vuelve a analizar.

■ Configuración de red

Cuando habilite Auto-Protect en equipos remotos, asegúresede que esté habilitado Solocuandoseejecutanlosarchivos.

■ Es posible también especificar que Auto-Protect confíe losarchivos en los equipos remotos y utilice memoria caché dered.

De forma predeterminada, Auto-Protect analiza los archivosal tiempo que se transmiten de su equipo a un equipo remoto.Auto-Protect también analiza los archivos cuando setransmiten de un equipo remoto a su equipo.

Una memoria caché de red almacena un registro de losarchivos que Auto-Protect analizó de un equipo remoto. Siutiliza una memoria caché de red, se evita que Auto-Protectanalice el mismo archivo más de una vez.


Modificar laconfiguración deAuto-Protect paramejorar el rendimientode su equipo o paraaumentar la protección

Diagnóstico Insight de descargas examina los archivos que seintentan descargar a través de los navegadores web, los clientesde mensajería de texto y otros portales. Diagnóstico Insight dedescargas usa la información de reputación de Symantec Insightpara tomar decisiones sobre los archivos.

Ver "Cómo administrar las detecciones de Diagnóstico Insightde descargas en su equipo" en la página 80.

Administrar lasdetecciones deDiagnóstico Insight dedescargas

SONAR es parte de Protección proactiva contra amenazas.

Ver "Cómo administrar SONAR en el equipo cliente"en la página 102.

Administrar SONAR

Excluya un archivo o un proceso seguro del análisis.


Identificar lasexcepciones del análisis


DescripciónPaso

De forma predeterminada, el equipo cliente envía la informaciónsobre las detecciones a Symantec Security Response. Es posibledesactivar los envíos o elegir qué clase de información se deseaenviar.

Symantec recomienda que habilite siempre los envíos. Lainformación ayuda a Symantec a abordar las amenazas.

Ver "Cómo enviar la información sobre las detecciones aSymantec Security Response" en la página 99.

Enviar informaciónsobre detecciones aSymantec

Symantec Endpoint Protection pone en cuarentena los archivosinfectados y los mueve a una ubicación en donde el archivo noinfecta otros archivos en el equipo.

Si un archivo en cuarentena no se puede reparar, es necesariodecidir qué hacer con el archivo.

Es posible también tomar las siguientes acciones:

■ Elimine un archivo en cuarentena si hay un archivo de copiade seguridad o un archivo de reemplazo disponible en unafuente de confianza.

■ Deje los archivos con infecciones desconocidas en lacuarentena hasta que Symantec publique nuevas definicionesde virus.

■ Compruebe periódicamente los archivos en cuarentena paraevitar la acumulación de una gran cantidad de archivos.Compruebe los archivos en cuarentena cuando un nuevoataque de virus aparezca en la red.

Ver "Cómo administrar los archivos en cuarentena en el equipocliente" en la página 93.

Ver "Acerca de poner en cuarentena los archivos"en la página 95.

Administrar los archivosen cuarentena

Cómo funcionan los análisis de virus y spywareLos análisis de virus y spyware identifican y neutralizan virus y riesgos para laseguridad en los equipos, o los eliminan. Un análisis elimina un virus o un riesgomediante el proceso siguiente:

■ El motor de análisis busca en los archivos y otros componentes del equiporastros de virus dentro de los archivos. Cada virus tiene un patrón reconocibleque se llama firma. En el cliente se instala un archivo de definiciones de virusque contiene las firmas de virus conocidas, sin el código de virus dañino. El

Cómo administrar los análisisCómo funcionan los análisis de virus y spyware

64

motor de análisis compara cada archivo o componente con el archivo dedefiniciones de virus. Si el motor de análisis encuentra una coincidencia,significa que el archivo está infectado.

■ El motor de análisis usa los archivos de definiciones para determinar si unvirus o un riesgo causó la infección. El motor de análisis luego realiza unaacción de reparación en el archivo infectado. Para reparar el archivo infectado,el cliente limpia, elimina o pone en cuarentena el archivo.Ver "Cómo los análisis responden a una detección de virus o de riesgos"en la página 73.

La Tabla 4-2 describe los componentes que el cliente analiza en su equipo.

Tabla 4-2 Componentes del equipo que el cliente analiza

DescripciónComponente

El cliente analiza archivos individuales. En la mayor parte de losanálisis, se seleccionan los archivos que se desea analizar.

El software de cliente utiliza el análisis basado en patrones parabuscar rastros de virus dentro de los archivos. Los rastros de virusse llaman patrones o firmas. Cada archivo se compara con las firmasinofensivas contenidas en un archivo de definiciones como métodode identificación de virus específicos.

Si se detecta un virus, el cliente intenta eliminarlo totalmente delarchivo infectado de forma predeterminada. Si no consigueeliminarlo, el cliente pone el archivo en cuarentena para evitar quela infección se extienda a otras áreas del equipo.

El cliente también utiliza un análisis basado en patrones para buscarsignos de riesgos de seguridad dentro de los archivos y las claves deregistro de Windows. Si se detecta un riesgo para la seguridad, elcliente pone en cuarentena los archivos infectados y repara losefectos del riesgo de forma predeterminada. Si el cliente no puedeponer en cuarentena los archivos, registra el intento.

Archivosseleccionados

El cliente analiza la memoria del equipo. Todos los virus de archivo,del sector de arranque y de macro pueden ser residentes en memoria.Los virus se convierten en residentes en memoria al copiarse en lamemoria de una máquina. De esta forma, se pueden ocultar hastaque se produzca un evento desencadenante. Cuando esto ocurre, elvirus puede propagarse a un disquete que se encuentre en ladisquetera, o al disco duro. Si un virus está en la memoria, no puedelimpiarse. Sin embargo, para eliminar un virus de la memoria sedebe reiniciar el equipo cuando se le solicite.

Memoria del equipo

65Cómo administrar los análisisCómo funcionan los análisis de virus y spyware

DescripciónComponente

El cliente verifica el sector de arranque del equipo en busca de virusde arranque. Se comprueban dos elementos: las tablas de particionesy el registro de arranque maestro.

Sector de arranque

Una manera común en la que un virus se propaga es mediante losdisquetes. Un disquete puede permanecer en una unidad de discocuando se enciende o desactiva el equipo. Cuando un análisis seinicia, el cliente busca el sector de arranque y las tablas departiciones de un disquete que se encuentre en la unidad de disco.Cuando se desactiva el equipo, se le pedirá que quite el disco paraevitar posibles infecciones.

Unidad de disquetes

Acerca de los tipos de análisisSymantec Endpoint Protection incluye diversos tipos de análisis para proporcionarprotección contra diversos tipos de virus, de amenazas y de riesgos.

De forma predeterminada, Symantec Endpoint Protection ejecuta un análisisactivo diariamente a las 12:30 p. m. Symantec Endpoint Protection además ejecutaun análisis activo cuando nuevas definiciones llegan al equipo cliente. En losequipos no administrados, Symantec Endpoint Protection además incluye unanálisis de inicio predeterminado que está deshabilitado.

En los clientes no administrados, debe asegurarse de que se ejecute un análisisactivo diariamente en su equipo. Puede ser recomendable programar un análisiscompleto una vez por semana o una vez al mes si sospecha que tiene una amenazainactiva en su equipo. Los análisis completos consumen más recursos del equipoy pueden ejercer un impacto en el rendimiento del equipo.


Tabla 4-3 Tipos de análisis

DescripciónTipo de análisis

Auto-Protect examinan los archivos y los datos de correo electrónico continuamentecuando se escriben o se leen en un equipo. Auto-Protect neutraliza o eliminaautomáticamente virus detectados y riesgos para la seguridad.

Auto-Protect además protege los correos electrónicos que envíe o reciba.

Ver "Acerca de los tipos de Auto-Protect" en la página 68.

Auto-Protect


66


Diagnóstico Insight de descargas impulsa la seguridad de Auto-Protect examinando losarchivos cuando los usuarios intentan descargarlos de los navegadores y de otros portales.

Diagnóstico Insight de descargas usa la información de reputación para tomar decisionessobre los archivos. La puntuación de la reputación de los archivos se determina por unatecnología de Symantec llamada Insight. Insight no usa solo el origen de un archivo sinotambién su contexto. Insight proporciona una calificación de seguridad que DiagnósticoInsight de descargas usa para tomar decisiones sobre los archivos.

Diagnóstico Insight de descargas funciona como parte de Auto-Protect y necesita queAuto-Protect esté habilitado. Si deshabilita Auto-Protect, pero habilita Diagnóstico Insightde descargas, Diagnóstico Insight de descargas no puede funcionar.

Ver "Cómo Symantec Endpoint Protection usa datos de reputación para tomar decisionessobre los archivos" en la página 74.

Diagnóstico Insight dedescargas

Para los clientes administrados, el administrador puede crear análisis programados oejecutar análisis manuales. Para los clientes no administrados o los clientes administradoscuya configuración de análisis está desbloqueada, se pueden crear y ejecutar sus propiosanálisis.

Los análisis del administrador o definidos por el usuario detectan virus y riesgos para laseguridad examinando los archivos y los procesos en el equipo cliente. Estos tipos deanálisis pueden además examinar los puntos de memoria y de carga.

Los siguientes tipos de análisis de administrador o definidos por el usuario estándisponibles:

■ Análisis programados

Un análisis programado se ejecuta en los equipos cliente en las horas señaladas. Losanálisis programados en paralelo se ejecutan secuencialmente. Si un equipo estáapagado durante un análisis programado, el análisis no se ejecuta a menos que seconfigure para volver a intentar los análisis no realizados. Es posible ejecutar unanálisis activo, completo o personalizado.

Es posible guardar su configuración de análisis programados como plantilla. Es posibleusar cualquier análisis que se guarde como una plantilla como la base para un análisisdiferente. Las plantillas de análisis se pueden guardar cuando se configuran variaspolíticas. Una plantilla de análisis programado está incluida en la política de formapredeterminada. El análisis programado predeterminado analiza todos los archivosy directorios.

■ Análisis de inicio y análisis activados

Los análisis de inicio se ejecutan cuando los usuarios inician sesión en los equipos.Los análisis activados se ejecutan cuando nuevas definiciones de virus se descargana los equipos.

■ Análisis manuales

Los análisis manuales son los análisis que se inician manualmente. Es posible ejecutarlos análisis manuales desde la página Analizar en busca de amenazas.

Análisis deladministrador y análisisdefinidos por el usuario



SONAR ofrece protección en tiempo real contra ataques de día cero. SONAR puede detenerataques incluso antes de que las definiciones basadas en firmas tradicionales detectenuna amenaza. SONAR usa datos de heurística así como datos de reputación de archivospara tomar decisiones sobre aplicaciones o archivos.

Como los análisis de amenazas proactivos, SONAR detecta los registradores de pulsaciones,spyware y cualquier otra aplicación que pudiera ser maliciosa o potencialmente maliciosa.

SONAR

Acerca de los tipos de Auto-ProtectAuto-Protect analiza los archivos así como ciertos tipos de correo electrónico yde archivos adjuntos de correo electrónico.

Si el equipo cliente ejecuta otros productos de seguridad de correo electrónico,como Symantec Mail Security, es posible que no necesite habilitar Auto-Protectpara el correo electrónico.

Auto-Protect solamente funciona con los clientes de correo electrónico admitidosy no ofrece protección para los servidores de correo.

Nota: Si se detecta un virus al abrir un correo electrónico, es posible que tardevarios segundos en abrirlo mientras Auto-Protect termina el análisis.


68

Tabla 4-4 Tipos de Auto-Protect

DescripciónTipo de Auto-Protect

Continuamente analiza los archivos que se leen desde el equipo o que se escribenen este.

Auto-Protect se habilita de forma predeterminada para el sistema de archivos.Carga en el inicio del equipo. Examina todos los archivos en busca de virus yriesgos para la seguridad, y bloquea la instalación de los riesgos para la seguridad.Puede analizar opcionalmente los archivos por la extensión de archivo, analizarlos archivos en los equipos remotos y analizar los disquetes en busca de virus dearranque. Puede hacer copia de seguridad de los archivos opcionalmente antesde intentar reparar los archivos, y puede finalizar procesos y detener los servicios.

Es posible configurar Auto-Protect para que analice solamente las extensionesde archivo seleccionadas. Cuando Auto-Protect analiza las extensionesseleccionadas, puede también determinar el tipo de un archivo, incluso si un virusmodifica la extensión del archivo.

Si no ejecuta Auto-Protect para el correo electrónico, los equipos cliente aúnestán protegidos cuando se habilita Auto-Protect. La mayoría de las aplicacionesdel correo electrónico guarda los archivos adjuntos en un directorio temporalcuando los usuarios inician los archivos adjuntos de correo electrónico.Auto-Protect analiza el archivo cuando se escribe en el directorio temporal ydetecta cualquier virus o riesgo para la seguridad. Auto-Protect también detectael virus si el usuario intenta guardar un archivo adjunto infectado en una unidadlocal o de red.

Auto-Protect

Analiza mensajes de correo electrónico de Internet (POP3 o SMTP) y archivosadjuntos en busca de virus y riesgos para la seguridad; además realiza análisisheurísticos de mensajes de correo electrónico salientes.

De forma predeterminada, Auto-Protect para el correo electrónico de Internetadmite contraseñas cifradas y correo electrónico sobre conexiones POP3 y SMTP.Si utiliza POP3 o SMTP con Secure Sockets Layer (SSL), el cliente detecta lasconexiones seguras, pero no analiza los mensajes cifrados.

Nota: Por motivos de rendimiento, no se admite Auto-Protect para correoelectrónico de Internet para POP3 en los sistemas operativos de servidor. Losequipos de 64 bits tampoco admiten el análisis de correo electrónico de Internet.

El análisis de correo electrónico no admite correo electrónico IMAP, AOL o basadoen HTTP, tal como Hotmail o Yahoo! Mail.

Auto-Protect para correoelectrónico de Internet


DescripciónTipo de Auto-Protect

Analiza correo electrónico de Microsoft Outlook (MAPI e Internet) y archivosadjuntos en busca de virus y riesgos para la seguridad

Admite Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI e Internet)

Si Microsoft Outlook está instalado en el equipo cuando se realiza una instalaciónde software de cliente, el software de cliente detecta la aplicación de correoelectrónico. El cliente instala automáticamente Auto-Protect para MicrosoftOutlook.

Si usa Microsoft Outlook en un cliente MAPI o Microsoft Exchange y Auto-Protectestá habilitado para el correo electrónico, los archivos adjuntos se descargan deforma inmediata. Se analizan los archivos adjuntos cuando se abre el archivoadjunto. Si descarga un archivo adjunto de gran tamaño con una conexión lenta,el rendimiento del correo se verá afectado. Si suele recibir regularmente archivosadjuntos extensos, tal vez prefiera deshabilitar esta función.

Nota: En Microsoft Exchange Server, no es necesario instalar Auto-Protect paraMicrosoft Outlook.

Auto-Protect para MicrosoftOutlook

Analiza correo electrónico y archivos adjuntos de Lotus Notes en busca de virusy riesgos para la seguridad

Admite Lotus Notes 4.5x, 4.6, 5.0, y 6.x

Si Lotus Notes está instalado en el equipo cuando se realiza una instalación desoftware de cliente, el software de cliente detecta la aplicación de correoelectrónico. El cliente instala automáticamente Auto-Protect para Lotus Notes.

Lotus Notes, Auto-Protect

Acerca de los virus y los riesgos de seguridadSymantec Endpoint Protection realiza un análisis en busca de virus y riesgos parala seguridad. Los riesgos para la seguridad incluyen spyware, publicidad nodeseada, rootkits y archivos que pueden poner un equipo o una red en peligro.

Los virus y los riesgos para la seguridad pueden llegar a través de mensajes decorreo electrónico o programas de mensajería instantánea. Es posible descargarinadvertidamente un riesgo aceptando un acuerdo de licencia para el usuario finalde un programa de software.

Muchos virus y riesgos para la seguridad se instalan como “descargas noautorizadas”. Estas descargas ocurren generalmente cuando se visitan sitios webmaliciosos o infectados, y el descargador de la aplicación realiza la instalaciónmediante una vulnerabilidad legítima en su equipo.

Es posible ver la información sobre los riesgos específicos en el sitio web deSymantec Security Response.


70

El sitio web de Symantec Security Response ofrece la información más recientesobre amenazas y riesgos para la seguridad. También incluye amplia informaciónde referencia, tal como un glosario general e información detallada acerca de virusy riesgos para la seguridad.

Ver "Cómo los análisis responden a una detección de virus o de riesgos"en la página 73.

Figura 4-1 Cómo los virus y los riesgos de seguridad atacan un equipo

Internet Correoelectrónico,mensajeríainstantánea

Otros equipos,archivo de redcompartido

Equipo cliente

Virus y softwaremalicioso yriesgos deseguridad

Unidad flashUSB

Virus ysoftware

malicioso yriesgos deseguridad

Virus y softwaremalicioso y riesgos

de seguridad

Tabla 4-5 enumera el tipo de virus y de riesgos que pueden atacar un equipo.


Tabla 4-5 Virus y riesgos de seguridad

DescripciónRiesgo

Programa o código que adjunta una copia de sí mismo a otroprograma informático o archivo cuando se ejecuta. Cuando elprograma infectado se ejecuta, el programa de virus asociado seactiva y se adjunta a otros programas y archivos.

Los siguientes tipos de amenazas se incluyen en la categoría devirus:

■ Bots maliciosos de Internet

Programas que ejecutan tareas automatizadas por Internet.Los bots se pueden utilizar para automatizar ataques en losequipos o para recoger información de sitios web.

■ Gusanos

Programas que se reproducen sin infectar otros programas.Algunos gusanos se propagan copiándose de disco a disco,mientras que otros se reproducen en la memoria para reducirel rendimiento del equipo.

■ Caballos de Troya

Programas que se ocultan en algo benigno, por ejemplo, unjuego o una utilidad.

■ Amenazas combinadas

Amenazas que combinan las características de virus, gusanos,caballos de Troya y código con los puntos vulnerables deInternet y de los servidores para iniciar, transmitir y extenderun ataque. Las amenazas combinadas utilizan varios métodosy técnicas para propagarse rápidamente y para causar undaño extenso.

■ Rootkits

Programas que se ocultan del sistema operativo de un equipo.

Virus

Programas que entregan contenido de publicidad.Publicidad no deseada

Programas que utilizan un equipo, sin el permiso ni conocimientodel usuario, para realizar llamadas a través de Internet a unnúmero 900 (de pago especial) o a un sitio FTP. Típicamente,estos números se marcan para acumular gastos.

Marcadores


72

DescripciónRiesgo

Los programas que usan los hackers para obtener acceso noautorizado al equipo de un usuario. Por ejemplo, una clase deherramienta de hackeo es un registrador de pulsaciones delteclado, el cual realiza un seguimiento de las pulsacionesindividuales del teclado, las registra y envía esta información alhacker. Entonces, el hacker puede realizar análisis de puerto yde puntos débiles. Las herramientas de hackeo se pueden empleartambién para desarrollar virus.

Herramientas de hackeo

Programas que alteran o interrumpen el funcionamiento de unequipo con el fin de gastar una broma o asustar al usuario. Porejemplo, un programa de broma puede mover la papelera dereciclaje lejos del mouse cuando el usuario intenta eliminarlo.

Programas broma

Aplicaciones que falsifican intencionalmente el estado deseguridad de un equipo. Estas aplicaciones se enmascarantípicamente como notificaciones de seguridad sobre infeccionesfalsas que se deben eliminar.

Aplicaciones engañosas

Programas que supervisan o limitan el uso del equipo. Losprogramas se pueden ejecutar sin ser detectados y transmitirtípicamente la información de supervisión a otro equipo.

Programas de controlpara padres

Programas que permiten acceder a través de Internet desde otroequipo, de manera que pueden recopilar información del equipode un usuario, atacarlo o alterar su contenido.

Programas de accesoremoto

Programas que se usan para recopilar la información de accesosno autorizados a un equipo.

Herramienta deevaluación de seguridad

Programas independientes que pueden supervisar, de formasecreta, la actividad del sistema, así como detectar contraseñasy otro tipo de información confidencial para transmitirla a otroequipo.

Spyware

Aplicaciones independientes o anexas a otras que realizan unseguimiento de la ruta del usuario en Internet y envían lainformación al sistema de un controlador o un hacker.

Software deseguimiento

Cómo los análisis responden a una detección de virus o de riesgosCuando los virus y los riesgos para la seguridad infectan archivos, el clienteresponde a los tipos de amenazas de diversas maneras. Para cada tipo de amenaza,el cliente utiliza una primera acción y después aplica una segunda acción si laprimera acción falla.


Tabla 4-6 Cómo un análisis responde a los virus y los riesgos para la seguridad

AcciónTipo deamenaza

De forma predeterminada, cuando el cliente detecta un virus:

■ Intenta primero limpiar el virus del archivo infectado.

■ Si el cliente limpia el archivo, quita totalmente el riesgo del equipo.

■ Si el cliente no puede limpiar el archivo, registra el incidente y mueveel archivo infectado a la cuarentena.


Virus

De forma predeterminada, cuando el cliente detecta un riesgo para laseguridad:

■ Pone en cuarentena el archivo infectado.

■ Intenta quitar o reparar cualquier cambio que el riesgo para laseguridad haya realizado.

■ Si el cliente no puede poner en cuarentena un riesgo para la seguridad,registra el riesgo y no aplica ninguna acción.

En algunos casos, puede llegar a instalar inadvertidamente una aplicaciónque incluya un riesgo para la seguridad, como aplicaciones de publicidadno deseada o spyware. Si Symantec ha determinado que poner encuarentena el riesgo no daña el equipo, el cliente pone en cuarentena elriesgo. Si el cliente pone en cuarentena el riesgo inmediatamente, suacción puede dejar el equipo en un estado inestable. En cambio, el clienteespera hasta que la instalación de la aplicación se complete antes de poneren cuarentena el riesgo. Después se reparan los efectos del riesgo.

Riesgo para laseguridad

Para cada tipo de análisis, es posible modificar la configuración de cómo el clientetrata los virus y riesgos para la seguridad. Es posible configurar diversas accionespara cada categoría de riesgo y para los riesgos para la seguridad individuales.

Cómo Symantec Endpoint Protection usa datos de reputación paratomar decisiones sobre los archivos

Symantec recopila información sobre los archivos de su comunidad global demillones de usuarios y de Global Intelligence Network. La información recopiladaforma una base de datos de reputación que Symantec alberga. Los productos deSymantec aprovechan la información para proteger los equipos cliente contraamenazas nuevas, dirigidas y que se transforman. Se hace referencia a los datosa veces como que están “en la nube”, ya que no residen en el equipo cliente. Elequipo cliente debe solicitar o consultar la base de datos de reputación.


74

Symantec usa una tecnología llamada Insight para determinar el nivel de riesgoo de “calificación de seguridad” de cada archivo.

Insight determina la calificación de seguridad de un archivo examinando lascaracterísticas siguientes del archivo y de su contexto:

■ El origen del archivo

■ Cómo es el nuevo archivo

■ Qué tan frecuente es el archivo en la comunidad

■ Otras medidas de seguridad, por ejemplo, cómo el archivo se podría asociar asoftware malicioso

Las funciones de análisis en Symantec Endpoint Protection aprovechan Insightpara tomar decisiones sobre los archivos y las aplicaciones. La Protección antivirusy antispyware incluye una función que se llama Diagnóstico Insight de descargas.Diagnóstico Insight de descargas se basa en la información de reputación parahacer detecciones. Si deshabilita operaciones de búsqueda de la penetración,Diagnóstico Insight de descargas ejecuta pero no puede hacer detecciones. Otrasfunciones de protección, tales como Búsqueda de Insight y SONAR, usan lainformación de reputación para hacer detecciones; sin embargo, esas funcionespueden usar otras tecnologías para hacer detecciones.

De forma predeterminada, un equipo cliente envía información sobre deteccionesde reputación a Symantec Security Response para un análisis. La informaciónayuda a perfeccionar la base de datos de reputación de Insight. Cuantos másclientes envíen información, más útil será la base de datos de reputación.

Es posible deshabilitar el envío de información de reputación. Symantecrecomienda, sin embargo, que se mantengan habilitados los envíos.

Los equipos cliente además presentan otros tipos de información sobre deteccionesa Symantec Security Response.

Ver "Cómo administrar las detecciones de Diagnóstico Insight de descargas en suequipo" en la página 80.

Ver "Cómo enviar la información sobre las detecciones a Symantec SecurityResponse" en la página 99.

Cómo programar un análisis definido por el usuarioLos análisis programados constituyen un importante componente del sistema deprotección contra amenazas y riesgos para la seguridad. Es necesario programarun análisis que se ejecute por lo menos una vez cada semana para asegurarse deque su equipo se mantenga libre de virus y de riesgos para la seguridad. Cuando

75Cómo administrar los análisisCómo programar un análisis definido por el usuario

se crea un nuevo análisis, el análisis aparece en la lista de análisis en el panelAnalizar.

Nota: Si su administrador ha creado un análisis programado, este aparece en lalista de análisis del panel Analizar.

Es imprescindible que el equipo esté en funcionamiento y que los servicios deSymantec Endpoint Protection estén cargados en el momento en que estéprogramado el inicio del análisis. De forma predeterminada, los servicios deSymantec Endpoint Protection ser cargan cuando se inicia el equipo.

En los clientes administrados, el administrador puede anular esta configuración.

Si programa varios análisis que ocurrirán en el mismo equipo, y los análisis seinician al mismo tiempo, estos se ejecutarán en serie. Después de que un análisisfinalice, otro análisis se iniciará. Por ejemplo, es posible programar tres análisisseparados en su equipo para que ocurran a la 1:00 p. m. Cada análisis analiza unaunidad diferente. Un análisis analiza la unidad C. Otro analiza la unidad D. Otroanaliza la unidad E. En este ejemplo, una mejor solución es crear un análisisprogramado que compruebe las unidades C, D y E.




Para programar un análisis definido por el usuario

1 En el cliente, en la barra lateral, haga clic en Analizar.

2 Haga clic en Crear un análisis nuevo.

Cómo administrar los análisisCómo programar un análisis definido por el usuario

76

3 En el cuadro de diálogo Crear nuevo análisis: Qué elementos analizar,seleccione uno de los siguientes tipos de análisis para programar:

analiza las áreas del equipo que los virus y los riesgos para laseguridad infectan comúnmente.

Es necesario ejecutar un análisis activo diariamente.

Análisis activo

analiza el equipo entero en busca de virus y riesgos para laseguridad.

Puede ser recomendable ejecutar un análisis completo una vezpor semana o una vez al mes. Los análisis completos puedenafectar el rendimiento del equipo.

Análisiscompleto

analiza las áreas seleccionadas del equipo en busca de virus yriesgos para la seguridad.

Análisispersonalizado

4 Haga clic en Siguiente.

5 Si seleccionó Análisis personalizados, seleccione las casillas de verificaciónapropiadas para especificar dónde analizar y, después, haga clic en Siguiente.

Los símbolos tienen las descripciones siguientes:

El archivo, la unidad o la carpeta no se encuentran seleccionados. Si setrata de una unidad o una carpeta, los archivos y carpetas que contengantampoco estarán seleccionados.

El archivo o la carpeta se encuentran seleccionados.

La carpeta o la unidad se encuentran seleccionadas. También se hanseleccionado todos los elementos dentro de ella.

La carpeta o la unidad no se encuentran seleccionadas, pero se hanseleccionado uno o varios elementos dentro de ella.

77Cómo administrar los análisisCómo programar un análisis definido por el usuario

6 En el cuadro de diálogo Crearnuevoanálisis:Opcionesdeanálisis, se puedemodificar cualquiera de las siguientes opciones:

Modifique las extensiones de archivo que el cliente analiza. Deforma predeterminada se analizan todos los archivos.

Tipos dearchivos

Modifique la primera y la segunda acción que se llevarán a cabocuando se detecten riesgos para la seguridad.

Acciones

Cree un mensaje para visualizarlo cuando se encuentre un virus oun riesgo para la seguridad. Es posible también configurar si deseaser notificado antes de que ocurran las acciones de reparación.

Notificaciones

Modifique las funciones de análisis adicionales, por ejemplo, verel cuadro de diálogo de los resultados del análisis.

Avanzado

Modifique los componentes del equipo que analiza el cliente. Lasopciones que están disponibles dependen de lo que se seleccionóen el paso 3.

Mejoras deanálisis


8 En el cuadro de diálogo Crear nuevo análisis: Cuándo analizar, haga clic enEn los horarios especificados y después haga clic en Siguiente.

Es posible también crear un análisis manual o de inicio.

Ver "Cómo programar un análisis para que se ejecute manualmente o cuandose inicia el equipo" en la página 79.

9 En el cuadro de diálogo Crearnuevoanálisis: Programar, en Programacióndel análisis, especifique la frecuencia y cuándo realizar el análisis y, acontinuación, haga clic en Siguiente.

10 En Duracióndelanálisis, se puede especificar una cantidad de tiempo duranteel cual el análisis se deba completar. Es posible también ordenaraleatoriamente la hora de inicio del análisis.

11 En Análisis programados no realizados, se puede especificar un intervalodurante el cual un análisis se pueda volver a intentar.

12 En el cuadro de diálogo Crear nuevo análisis: Nombre del análisis, escribaun nombre y una descripción para el análisis.

Por ejemplo, asigne al análisis el nombre: viernes por la mañana.

13 Haga clic en Finalizar.

Cómo administrar los análisisCómo programar un análisis definido por el usuario

78

Cómo programar un análisis para que se ejecutemanualmente o cuando se inicia el equipo

Es posible complementar un análisis programado con un análisis automáticocuando inicia su equipo o inicia sesión. A menudo, los análisis al iniciar se centranúnicamente en carpetas importantes de alto riesgo, como la carpeta Windows olas carpetas donde se almacenan las plantillas de Word y Excel.

Si normalmente se analiza el mismo conjunto de archivos o carpetas, se puedecrear un análisis manual restringido únicamente a esos elementos. Así, en cualquiermomento, se podrán analizar de forma rápida esos archivos o carpetas específicospara comprobar que estén libres de virus y riesgos para la seguridad. Es necesarioejecutar estos análisis manualmente.

En el supuesto que se hayan creado varios análisis al iniciar, éstos se ejecutaránde forma secuencial conforme al orden de creación. El administrador puede haberconfigurado el cliente de modo que no se pueda crear un análisis de inicio.



Para programar un análisis para que se ejecute manualmente o cuando se inicia elequipo


2 Haga clic en Crear un análisis nuevo.

3 Especifique qué se debe analizar y las opciones de análisis para el análisisprogramado.

Ver "Cómo programar un análisis definido por el usuario" en la página 75.

4 En el cuadro de diálogo Crear nuevo análisis: Cuándo analizar, realice unade las siguientes acciones:

■ Haga clic en Al iniciar.

■ Haga clic en De forma manual.


6 En el cuadro de diálogo Crear nuevo análisis: Nombre del análisis, escribaun nombre y una descripción para el análisis.

Por ejemplo, asigne al análisis el nombre: MiAnálisis1

7 Haga clic en Finalizar.

79Cómo administrar los análisisCómo programar un análisis para que se ejecute manualmente o cuando se inicia el equipo

Cómo administrar las detecciones de DiagnósticoInsight de descargas en su equipo

Auto-Protect incluye una función que se llama Diagnóstico Insight de descargas,que examina los archivos que se intentan descargar a través de los navegadoresweb, clientes de mensajería de texto y otros portales. Auto-Protect debe habilitarsepara que Diagnóstico Insight de descargas funcione.

Los portales admitidos incluyen Internet Explorer, Firefox, Microsoft Outlook,Outlook Express, Windows Live Messenger y Yahoo Messenger.

Nota: En el registro de riesgos, los detalles del riesgo para una detección deDiagnóstico Insight de descargas muestran solamente la primera aplicación delportal que intentó la descarga. Por ejemplo, es posible usar Internet Explorer paraintentar descargar un archivo que Diagnóstico Insight de descargas detecta. Si, acontinuación, usa Firefox para intentar descargar el archivo, el campo Descargadopor en los detalles del riesgo muestra Internet Explorer como el portal.

Diagnóstico Insight de descargas determina que un archivo descargado puedeconstituir un riesgo basado en pruebas sobre la reputación del archivo. DiagnósticoInsight de descargas no usa firmas ni la heurística para tomar decisiones. SiDiagnóstico Insight de descargas habilita un archivo, Auto-Protect o SONARanalizan el archivo cuando el usuario abre o ejecuta el archivo.

Nota: Auto-Protect puede además analizar los archivos que los usuarios recibencomo archivos adjuntos de correo electrónico.

Tabla 4-7 Cómo administrar las detecciones de Diagnóstico Insight dedescargas en su equipo

DescripciónTarea

Diagnóstico Insight de descargas usa la información de reputaciónexclusivamente cuando toma decisiones sobre archivos descargados. No usafirmas ni la heurística para tomar decisiones. Si Diagnóstico Insight de descargashabilita un archivo, Auto-Protect o SONAR analizan el archivo cuando el usuarioabre o ejecuta el archivo.


Aprenda cómo Diagnóstico Insightde descargas usa datos dereputación para tomar decisionessobre archivos

Cómo administrar los análisisCómo administrar las detecciones de Diagnóstico Insight de descargas en su equipo

80

DescripciónTarea

Es posible que vea notificaciones cuando Diagnóstico Insight de descargas haceuna detección. Para los clientes administrados, el administrador puededeshabilitar las notificaciones de detección de Diagnóstico Insight de descargas.

Cuando se habilitan las notificaciones, se ven mensajes cuando DiagnósticoInsight de descargas detecta un archivo malicioso o un archivo sin comprobar.Para los archivos sin comprobar, es necesario determinar si se permite el archivoo no.

Ver "Respuesta a los mensajes de Diagnóstico Insight de descargas que pidenque se permita o que se bloquee un archivo que se intenta descargar"en la página 27.

Responda a las detecciones deDiagnóstico Insight de descargas

Es posible crear una excepción para una aplicación que los usuarios descargan.Es posible también crear una excepción para un dominio web específico que secree confiable.

De forma predeterminada, Diagnóstico Insight de descargas no examina ningúnarchivo que los usuarios descarguen de sitios de Internet o de la intranet deconfianza. Los sitios de confianza se configuran en la ficha Panel de control deWindows > Sitios de Internet de confianza > Seguridad. Cuando la opciónConfiar automáticamente en cualquier archivo descargado de un sitio de laintranet se habilita, Symantec Endpoint Protection permite cualquier archivoque un usuario descargue desde uno de los sitios de confianza.

Diagnóstico Insight de descargas reconoce solamente los sitios de confianzaexplícitamente configurados. Los comodines se admiten, pero los intervalos dedirección IP no asignables no se admiten. Por ejemplo, Diagnóstico Insight dedescargas no puede reconocer 10.*.*.* como sitio de confianza. DiagnósticoInsight de descargas además no admite sitios detectados por la opción Opcionesde Internet > Seguridad > Detectar automáticamente la red de la intranet.


Cree excepciones para los archivoso los dominios web específicos

Diagnóstico Insight de descargas necesita datos de reputación para tomardecisiones sobre archivos. Si deshabilita operaciones de búsqueda de lapenetración, Diagnóstico Insight de descargas ejecuta pero no puede hacerdetecciones. Las operaciones de búsqueda de Insight están habilitadas de formapredeterminada.


Asegúrese de que las operacionesde búsqueda de Insight esténhabilitadas

81Cómo administrar los análisisCómo administrar las detecciones de Diagnóstico Insight de descargas en su equipo

DescripciónTarea

Es posible que desee personalizar la configuración de Diagnóstico Insight dedescargas por los siguientes motivos:

■ Aumentar o disminuir el número de detecciones de Diagnóstico Insight dedescargas.

Es posible ajustar el control deslizante de sensibilidad de un archivo maliciosopara aumentar o para disminuir el número de detecciones. En niveles desensibilidad más bajos, Diagnóstico Insight de descargas detecta menosarchivos como maliciosos y más archivos como sin probar. Menos deteccionesson positivas falsas.

En niveles de sensibilidad más altos, Diagnóstico Insight de descargas detectamás archivos como maliciosos y menos archivos como sin probar. Másdetecciones son positivas falsas.

■ Cambie la acción para las detecciones de archivos maliciosos o sin comprobar.

Es posible cambiar cómo Diagnóstico Insight de descargas controla losarchivos maliciosos o sin probar. Puede ser recomendable cambiar la acciónpara los archivos sin comprobar de modo que usted no reciba notificacionespara esas detecciones.

■ Obtenga alertas sobre las detecciones de Diagnóstico Insight de descargas.

Cuando Diagnóstico Insight de descargas detecta un archivo que consideramalicioso, muestra un mensaje en el equipo cliente si la acción se configuraen Cuarentena. Es posible deshacer la acción de cuarentena.

Cuando Diagnóstico Insight de descargas detecta un archivo que considerasin probar, muestra un mensaje en el equipo cliente si configura la acciónpara los archivos sin probar en Línea de comandos o Cuarentena. Cuandola acción se configura en Preguntaralusuario, se puede permitir o bloquearel archivo. Cuando la acción es Cuarentena, se puede deshacer la acción decuarentena.

Es posible desactivar las notificaciones de usuario de modo que usted notenga una opción cuando Diagnóstico Insight de descargas detecta un archivoque considera sin comprobar. Si mantiene las notificaciones habilitadas, sepuede configurar la acción para los archivos sin comprobar en Omitir demodo que estas detecciones estén siempre permitas y usted no reciba unanotificación.

Cuando se habilita la notificación, la configuración de sensibilidad de unarchivo malicioso afecta el número de notificaciones que se reciben. Siaumenta la sensibilidad, se aumenta el número de notificaciones de usuarioporque el número total de detecciones aumenta.

Ver "Cómo personalizar la configuración de Diagnóstico Insight de descargas"en la página 83.

Personalizar la configuración deDiagnóstico Insight de descargas

Cómo administrar los análisisCómo administrar las detecciones de Diagnóstico Insight de descargas en su equipo

82

DescripciónTarea

De forma predeterminada, los clientes envían información sobre las deteccionesde reputación a Symantec.

Symantec recomienda que se habiliten los envíos para las detecciones dereputación. La información ayuda a Symantec a abordar las amenazas.


Envíe información sobredetecciones de reputación aSymantec

Cómo personalizar la configuración de DiagnósticoInsight de descargas

Es posible que desee personalizar la configuración de Diagnóstico Insight dedescargas para disminuir detecciones de falsos positivos en equipos cliente. Esposible cambiar el nivel de susceptibilidad de Diagnóstico Insight de descargasde los datos de reputación del archivo que usa para caracterizar los archivosmaliciosos. Es posible también cambiar las notificaciones que Diagnóstico Insightde descargas muestra en los equipos cliente cuando realiza una detección.

Ver "Cómo administrar las detecciones de Diagnóstico Insight de descargas en suequipo" en la página 80.

Cómo personalizar la configuración de Diagnóstico Insight de descargas


2 Junto a Proteccióncontravirusyspyware, haga clic en Configuraropciones.

3 En la ficha Diagnóstico Insight de descargas, asegúrese de que la opciónHabilitarDiagnósticoInsightdedescargasparadetectarriesgosenarchivosdescargados según reputación esté seleccionada.

Si se deshabilita Auto-Protect, Diagnóstico Insight de descargas no puedefuncionar aunque esté habilitado.

4 Mueva el control deslizante para cambiar la sensibilidad maliciosa del archivo.

Nota: Si usted o el administrador instaló Protección contra virus y spywarebásica, la sensibilidad maliciosa del archivo se configura en el nivel 1automáticamente y no se puede cambiar.

Si configura el nivel más alto, Diagnóstico Insight de descargas detecta másarchivos como maliciosos y menos archivos como sin probar. La configuraciónmás alta, sin embargo, devuelve más falsos positivos.

83Cómo administrar los análisisCómo personalizar la configuración de Diagnóstico Insight de descargas

5 Seleccione o anule la selección de las siguientes opciones para usarlas comocriterios adicionales para examinar archivos sin probar:

■ Archivos con menos de x usuarios

■ Archivos conocidos por los usuarios por tener menos de x díasCuando los archivos sin probar cumplen con este criterio, DiagnósticoInsight de descargas detecta los archivos como maliciosos.

6 Asegúrese de que la opción Confiar automáticamente en cualquier archivodescargado de un sitio web de intranet esté seleccionada.

Esta opción además se aplica a las detecciones de Búsqueda de Insight.

7 Haga clic en Acciones.

8 En Archivosmaliciosos, especifique una primera acción y una segunda acción.

9 En Archivos sin comprobar, especifique la acción.


11 Haga clic en Notificaciones y especifique si desea mostrar una notificacióncuando Diagnóstico Insight de descargas hace una detección.

Es posible personalizar el texto del mensaje de advertencia que aparece.


Cómo personalizar la configuración del análisis devirus y spyware

De forma predeterminada, el cliente brinda al equipo la protección contra los virusy los riesgos para la seguridad que se necesita. Si tiene un cliente no administrado,se pueden ajustar algunas configuraciones del análisis.


Para personalizar un análisis definido por el usuario


2 En la página Analizar, haga clic con el botón derecho en un análisis y enEditar.

3 En la ficha Opciones de análisis, realice una de las siguientes tareas:

■ Para cambiar la configuración de Búsqueda de Insight, haga clic enBúsqueda de Insight.La configuración de Búsqueda de Insight es similar a la configuración deDiagnóstico Insight de descargas.

Cómo administrar los análisisCómo personalizar la configuración del análisis de virus y spyware

84

Ver "Cómo personalizar la configuración de Diagnóstico Insight dedescargas" en la página 83.

■ Para especificar menos tipos de archivo para analizar, haga clic enExtensiones seleccionadas y después haga clic en Extensiones.

■ Para especificar la primera y la segunda acción que el cliente realizarásobre un archivo infectado, haga clic en Acciones.

■ Para especificar las opciones de notificación, haga clic en Notificaciones.

■ Para configurar las opciones avanzadas para archivos comprimidos, copiasde seguridad y ajuste, haga clic en Opciones avanzadas.Puede ser recomendable cambiar las opciones de ajuste para mejorar elrendimiento del equipo cliente.

Para obtener más información sobre las opciones de cada cuadro de diálogo,haga clic en Ayuda.


Para cambiar la configuración de análisis global


■ En el cliente, en la barra lateral, haga clic en Cambiar configuración y, allado de Protección contra virus y spyware, haga clic en Configuraropciones.

■ En el cliente, en la barra lateral, haga clic en Analizar en busca deamenazas y, después, haga clic en Ver configuración de análisis global.

2 En la ficha Configuración global, en Opciones de análisis, cambie laconfiguración de Insight o Bloodhound.

3 Para ver o crear excepciones del análisis, haga clic en Ver lista. Haga clic enCerrar una vez que vio o creó las excepciones.

4 En Retención de registros o Protección del navegador de Internet, realicecualquier cambio que se desee.


Para personalizar Auto-Protect


2 Junto a Protección contra virus y spyware, haga clic en Configuraropciones.

3 En cualquier ficha de Auto-Protect, realice las siguientes tareas:

■ Para especificar menos tipos de archivo para analizar, haga clic enExtensiones seleccionadas y después haga clic en Extensiones.

85Cómo administrar los análisisCómo personalizar la configuración del análisis de virus y spyware

■ Para especificar la primera y la segunda acción que el cliente realizarásobre un archivo infectado, haga clic en Acciones.

■ Para especificar las opciones de notificación, haga clic en Notificaciones.

Para obtener más información sobre las opciones de cada cuadro de diálogo,haga clic en Ayuda.

4 En la ficha Auto-Protect, haga clic en Opciones avanzadas.

Es posible cambiar las opciones para la memoria caché de archivos así comopara las opciones de Buscador de riesgos y copias de seguridad. Puede serrecomendable cambiar estas opciones para mejorar el rendimiento del equipo.

5 Haga clic en Red para cambiar la configuración de los archivos de confianzaen los equipos remotos y configurar una memoria caché de red.


Configuración de acciones para las detecciones desoftware malicioso y de riesgos para la seguridad

Es posible configurar las acciones que usted quisiera que el cliente de SymantecEndpoint Protection realizara cuando detecta un software malicioso o un riesgopara la seguridad. Puede configurar una primera y una segunda acción, en casode que falle la primera.

Nota: Si el equipo está a cargo de un administrador y estas opciones muestran unicono de un candado, no podrá cambiarlas porque el administrador las habloqueado.

Se configuran las acciones para cualquier tipo de análisis de la misma manera.Cada análisis tiene su propia configuración para las acciones. Es posible configurardiversas acciones para diversos análisis.

Nota: Se configuran las acciones para Diagnóstico Insight de descargas y SONARpor separado.

Ver "Cómo personalizar la configuración del análisis de virus y spyware"en la página 84.

Ver "Cómo personalizar la configuración de Diagnóstico Insight de descargas"en la página 83.

Ver "Cómo cambiar Configuración de SONAR" en la página 105.

Cómo administrar los análisisConfiguración de acciones para las detecciones de software malicioso y de riesgos para la seguridad

86

Es posible hacer clic en Ayuda para obtener más información sobre las opcionesque se utilizan en los procedimientos.

Para configurar las acciones para las detecciones de softwaremalicioso y de riesgospara la seguridad

1 En el cliente, en la barra lateral, haga clic en Cambiar configuración oAnalizar en busca de amenazas.


■ Al lado de Protección contra virus y spyware, haga clic en Configuraropciones y, a continuación, en cualquier ficha de Auto-Protect, haga clicen Acciones.

■ Seleccione un análisis y, a continuación, haga clic con el botón derechopara seleccionar Editar y, luego, haga clic en Opciones de análisis.

3 Haga clic en Acciones.

4 En el cuadro de diálogo Acciones de análisis, en el árbol, seleccione lacategoría o la subcategoría en Software malicioso o Riesgos de seguridad.

De forma predeterminada, cada subcategoría se configura de forma automáticapara usar las acciones que se configuran para la categoría entera.

Las categorías cambian dinámicamente a lo largo del tiempo a medida queSymantec obtiene nueva información sobre los riesgos.

5 Para configurar las acciones para una subcategoría solamente, realice unade las siguientes acciones:

■ Seleccione Anular acciones configuradas para software malicioso y acontinuación configure las acciones para esa subcategoría solamente.

Nota: Puede haber una única subcategoría en una categoría, dependiendode cómo Symantec clasifica actualmente riesgos. Por ejemplo, en Softwaremalicioso, puede haber una única subcategoría llamada Virus.

■ Seleccione Anular acciones configuradas para riesgos de seguridad y acontinuación configure las acciones para esa subcategoría solamente.

87Cómo administrar los análisisConfiguración de acciones para las detecciones de software malicioso y de riesgos para la seguridad

6 Seleccione una primera y segunda acción entre las siguientes opciones:

Elimina el virus del archivo infectado. Ésta es la primeraopción predeterminada para los virus.

Limpiar riesgo

Nota: Esta acción está disponible solamente como primeraacción para los virus. Esta acción no se aplica a los riesgosde seguridad.

Esta opción debe ser siempre la primera acción para los virus.Si el cliente consigue limpiar con éxito el virus de un archivo,no será necesario llevar a cabo ninguna otra acción. El equipoquedará limpio de virus y no se podrá propagar la infeccióna otros elementos del sistema.

Cuando el cliente limpia un archivo, quita el virus del archivo,del sector de arranque o de las tablas de particionesinfectados. Además elimina la capacidad de propagación delvirus. El cliente, a veces, puede encontrar y limpiar un virusantes de que cause daños en el equipo. De formapredeterminada, el cliente hace una copia de seguridad delarchivo.

Sin embargo, es posible que el archivo limpiado no puedausarse. El virus pudo haber causado demasiado daño.

Es necesario tener en cuenta que algunos archivos infectadosno se pueden limpiar.

Mueve el archivo infectado desde su ubicación original y lolleva hasta el área de cuarentena. Los virus que se encuentrenen los archivos en cuarentena no podrán propagarse.

Poner riesgo encuarentena

Para los virus, elimina los archivos infectados de su ubicaciónoriginal y los lleva hasta el área de cuarentena. Esta es lasegunda acción predeterminada para los virus.

Para los riesgos para la seguridad, el cliente quita los archivosinfectados de su ubicación original, los pone en cuarentenae intenta eliminar o reparar cualquier efecto secundario. Estaes la primera acción predeterminada para los riesgos para laseguridad.

La cuarentena contiene un registro de todas las acciones quefueron realizadas. Es posible volver el equipo al estado previoa la eliminación del riesgo.

Cómo administrar los análisisConfiguración de acciones para las detecciones de software malicioso y de riesgos para la seguridad

88

Elimina de forma permanente el archivo infectado del discoduro del equipo. Si el cliente no puede eliminar un archivo,aparece la información sobre la acción que el cliente realizóen el cuadro de diálogo Notificación. La información tambiénaparece en Registro de eventos.

Utilice esta acción solamente si es posible reemplazar elarchivo con una copia de seguridad que esté limpia de viruso de riesgos para la seguridad. Cuando el cliente borra unriesgo, borra el riesgo permanentemente. El archivo infectadono se puede recuperar de la papelera de reciclaje.

Nota: Utilice esta acción con precaución al configuraracciones para los riesgos para la seguridad. En algunos casos,la eliminación de riesgos para la seguridad provoca la pérdidade funcionalidad de algunas aplicaciones.

Suprimir riesgo

Deja el archivo como está.

Si utiliza esta acción para los virus, el virus permanece enlos archivos infectados. El virus puede propagarse a otraspartes de su equipo. Se crea una entrada en el Historial deriesgos para guardar la información sobre el archivoinfectado.

Es posible usar No hacer nada (registrar) como segundaacción para el software malicioso y los riesgos para laseguridad.

No seleccione esta acción cuando se realizan análisis en granescala, automatizados, tales como análisis programados. Esposible que quiera utilizar esta acción si desea ver losresultados de análisis y tomar medidas adicionales másadelante. Una acción adicional puede ser mover el archivo ala cuarentena.

Para los riesgos para la seguridad, esta acción deja losarchivos infectados como están y crea una entrada en elHistorial de riesgos para guardar un registro del riesgo. Useesta opción para controlar de forma manual el modo en queel cliente maneja un riesgo para la seguridad. Esta es lasegunda acción predeterminada para los riesgos para laseguridad.

El administrador puede enviar un mensaje personalizadopara informarle acerca de cómo responder.

No hacer nada(registrar)

7 Repita estos pasos para cada categoría para la cual desee configurar accionesespecíficas y, después, haga clic en Aceptar.

89Cómo administrar los análisisConfiguración de acciones para las detecciones de software malicioso y de riesgos para la seguridad

8 Si seleccionó una categoría de riesgo de seguridad, es posible seleccionaracciones personalizadas para uno o más casos específicos de esa categoría deriesgo de seguridad. Es posible excluir un riesgo de seguridad del análisis.Por ejemplo, puede excluir una aplicación de publicidad no deseada quenecesite utilizar en su trabajo.


Acerca de la exclusión de elementos del análisisLas excepciones son riesgos para la seguridad conocidos, archivos, extensionesde archivo y procesos que desea excluir de un análisis. Si ha analizado su equipoy sabe que ciertos archivos son seguros, puede excluirlos. En algunos casos, lasexcepciones pueden reducir el tiempo del análisis y aumentar el rendimiento delsistema. Generalmente, no es necesario crear excepciones.

Para los clientes administrados, el administrador puede haber creado excepcionespara los análisis. Si crea una excepción que entra en conflicto con una excepcióndefinida por el administrador, la excepción definida por el administrador tieneprioridad. El administrador puede además evitar que se configure cualquiera tipode excepciones.

Nota: Si su aplicación de correo electrónico almacena todo el correo electrónicoen un solo archivo, es necesario crear una excepción de archivo para excluir delos análisis el archivo de la bandeja de entrada. De forma predeterminada, losanálisis ponen en cuarentena los virus. Si un análisis detecta un virus en el archivode la bandeja de entrada, el análisis pone en cuarentena la bandeja de entradaentera. Si el análisis pone en cuarentena la bandeja de entrada, no es posibleacceder al correo electrónico.

Tabla 4-8 Tipos de excepción

DescripciónTipo de excepción

Se aplica a análisis de virus y spyware.

Los análisis omiten el archivo que se selecciona.

Archivo

Se aplica a análisis de virus y spyware, o análisis SONAR, oa ambos.

Los análisis omiten la carpeta que se selecciona.

Carpeta

Cómo administrar los análisisAcerca de la exclusión de elementos del análisis

90

DescripciónTipo de excepción


Los análisis omiten cualquier riesgo conocido que seselecciona.

Riesgos conocidos


Los análisis omiten cualquier archivo con las extensionesespecificadas.

Extensiones


Diagnóstico Insight de descargas omite el dominio web deconfianza especificado.

Dominio web de confianza

Se aplica a análisis de virus y spyware, y SONAR

Los análisis omiten, registran, ponen en cuarentena ofinalizan la aplicación que se especifica aquí.

Aplicación


Exclusión de elementos del análisisLas excepciones son riesgos conocidos para la seguridad, archivos, carpetas,extensiones de archivo, dominios web o aplicaciones que desea excluir del análisis.Si ha analizado su equipo y sabe que ciertos archivos son seguros, puede excluirlos.En algunos casos, las excepciones pueden reducir el tiempo del análisis y aumentarel rendimiento del sistema. Generalmente, no es necesario crear excepciones.

Para los clientes administrados, el administrador puede haber creado excepcionespara los análisis. Si crea una excepción que entra en conflicto con una excepcióndefinida por el administrador, la excepción definida por el administrador tieneprioridad.

Las excepciones de riesgos para la seguridad se aplican a través de todos los análisisde riesgo para la seguridad. Las excepciones de aplicación también se aplican atodos los análisis de riesgos para la seguridad. Las excepciones de la carpetaSONAR se aplican solamente a SONAR.

SONAR no admite excepciones de archivos. Use una excepción de aplicación paraexcluir un archivo de SONAR.


Ver "Acerca de la exclusión de elementos del análisis" en la página 90.

91Cómo administrar los análisisExclusión de elementos del análisis

Nota: En la instalación Server Core de Windows Server 2008, la apariencia de loscuadros de diálogo puede diferir de los que se describen en estos procedimientos.


Para excluir elementos del análisis de riesgos para la seguridad


2 Junto a Excepciones, haga clic en Configurar opciones.

3 En el cuadro de diálogo Excepciones, en Excepcionesdefinidasporelusuario,haga clic en Agregar > Excepciones de riesgos para la seguridad.

4 Seleccione uno de los siguientes tipos de excepciones:

■ Riesgos conocidos

■ Archivo

■ Carpeta

■ Extensiones

■ Dominio web


■ Para los riesgos conocidos, compruebe los riesgos para la seguridad quedesee excluir del análisis.Si desea registrar un evento cuando se detecta un riesgo para la seguridady no se hace nada con él, seleccione Registrarladeteccióndelriesgoparala seguridad.

■ Para los archivos o las carpetas, seleccione el archivo o la carpeta quedesee excluir y, después, haga clic en Agregar.Para las carpetas, seleccione o anule la selección de Incluir subcarpetas.

■ Para las extensiones, escriba la extensión que desee excluir.Es posible incluir solamente un nombre de extensión en el cuadro de texto.Si escribe varias extensiones, el cliente trata la entrada como un solonombre de extensión.

■ Para los dominios, escriba el sitio web que desee excluir de la detecciónde Diagnóstico Insight de descargas.


7 En el cuadro de diálogo Excepciones, haga clic en Cerrar.

Cómo administrar los análisisExclusión de elementos del análisis

92

Para excluir una carpeta de SONAR



3 En el cuadro de diálogo Excepciones, en Excepcionesdefinidasporelusuario,haga clic en Agregar > Excepción SONAR > Carpeta.

4 Seleccione la carpeta que desee excluir, seleccione o anule la selección deIncluir subcarpetas y, después, haga clic en Agregar.

Si selecciona un archivo en vez de una carpeta, el cliente usa la carpetaprincipal para la excepción.


Para cambiar cómo todos los análisis manejan una aplicación



3 En el cuadro de diálogo Excepciones, en Excepcionesdefinidasporelusuario,haga clic en Agregar > Excepción de aplicación.

4 Seleccione el nombre de un archivo de la aplicación.

5 En el cuadro desplegable Acción, seleccione Omitir, Sólo registrar,Cuarentena o Finalizar.

6 Haga clic en Agregar.


Cómo administrar los archivos en cuarentena en elequipo cliente

De forma predeterminada, Symantec Endpoint Protection intenta limpiar un virusde un archivo infectado cuando lo detecta. Si el archivo no se puede limpiar, elanálisis pone el archivo en la cuarentena en su equipo. En el caso de los riesgospara la seguridad, los análisis mueven los archivos infectados a la cuarentena yreparan cualquier efecto secundario del riesgo para la seguridad. DiagnósticoInsight de descargas y SONAR pueden además poner en cuarentena los archivos.


93Cómo administrar los análisisCómo administrar los archivos en cuarentena en el equipo cliente

Tabla 4-9 Cómo administrar los archivos en cuarentena en el equipo cliente

DescripciónTarea

En algunas ocasiones, no existe una ubicación ala cual devolver los archivos una vez que se hanlimpiado. Por ejemplo, en el caso de que se hayaseparado un archivo infectado adjunto a unmensaje de correo electrónico y se haya puestoen cuarentena. Se debe liberar el archivo yespecificar una ubicación.

Restaure un archivo en cuarentena asu ubicación original

Es posible poner en cuarentena manualmente unarchivo agregándolo a la cuarentena oseleccionándolo de los registros de virus y despyware o de SONAR.

Ver "Poner en cuarentena un archivo desde elregistro de riesgos o de análisis" en la página 96.

Ponga un elemento en cuarentena deforma manual

Es posible eliminar manualmente los archivos dela cuarentena que dejen de ser necesarios.También se puede establecer un período para quelos archivos se eliminen de forma automática.

Nota: Puede darse el caso de que el administradorespecifique un límite máximo de días para que loselementos permanezcan en cuarentena. Estoselementos se eliminarán automáticamente de lacuarentena una vez superado ese límite de tiempo.

Elimine permanentemente los archivosde la cuarentena

Cuando se actualizan las definiciones, los archivosen cuarentena pueden analizarse, limpiarse yrestaurarse automáticamente. Para algunosarchivos, el Asistente de reparación aparece. Sigalas instrucciones en pantalla para completar elreanálisis y la reparación.

Es posible también volver a analizar manualmentelos archivos infectados con virus en la cuarentena.

Vuelva a analizar los archivos en lacuarentena una vez que se recibennuevas definiciones

Es posible exportar el contenido de la cuarentenaa un archivo delimitado por comas (.csv) o a unarchivo de base de datos de Access (.mdb).

Exporte la información de cuarentena

Cómo administrar los análisisCómo administrar los archivos en cuarentena en el equipo cliente

94

DescripciónTarea

Una vez que los elementos en la cuarentena sevuelven a analizar, puede enviar un archivo queaún está infectado a Symantec Security Responsepara un análisis adicional.

Ver "Enviar de forma manual un archivopotencialmente infectado a Symantec SecurityResponse para su análisis" en la página 96.

Envíe los archivos infectados en lacuarentena a Symantec SecurityResponse

Antes de intentar limpiar o reparar elementos, elcliente hace copias de seguridad de los elementosinfectados, de forma predeterminada. Después deque el cliente limpie correctamente un virus, esnecesario borrar manualmente el elemento de lacuarentena porque la copia de seguridad aún estáinfectada.

Limpie los elementos de copia deseguridad

Es posible configurar el cliente para eliminarautomáticamente elementos de cuarentena trasun intervalo especificado. Es posible tambiénespecificar que el cliente elimine los elementoscuando la carpeta donde están almacenadosalcance un tamaño determinado. De este modo seevita la concentración de archivos cuyaeliminación manual puede olvidarse.

Ver "Borrar automáticamente archivos de lacuarentena" en la página 97.

Borre automáticamente archivos de lacuarentena

Acerca de poner en cuarentena los archivosCuando el cliente mueve un archivo infectado a la cuarentena, el virus o el riesgono puede copiarse e infectar otros archivos del equipo o de otros equipos de lared. Sin embargo, la acción Poner en cuarentena no limpia el riesgo. El riesgopermanece en el equipo hasta que el cliente limpie el riesgo o borre el archivo. Notiene acceso al archivo. Pero puede quitar el archivo de la cuarentena.

Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verificaautomáticamente la cuarentena. Es posible volver a analizar los elementos de lacuarentena. Las definiciones más recientes pueden limpiar o reparar los archivospuestos previamente en cuarentena.

Los virus pueden ser puestos en cuarentena. Los virus de arranque se encuentranen el sector de arranque o en la tabla de particiones de los equipos, y estoselementos no se pueden poner en cuarentena. El cliente detecta a veces un virusdesconocido que no puede ser eliminado con el grupo actual de definiciones de


virus. Si tiene un archivo que cree que está infectado, pero los análisis no detectanuna infección, debe poner en cuarentena el archivo.

Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el clienteno pueda interpretar algunos caracteres en los nombres de riesgos. Si el sistemaoperativo no puede interpretar los caracteres, éstos aparecen como signos deinterrogación en las notificaciones. Por ejemplo, algunos nombres de riesgos enunicode pueden contener caracteres de doble byte. En aquellos equipos con elcliente en un sistema operativo en inglés, estos caracteres aparecen como signosde interrogación.


Poner en cuarentena un archivo desde el registro de riesgos o deanálisis

De acuerdo con la acción preestablecida para una detección de amenazas, el clientepodrá o no realizar la acción que seleccionó cuando ocurrió la detección. Es posibleusar el registro de riesgos o el registro de análisis para poner en cuarentena unarchivo más tarde.



Para poner en cuarentena un archivo desde el registro de riesgos o de análisis

1 En el cliente, haga clic en Ver registros.

2 Al lado de Protección antivirus y antispyware, haga clic en Ver registro ydespués seleccione Registro de riesgos o Registro de análisis.

3 Seleccione el archivo que desea poner en cuarentena y después haga clic enCuarentena.

4 Haga clic en Aceptar y después haga clic en Cerrar.

Enviar de forma manual un archivo potencialmente infectado aSymantec Security Response para su análisis

Cuando se presenta un elemento infectado de la lista de cuarentena a SymantecSecurity Response. Symantec Security Response puede analizar este elementopara asegurarse de que no está infectado. Symantec Security Response ademásusa estos datos para proteger el equipo contra amenazas nuevas o en desarrollo.

Cómo administrar los análisisCómo administrar los archivos en cuarentena en el equipo cliente

96

Nota: La opción de envío no está disponible si el administrador deshabilita estostipos de envíos.


Para enviar un archivo a Symantec Security Response desde la cuarentena

1 En el cliente, en la barra lateral, haga clic en Ver cuarentena.

2 Seleccione el archivo en la lista de elementos en cuarentena.

3 Haga clic en Enviar.

4 Siga las instrucciones que se muestran en la pantalla del asistente paraproporcionar la información necesaria y enviar el archivo para su análisis.

Borrar automáticamente archivos de la cuarentenaEs posible configurar el software para que elimine automáticamente elementosde la lista Cuarentena después de un intervalo de tiempo especificado. Es posibletambién especificar que el cliente elimine los elementos cuando la carpeta dondeestán almacenados alcance un tamaño determinado. De este modo se evita laconcentración de archivos cuya eliminación manual puede olvidarse.


Para eliminar automáticamente los archivos de la cuarentena

1 En el cliente, en la barra lateral, haga clic en Ver cuarentena.

2 Haga clic en Opciones de depuración.

3 En el cuadro de diálogo Opcionesdedepuración, seleccione una de las fichassiguientes:

■ Elementos en cuarentena

■ Elementos de copia de seguridad

■ Elementos reparados

4 Seleccione o anule la selección de El tiempodealmacenamientoexcede parahabilitar o para deshabilitar la capacidad del cliente de eliminar los archivosdespués de que el tiempo configurado caduque.

5 Si selecciona la casilla El tiempo de almacenamiento excede:, escriba lacantidad de tiempo o haga clic en una flecha para especificarla.

6 Seleccione la unidad de tiempo de la lista desplegable. El valor predeterminadoes 30 días.


7 Si selecciona la casilla Eltamañototaldelacarpetaexcede:, escriba el tamañomáximo de la carpeta que se permitirá, en megabytes. El valor predeterminadoes 50 megabytes.

Si selecciona ambas casillas de verificación, se eliminarán primero todos losarchivos de antigüedad mayor a la especificada. Si el tamaño de la carpetaaún excede el límite especificado, el cliente borra los archivos más antiguosindividualmente. El cliente borra los archivos más antiguos hasta que eltamaño de la carpeta no exceda el límite.

8 Repita los pasos 4 a 7 para cualquiera de las otras fichas.


Acerca de enviar información sobre detecciones aSymantec Security Response

Es posible configurar su equipo para enviar automáticamente información sobredetecciones a Symantec Security Response para análisis.

Symantec Response y Symantec Global Intelligence Network usan esta informaciónenviada para formular rápidamente respuestas a las amenazas para la seguridadnuevas y en desarrollo. Los datos que se envían mejoran la capacidad de Symantecde responder a las amenazas y de personalizar la protección. Symantec recomiendaque se permitan siempre los envíos.

Ver "Acerca del cliente de Symantec Endpoint Protection" en la página 11.

Es posible elegir enviar cualquiera de los siguientes tipos de datos:

■ Reputación de archivosLa información sobre los archivos que se detectan basada en su reputación.La información sobre estos archivos contribuye a la base de datos de reputaciónde Symantec Insight para ayudar a proteger sus equipos contra los riesgosnuevos y emergentes.

■ Detecciones de antivirusInformación sobre detecciones del análisis de virus y spyware.

■ Detecciones heurísticas avanzadas de antivirusInformación sobre las amenazas potenciales detectadas por Bloodhound y otraheurística de análisis de virus y spyware.Estas detecciones son detecciones silenciosas que no aparecen en el registrode riesgos. La información sobre estas detecciones se usa para el análisisestadístico.

■ Detecciones de SONAR

Cómo administrar los análisisAcerca de enviar información sobre detecciones a Symantec Security Response

98

Información sobre las amenazas que SONAR detecta, que incluye lasdetecciones de alto o bajo riesgo, eventos de cambios en el sistema ycomportamiento sospechoso de aplicaciones de confianza.

■ Heurística de SONARLas detecciones heurísticas de SONAR son detecciones silenciosas que noaparecen en el registro de riesgos. Esta información se usa para el análisisestadístico.

Es posible también enviar manualmente una muestra a Respuesta de la Cuarentena.



Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la página 104.

Cómo enviar la información sobre las detecciones aSymantec Security Response

Symantec Endpoint Protection puede proteger los equipos supervisando lainformación que entra en el equipo y sale de él, y bloqueando los intentos deataque.

Es posible permitir al equipo que envíe la información sobre las amenazasdetectadas a Symantec Security Response. Symantec Security Response usa estainformación para proteger los equipos cliente contra amenazas nuevas, dirigidasy mutantes. Cualquier dato que se envía mejora la capacidad de Symantec deresponder las amenazas y de personalizar la protección para su equipo. Symantecrecomienda que envíe tanta información de la detección como sea posible.

Es posible también enviar manualmente una muestra a Symantec SecurityResponse desde la página Cuarentena. La página Cuarentena además le permitedeterminar cómo los elementos se envían a Symantec Security Response.


Ver "Acerca de enviar información sobre detecciones a Symantec SecurityResponse" en la página 98.

99Cómo administrar los análisisCómo enviar la información sobre las detecciones a Symantec Security Response

Para configurar envíos a Symantec Security Response

1 Seleccione Cambiar configuración > Administración de clientes.

2 En la ficha Envíos, seleccione Permitir que este equipo envíeautomáticamente información de seguridad anónima seleccionada aSymantec. Esta opción permite a Symantec Endpoint Protection enviarinformación sobre las amenazas que se encuentran en su equipo.

Symantec recomienda que se mantenga esta opción habilitada.

3 Seleccione los tipos de información para enviar:

■ Reputación del archivoLa información sobre los archivos que se detectan basada en su reputación.La información sobre estos archivos contribuye a la base de datos dereputación de Symantec Insight para ayudar a proteger sus equipos contralos riesgos nuevos y emergentes.

■ Detecciones de antivirusInformación sobre detecciones de análisis de virus y spyware.

■ Detecciones heurísticas avanzadas de antivirusInformación sobre las amenazas potenciales detectadas por Bloodhoundy otra heurística de análisis antivirus y antispyware.Estas detecciones son detecciones silenciosas que no aparecen en elregistro de riesgos. La información sobre estas detecciones se usa para elanálisis estadístico.

■ Detecciones de SONARInformación sobre las amenazas que SONAR detecta, que incluye lasdetecciones de alto o bajo riesgo, eventos de cambios en el sistema ycomportamiento sospechoso de aplicaciones de confianza.

■ Heurística de SONAR

Cómo administrar los análisisCómo enviar la información sobre las detecciones a Symantec Security Response

100

Las detecciones heurísticas de SONAR son detecciones silenciosas que noaparecen en el registro de riesgos. Esta información se usa para el análisisestadístico.

4 Habilite la opción Permitir búsquedas de Insight para la detección deamenazas para permitir a Symantec Endpoint Protection usar la base de datosde reputación de Symantec para tomar decisiones sobre las amenazas.

Las operaciones de búsqueda de Insight están habilitadas de formapredeterminada. Symantec recomienda que se permitan las operaciones debúsqueda de Insight. Deshabilitar esta función deshabilita Diagnóstico Insightde descargas y puede empeorar la funcionalidad de SONAR y Búsqueda deInsight.

Sin embargo, se puede deshabilitar esta opción si no desea permitir queSymantec consulte a Symantec Insight.

Acerca del cliente y Windows Security CenterSi utiliza Windows Security Center en Windows XP con Service Pack 2 parasupervisar el estado de la seguridad, es posible ver el estado de Symantec EndpointProtection en WSC.

Tabla 4-10 muestra el informe del estado de protección en WSC.

Tabla 4-10 Informe del estado de protección en WSC

Estado de protecciónEstado de los productos de Symantec

NO ENCONTRADO(rojo)

Symantec Endpoint Protection no está instalado

ACTIVADO (verde)Symantec Endpoint Protection está instalado con la proteccióncompleta

CADUCADO (rojo)Symantec Endpoint Protection está instalado y las definicionesde virus y riesgos de seguridad no están actualizadas

DESACTIVADO (rojo)Symantec Endpoint Protection está instalado y Auto-Protect parael sistema de archivos no está habilitado

DESACTIVADO (rojo)Symantec Endpoint Protection está instalado, Auto-Protect parael sistema de archivos no está habilitado y las definiciones devirus y de riesgos para la seguridad están desactualizadas

DESACTIVADO (rojo)Symantec Endpoint Protection está instalado y Rtvscan sedesactivó manualmente

101Cómo administrar los análisisAcerca del cliente y Windows Security Center

Tabla 4-11 muestra el informe del estado del firewall de Symantec EndpointProtection en WSC.

Tabla 4-11 Informe del estado del firewall en WSC

Estado del firewallEstado de los productos de Symantec

NO ENCONTRADO(rojo)

El firewall de Symantec no está instalado

ACTIVADO (verde)El firewall de Symantec está instalado y habilitado

DESACTIVADO (rojo)El firewall de Symantec está instalado pero no habilitado

ACTIVADO (verde)El firewall de Symantec no está instalado o habilitado, pero estáinstalado y habilitado un firewall de otro fabricante

Nota:En Symantec Endpoint Protection, el Firewall de Windows está deshabilitadode forma predeterminada.

Si hay más de un firewall habilitado, WSC informa que hay varios firewallsinstalados y habilitados.

Cómo administrar SONAR en el equipo clienteSe administra SONAR como parte de Protección proactiva contra amenazas. Enclientes administrados, el administrador puede bloquear algunas de lasconfiguraciones.


Ver "Acerca de los tipos de análisis" en la página 66.

Tabla 4-12 Cómo administrar SONAR en el equipo cliente

DescripciónTarea

Para obtener la mejor protección en el equipocliente, SONAR se debe habilitar. SONAR estáhabilitado de forma predeterminada.

Se habilita SONAR activando Protección proactivacontra amenazas.

Ver "Acerca de cómo habilitar y deshabilitar laprotección" en la página 43.

Asegúrese de que SONAR estéhabilitado

Cómo administrar los análisisCómo administrar SONAR en el equipo cliente

102

DescripciónTarea

SONAR usa datos de reputación además de laheurística para hacer detecciones. Si deshabilitalas operaciones de búsqueda de Insight, SONARhace detecciones usando la heurística solamente.El índice de falsos positivos puede aumentar, y laprotección que SONAR proporciona es limitada.

Ver "Cómo enviar la información sobre lasdetecciones a Symantec Security Response"en la página 99.

Asegúrese de que las operaciones debúsqueda de Insight estén habilitadas

Es posible habilitar o deshabilitar SONAR. Esposible también cambiar la acción de la detecciónpara algunos tipos de amenazas que SONARdetecta. Puede ser recomendable cambiar la acciónde la detección para reducir las deteccionespositivas falsas.

Ver "Cómo cambiar Configuración de SONAR"en la página 105.

Cambie la configuración de SONAR

SONAR puede detectar los archivos o lasaplicaciones que desee ejecutar en su equipo. Esposible crear excepciones para las aplicaciones olas carpetas. Es posible también crear unaexcepción de cuarentena.

Ver "Exclusión de elementos del análisis"en la página 91.

Cree excepciones para las aplicacionesque sabe que son seguras

Symantec recomienda que se envíe la informaciónsobre las detecciones a Symantec SecurityResponse. La información ayuda a Symantec aabordar las amenazas. Los envíos estánhabilitados de forma predeterminada.

Ver "Cómo enviar la información sobre lasdetecciones a Symantec Security Response"en la página 99.

Envíe la información sobre lasdetecciones de SONAR a SymantecSecurity Response

Acerca de SONARSONAR es una protección en tiempo real que detecta aplicaciones potencialmentemaliciosas cuando se ejecutan en sus equipos. SONAR proporciona protección de“día cero” porque detecta amenazas antes que las definiciones de detección devirus y spyware tradicionales que se han creado para enfrentar las amenazas.

103Cómo administrar los análisisCómo administrar SONAR en el equipo cliente

SONAR usa la heurística así como los datos de reputación para detectar amenazasemergentes y desconocidas. SONAR proporciona un nivel adicional de protecciónen sus equipos cliente y complementa la protección antivirus y antispyware, laprevención de intrusiones y la protección mediante firewalls existentes.

Nota:Auto-Protect también utiliza un tipo de heurística llamada Bloodhound paradetectar comportamientos sospechosos en archivos.

Ver "Cómo administrar SONAR en el equipo cliente" en la página 102.

Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la página 104.

Acerca de los archivos y las aplicaciones que SONAR detectaSONAR usa un sistema de heurística que aprovecha la red de inteligencia en líneade Symantec con supervisión local proactiva en su equipo para detectar amenazasemergentes. SONAR además detecta cambios o comportamiento en su equipo quese deban supervisar.

SONAR no hace detecciones sobre tipo de aplicación, sino sobre cómo un procesose comporta. SONAR actúa en una aplicación solamente si esa aplicación secomporta de forma maliciosa, sin importar su tipo. Por ejemplo, si un troyano oun registrador de pulsaciones no actúa de manera maliciosa, SONAR no lo detecta.

SONAR detecta los elementos siguientes:

SONAR usa la heurística para determinar si unarchivo desconocido se comporta de formasospechosa y puede ser de alto riesgo o de bajoriesgo. Además usa datos de reputación paradeterminar si la amenaza es de alto riesgo o debajo riesgo.

Amenazas heurísticas

SONAR detecta las aplicaciones o los archivos queintentan modificar la configuración de DNS o unarchivo de host en un equipo cliente.

Cambios en el sistema

Algunos archivos buenos de confianza puedenestar asociados a comportamiento sospechoso.SONAR detecta estos archivos como eventos decomportamiento sospechoso. Por ejemplo, undocumento bien conocido que comparte laaplicación puede crear archivos ejecutables.

Aplicaciones de confianza que exhibenmal comportamiento


104

Si deshabilita Auto-Protect, se limita la capacidad de SONAR de hacer deteccionesde archivos de alto y de bajo riesgo. Si deshabilita las operaciones de búsqueda deInsight, además, limita la funcionalidad de la detección de SONAR.


Cómo cambiar Configuración de SONARPuede ser recomendable cambiar las acciones de SONAR para reducir el índice dedetecciones positivas falsas. Es posible también cambiar las notificaciones paralas detecciones heurísticas de SONAR.


Nota: En clientes administrados, el administrador puede bloquear estaconfiguración.

Para cambiar Configuración de SONAR


2 Al lado de Protección proactiva contra amenazas, haga clic en Configuraropciones.

3 En la ficha SONAR, cambie las acciones para las amenazas heurísticas dealto riesgo o de bajo riesgo.

Es posible habilitar el modo intenso para las detecciones de bajo riesgo. Estaconfiguración aumenta la sensibilidad de SONAR a detecciones de bajo riesgo.Puede ser que aumente las detecciones positivas falsas.

4 Opcionalmente, cambie la configuración de la notificación.

5 En la ficha Deteccióndecomportamientosospechoso, cambie la acción paralas detecciones de alto riesgo o de bajo riesgo. SONAR hace estas deteccionescuando los archivos de confianza se asocian a un comportamiento sospechoso.

6 En la ficha Eventosdecambiodel sistema, cambie la acción del análisis paralas detecciones de cambios a la configuración del servidor DNS o a un archivode host.


105Cómo administrar los análisisCómo administrar SONAR en el equipo cliente


106

Cómo administrar elfirewall y la prevención deintrusiones


■ Acerca de Protección contra amenazas de red

■ Cómo administrar la protección mediante firewall

■ Ajustar la configuración del firewall

■ Acerca de cómo permitir o bloquear aplicaciones

■ Visualización de la actividad de red

■ Acerca de las reglas de firewall del cliente

■ Acerca del orden de procesamiento de la regla de firewall, la configuración delfirewall y la prevención de intrusiones

■ Cómo cambiar el orden de las reglas de firewall

■ Cómo el firewall usa la inspección de estado

■ Los elementos de una regla de firewall

■ Cómo configurar reglas de firewall

■ Cómo administrar la prevención de intrusiones

■ Cómo funciona la prevención de intrusiones

■ Cómo habilitar o deshabilitar la prevención de intrusiones

5Capítulo

■ Configurar notificaciones de prevención de intrusiones

Acerca de Protección contra amenazas de redEl cliente de Symantec Endpoint Protection proporciona Protección contraamenazas de red, que supervisa la información que entra y sale del equipo, ybloquea los intentos de ataque de red.

La Tabla 5-1 describe las funciones de Symantec Endpoint Protection que sepueden usar para administrar Protección contra amenazas de red.

Tabla 5-1 Funciones de Protección contra amenazas de red

DescripciónHerramienta

El firewall evita que usuarios no autorizados accedan al equipo ya las redes que se conectan a Internet. El firewall detecta posiblesataques de hackers, protege la información personal y eliminafuentes no deseadas de tráfico de red. El firewall permite o bloqueael tráfico entrante y saliente.

Ver "Cómo funciona un firewall" en la página 110.


Firewall

El sistema de prevención de intrusiones (IPS) detecta y bloqueaautomáticamente ataques de red. IPS analiza cada paquete queentra y sale de un equipo en busca de firmas de ataques.

IPS se basa en una detallada lista de firmas de ataques paradetectar y bloquear las actividades de red sospechosas. Symantecproporciona la lista de amenazas conocidas, la cual se puedeactualizar en el cliente mediante Symantec LiveUpdate. El motorIPS de Symantec y el correspondiente grupo de firmas IPS seinstalan en el cliente de forma predeterminada.

Ver "Cómo funciona la prevención de intrusiones" en la página 141.

Ver "Cómo administrar la prevención de intrusiones"en la página 140.

Sistema de prevenciónde intrusiones

Cómo administrar la protección mediante firewallDe forma predeterminada, el firewall permite todo el tráfico de red entrante ysaliente. Es posible configurar el firewall para permitir o para bloquear tipos detráfico específicos.

Cómo administrar el firewall y la prevención de intrusionesAcerca de Protección contra amenazas de red

108

El administrador determina el nivel de interacción que tiene con el clientepermitiendo su capacidad de configurar reglas de firewall y la configuración. Eladministrador puede restringir su uso, por ejemplo que solamente puedeinteractuar con el cliente cuando lo notifica de nuevas conexiones de red y deproblemas posibles. O, el administrador puede permitirle un acceso total a lainterfaz de usuario.

La Tabla 5-2 describe las tareas del firewall que se pueden realizar para protegersu equipo. Todos estas tareas son opcionales y se pueden realizar en cualquierorden.

Tabla 5-2 Cómo administrar la protección mediante firewall

DescripciónTarea

Aprenda cómo el firewall protege su equipo contra los ataques dered.


Leer sobre elfuncionamiento delfirewall

Además de crear reglas de firewall, se puede también permitir yajustar la configuración del firewall para mejorar más la protecciónmediante firewall.

Ver "Ajustar la configuración del firewall" en la página 111.

Ajustar laconfiguración delfirewall

Es posible comprobar regularmente el estado de la protecciónmediante firewall en su equipo para determinar lo siguiente:

■ Las reglas de firewall que creó funcionan correctamente.

■ El cliente bloqueó ataques de red.

■ El cliente bloqueó aplicaciones que esperaba ejecutar.

Es posible usar el registro de tráfico y el registro de paquetes paracomprobar el estado de la protección mediante firewall.


Nota: De forma predeterminada, el registro de paquetes estádeshabilitado en clientes administrados.

Ver registros defirewall

Es posible mejorar la protección de su equipo personalizando laconfiguración de la aplicación. Una aplicación es un programa desoftware diseñado para ayudar al usuario a realizar una tarea. Porejemplo, Microsoft Internet Explorer es una aplicación. Es posibleajustar la configuración del firewall para controlar las aplicacionesque pueden acceder a la red.

Ver "Acerca de cómo permitir o bloquear aplicaciones"en la página 125.

Configurar opcionesde la aplicación

109Cómo administrar el firewall y la prevención de intrusionesCómo administrar la protección mediante firewall

DescripciónTarea

Es posible ver la información sobre el tráfico entrante y el tráficosaliente de su cliente. Es posible también ver una lista de lasaplicaciones y los servicios que se han ejecutado desde que el serviciodel cliente se inició.

Ver "Visualización de la actividad de red" en la página 129.

Supervisar laactividad de red

Además de habilitar la configuración del firewall, se puedenmodificar las reglas de firewall predeterminadas para personalizarmás la protección mediante firewall. Es posible también crear nuevasreglas de firewall. Por ejemplo, puede ser recomendable bloquearuna aplicación que no desea ejecutar en su equipo, como unaaplicación de publicidad no deseada.

Ver "Acerca de las reglas de firewall del cliente" en la página 131.

Ver "Cómo configurar reglas de firewall" en la página 137.

Ver "Cómo habilitar y deshabilitar reglas de firewall" en la página 139.

Agregar ypersonalizar lasreglas de firewall

Es posible deshabilitar Protección contra amenazas de redtemporalmente para solucionar problemas. Por ejemplo, puede serrecomendable deshabilitarla de modo que se pueda abrir ciertaaplicación.

Ver "Cómo habilitar o deshabilitar la protección en el equipo cliente"en la página 45.

Habilitar odeshabilitar elfirewall

Ver "Acerca de Protección contra amenazas de red" en la página 108.

Cómo funciona un firewallUn firewall hace todas las tareas siguientes:

■ Evita que cualquier usuario no autorizado acceda a los equipos y las redes ensu organización que se conectan a Internet.

■ Supervisa la comunicación entre sus equipos y otros equipos en Internet.

■ Crea un escudo que permite o bloquea intentos de acceder a la información ensus equipos.

■ Le advierte de intentos de conexión de otros equipos

■ Le advierte de intentos de conexión mediante las aplicaciones en su equipoque se conectan a otros equipos.

El firewall revisa los paquetes de datos que se transmiten por Internet. Un paquetees un pequeño conjunto de datos que son parte del flujo de información entre dos

Cómo administrar el firewall y la prevención de intrusionesCómo administrar la protección mediante firewall

110

equipos. Los paquetes se vuelven a montar en su destino para aparecer como flujode datos intacto.

Los paquetes contienen información sobre lo siguiente:

■ Envío de los equipos

■ Destinatarios previstos

■ Cómo se procesan los datos de paquete

■ Puertos que reciben los paquetes

Los puertos son los canales que dividen el flujo de datos que viene de Internet.Las aplicaciones que se ejecutan en un equipo y escuchan los puertos. Lasaplicaciones aceptan los datos que se envían a los puertos.

Los ataques de red aprovechan los puntos vulnerables de aplicaciones vulnerables.Los atacantes usan estas debilidades para enviar paquetes que contienen códigode programación malicioso a los puertos. Cuando las aplicaciones vulnerablesescuchan los puertos, el código malicioso permite a los atacantes acceder al equipo.

Ver "Acerca de Protección contra amenazas de red" en la página 108.


Ajustar la configuración del firewallLa Tabla 5-3 describe los tipos de configuración del firewall que se pueden ajustarpara personalizar más la protección mediante firewall.

El administrador no le ha dado los permisos apropiados para ajustar estaconfiguración si no aparece en la interfaz de usuario ni se puede modificar. Lamodificación de la configuración del firewall es opcional y se puede hacer encualquier orden.

111Cómo administrar el firewall y la prevención de intrusionesAjustar la configuración del firewall

Tabla 5-3 Configuración de firewall

DescripciónCategoría

Es posible habilitar varias opciones de configuración deltráfico y la navegación oculta por la web para protegersecontra ciertos tipos de ataques a la red del cliente. Es posiblepermitir que la configuración del tráfico detecte y bloqueeel tráfico que se comunica a través de los controladores, deNetBIOS y de token rings. Es posible configurar las opcionespara detectar el tráfico que utiliza más ataques invisibles.También es posible controlar el comportamiento para eltráfico IP que no coincide con ninguna regla de firewall.

Ver "Habilitar la configuración de tráfico y de la navegaciónoculta por la Web" en la página 113.

Tráfico y ocultación en elnavegador web

Symantec Endpoint Protection proporciona las reglasintegradas que permiten el intercambio normal de ciertosservicios de red esenciales. Las reglas integradas eliminanla necesidad de crear las reglas de firewall que permitenexplícitamente esos servicios. Durante el proceso, estasreglas integradas se evalúan antes que las reglas de firewallde modo que los paquetes que coinciden con una incidenciaactiva de una regla integrada estén permitidos. Es posibledefinir las reglas integradas para los servicios DHCP, DNSy WINS.

Ver "Permitir automáticamente las comunicaciones paralos servicios de red esenciales" en la página 119.

Reglas integradas para losservicios de red esenciales

Es posible habilitar el cliente para que comparta sus archivoso para que busque archivos e impresoras compartidos en lared local. Para impedir ataques basados en red, es posibledeshabilitar el uso compartido de archivos e impresoras enla red.

Ver "Habilitar el uso compartido de archivos e impresorasen la red" en la página 120.

Uso compartido de archivose impresoras de red

Cómo administrar el firewall y la prevención de intrusionesAjustar la configuración del firewall

112

DescripciónCategoría

Cuando el cliente de Symantec Endpoint Protection detectaun ataque de red, puede bloquear automáticamente laconexión para asegurarse de que el equipo cliente estéseguro. El cliente activa una respuesta activa. El clienteentonces bloquea automáticamente toda la comunicacióndesde la dirección IP y hacia ella del equipo que ataca porun período. La dirección IP del equipo atacante se bloqueapara una sola ubicación.

Ver "Bloquear y desbloquear un equipo atacante"en la página 122.

Bloquear un equipo atacante



Habilitar la configuración de tráfico y de la navegación oculta por laWeb

Es posible habilitar varias opciones de configuración del tráfico y la navegaciónoculta por la web para protegerse contra ciertos tipos de ataques a la red delcliente. Es posible permitir que la configuración del tráfico detecte y bloquee eltráfico que se comunica a través de los controladores, de NetBIOS y de token rings.Es posible configurar las opciones para detectar el tráfico que utiliza más ataquesinvisibles. También es posible controlar el comportamiento para el tráfico IP queno coincide con ninguna regla de firewall.

Después de que el firewall haya terminado ciertas operaciones, el control pasa aun número de componentes. Cada componente está diseñado para realizar undiferente tipo de análisis del paquete.

Para habilitar la configuración de tráfico y de navegación oculta por la Web


2 Al lado de Protección contra amenazas de red, haga clic en Configuraropciones.

3 En la ficha Firewall, en Configuración de tráfico, seleccione las casillas deverificación de las funciones que desee habilitar de la siguiente manera:


Bloquea el tráfico de NetBIOS de una gateway externa.

Es posible utilizar el archivo Entorno de red ycompartir el uso de impresoras en una LAN y tambiénproteger los puntos vulnerables de NetBIOS del ataquede cualquier red externa. Esta opción bloquea lospaquetes de NetBIOS que se originan en las direccionesIP que no son parte de los intervalos internos ICANNdefinidos. Los intervalos internos ICANN incluyen10.x.x.x, 172.16.x.x, 192.168.x.x y 169.254.x.x, aexcepción de las subredes 169.254.0.x y 169.254.255.x.Los paquetes de NetBIOS incluyen UDP 88, UDP 137,UDP 138, TCP 135, TCP 139, TCP 445 y TCP 1026.

Nota: La protección de NetBIOS puede causar unproblema con Microsoft Outlook si el equipo cliente seconecta a un servidor de Microsoft Exchange Serverque esté en una subred distinta. Es posible crear unaregla de firewall que permita específicamente el accesoa ese servidor.

Habilitar protección deNetBIOS

Permite que los equipos cliente se conecten por unadaptador token ring para acceder a la red,independientemente de las reglas de firewall delcliente.

Si deshabilita esta configuración, el tráfico queprovenga de los equipos que se conectan por unadaptador token ring no podrá acceder a la redcorporativa. El firewall no filtra tráfico de token ring.Permite todo el tráfico de token ring o bloquea todo eltráfico de token ring.

Permitir el tráfico de tokenring


114

Permite el tráfico ARP (Address Resolution Protocol)entrante y saliente solamente si una solicitud de ARPfue hecha a ese host específico. Bloquea el resto deltráfico inesperado y lo registra en el registro deseguridad.

Algunos hackers utilizan la falsificación de MAC paraintentar secuestrar una sesión de comunicación entredos equipos. Las direcciones de Media Access Control(MAC) son las direcciones de hardware que identificanlos equipos, los servidores, los routers, etc. Cuando elequipo A desea comunicarse con el equipo B, puedeenviar un paquete ARP al equipo.

La protección contra la falsificación de dirección MACevita que un equipo permita a otro equipo reiniciar unatabla de direcciones MAC. Si un equipo envía unmensaje de solicitud de ARP, el cliente permite elmensaje de respuesta de ARP correspondiente dentrode un período de 10 segundos. Todos los clientesrechazan todos los mensajes de respuesta de ARP nosolicitados.

Habilitar reglas contra lafalsificación de MAC

Permite al cliente supervisar cambios en lasaplicaciones de red que se ejecutan en el equipo cliente.

Las aplicaciones de red envían y reciben tráfico. Elcliente detecta si el contenido de una aplicación semodifica.

Habilitar supervisión deaplicaciones de red

Bloquea todo el tráfico entrante y el tráfico salientedel equipo cliente cuando el firewall no está enejecución por algún motivo.

El equipo no está protegido cuando se producencualquiera de los siguientes eventos:

■ Después de que el equipo cliente se inicia y antesde que comience el servicio de firewall

■ Una vez que el servicio de firewall y el equipocliente se detienen

Este plazo constituye una pequeña vulnerabilidad quepuede permitir la comunicación no autorizada. Estaconfiguración evita que las aplicaciones no autorizadasse comuniquen con otros equipos.

Nota: Cuando se deshabilita la protección contraamenazas de red, el cliente omite esta configuración.

Bloquear todo el tráfico hastaque el firewall se inicie ydespués de que se detenga


Cuando esta configuración se habilita, SymantecEndpoint Protection identifica los ataques conocidosbasados en varios paquetes, sin importar el número depuerto o el tipo de protocolo de Internet.

La incapacidad para proporcionar este tipo de detecciónes una limitación de un sistema de prevención y unadetección de intrusiones basada en firmas.

Habilitar la detección denegación de servicio

Cuando esta configuración se habilita, SymantecEndpoint Protection supervisa todos los paquetesentrantes que cualquier regla de seguridad bloquee. Siuna regla bloquea varios paquetes diversos en puertosdiversos en un período corto, Symantec EndpointProtection crea una entrada de registro de seguridad.

La detección de análisis de puertos no bloquea ningúnpaquete. Es necesario crear una política de seguridadpara bloquear el tráfico cuando ocurre un análisis depuertos.

Habilitar la detección deanálisis de puertos


116

4 En Configuración del tráfico IP no coincidente, seleccione los cuadros paralas funciones que desee habilitar.

Estas opciones controlan el tráfico IP entrante y saliente que no coincide conninguna regla de firewall. El tráfico IP incluye los paquetes de datos queatraviesan las redes IP y que usan los protocolos TCP, UDP y ICMP. Lasaplicaciones, los intercambios de correo, las transferencias de archivos, losprogramas que establecen comunicaciones ping y las transmisiones web sonalgunos tipos de tráfico IP.

Es posible habilitar una o más de las siguientes configuraciones de tráfico IP:

Permite todo tráfico entrante y saliente, a menos queuna regla de firewall lo indique de otra manera. Porejemplo, si se agrega una regla de firewall que bloqueael tráfico VPN, el firewall permite todo tipo de tráficoa excepción del tráfico VPN.

Permitir tráfico IP

Permite el tráfico de aplicaciones entrante y saliente,y bloquea el tráfico que no se asocia a ningunaaplicación. Por ejemplo, el firewall permite InternetExplorer, pero bloquea el tráfico VPN, a menos que unaregla lo indique de otra manera.

Permitir sólo el tráfico deaplicaciones

Muestra un mensaje que le pregunta si desea permitiro bloquear una aplicación. Por ejemplo, es posible elegirsi desea bloquear o no los archivos multimedia. O bien,es posible ocultar difusiones del procesoNTOSKRNL.DLL. El proceso NTOSKRNL.DLL puede seruna indicación de spyware, porque el spyware sueledescargar e instalar el proceso NTOSKRNL.DLL.

Preguntar a los usuariosantes de permitir el tráficode aplicaciones


5 En Opcionesdemododeocultación, seleccione los cuadros para las funcionesque desee habilitar de la siguiente manera:

Impide que un intruso falsifique la dirección IP de unindividuo.

Habilitar nueva secuenciaTCP

Los hackers utilizan falsificaciones de direcciones IPpara secuestrar una sesión de comunicación entre dosequipos, tales como equipo A y B. Un hacker puedeenviar un paquete de datos que corte la comunicacióndel equipo A. A continuación, el hacker puede fingirser el equipo A y comunicarse con el equipo B yatacarlo. Para proteger el equipo, la nueva secuenciaTCP calcula aleatoriamente números de secuencia TCP.

Nota: El enmascaramiento de huella digital de SOfunciona mejor cuando se habilita la nueva secuenciaTCP.

Advertencia: La nueva secuencia TCP modifica elnúmero de secuencia TCP cuando se ejecuta el serviciodel cliente. El número de secuencia es diferente cuandoel servicio se ejecuta y cuando no se ejecuta. Por lotanto, se terminan las conexiones de red cuando sedetiene o se inicia el servicio de firewall. Los paquetesde TCP/IP utilizan una secuencia de números de sesiónpara comunicarse con otros equipos. Cuando no seejecuta el cliente, el equipo cliente utiliza el esquemanumérico de Windows. Cuando se ejecuta el cliente yse habilita la nueva secuencia TCP, el cliente utiliza unesquema numérico distinto. Si el servicio cliente sedetiene repentinamente, el esquema numérico vuelveal esquema numérico de Windows y, entonces,Windows descarta los paquetes de tráfico. Además, lanueva secuencia TCP puede tener un problema decompatibilidad con ciertas NIC que hace que el clientebloquee todo el tráfico entrante y saliente.


118

Detecta el tráfico HTTP de un navegador web encualquier puerto y quita la siguiente información: elnombre y el número de versión del navegador, elsistema operativo y la página web de referencia. Impideque los sitios web puedan saber qué sistema operativoy navegador utiliza el equipo. No detecta tráfico HTTPS(SSL).

Advertencia: La exploración web con el modo deocultación puede provocar el mal funcionamiento dealgunos sitios web. Algunos servidores web generanpáginas web basadas en información sobre el navegadorweb. Debido a que esta opción quita la información delnavegador, es posible que algunas páginas web no semuestren de manera correcta o que directamente noaparezcan. La exploración Web con el modo deocultación quita la firma del navegador, llamadaHTTP_USER_AGENT, del encabezado de solicitud deHTTP y la cambia por una firma genérica.

Habilitar exploración Web enmodo de ocultación

Previene la detección del sistema operativo de unequipo cliente. El cliente modifica el valor deidentificación y de TTL de los paquetes TCP/IP paraimpedir la identificación de un sistema operativo.

Nota: El enmascaramiento de huella digital de SOfunciona mejor cuando se habilita la nueva secuenciaTCP.

Advertencia: La nueva secuencia TCP puede tener unproblema de compatibilidad con ciertas NIC que haceque el cliente bloquee todo el tráfico entrante ysaliente.

Habilitar enmascaramientode las huellas digitales delsistema operativo



Ver "Bloquear tráfico" en la página 124.

Permitir automáticamente las comunicaciones para los servicios dered esenciales

Symantec Endpoint Protection proporciona las reglas integradas que permitenel intercambio normal de ciertos servicios de red esenciales. Las reglas integradaseliminan la necesidad de crear las reglas de firewall que permiten explícitamenteesos servicios. Durante el proceso, estas reglas integradas se evalúan antes que


las reglas de firewall de modo que los paquetes que coinciden con una incidenciaactiva de una regla integrada estén permitidos. Es posible definir las reglasintegradas para los servicios DHCP, DNS y WINS.

Los filtros de reglas integradas admiten el paquete si se efectuó una solicitud. Nobloquean los paquetes. Las reglas de firewall admiten o bloquean los paquetes.



3 En la ficha Firewall, en Reglas integradas, seleccione una o más de lassiguientes opciones:

■ Habilitar Smart DHCP

■ Habilitar Smart DNS

■ Habilitar Smart WINS


Ver "Habilitar la configuración de tráfico y de la navegación oculta por la Web"en la página 113.


Habilitar el uso compartido de archivos e impresoras en la redEs posible habilitar el cliente para que comparta sus archivos o para que busquearchivos e impresoras compartidos en la red local. Para impedir ataques basadosen red, es posible deshabilitar el uso compartido de archivos e impresoras en lared.

Es posible habilitar el uso compartido de archivos e impresoras de red de lassiguientes maneras:

Si una regla de firewall bloquea este tráfico, la regla defirewall tiene prioridad sobre esta configuración.

Para habilitar automáticamente el uso compartido dearchivos e impresoras de red

Habilite automáticamente laconfiguración del usocompartido de archivos eimpresoras en la red desde laficha Redes de MicrosoftWindows.


120

Es posible agregar las reglas de firewall si desea másflexibilidad que la que la configuración proporciona. Porejemplo, cuando se crea una regla, es posible especificar unhost determinado y no todos los hosts. Las reglas de firewallpermiten que el acceso a los puertos para buscar y compartirarchivos e impresoras.

Es posible crear un conjunto de reglas de firewall de modoque el cliente pueda compartir sus archivos. Se crea unsegundo conjunto de reglas de firewall de modo que el clientepueda buscar otros archivos e impresoras.

Para permitir de forma manual que los clientes busquenarchivos e impresoras

Para permitir de forma manual que otros equipos busquenarchivos en el cliente

Habilite manualmente el usocompartido de archivos eimpresoras en la redagregando reglas de firewall.

Para habilitar automáticamente el uso compartido de archivos e impresoras de red



3 En la ficha Redes de Microsoft Windows, en Configuración, haga clic en elmenú desplegable y seleccione el adaptador en el cual se aplican estasconfiguraciones.

4 Para buscar otros equipos y otras impresoras en la red, haga clic en Examinararchivos e impresoras en la red.

5 A fin de permitir que otros equipos exploren los archivos de su equipo, hagaclic en Compartir mis archivos e impresoras con otros en la red.


Para permitir de forma manual que los clientes busquen archivos e impresoras

1 En el cliente, en la barra lateral, haga clic en Estado.

2 Al lado de Protección contra amenazas de red, haga clic en Opciones >Configurar reglas de firewall.

3 En el cuadro de diálogo Configurar reglas de firewall, haga clic en Agregar.

4 En la ficha General, escriba un nombre para la regla y haga clic en Permitireste tráfico.

5 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clicen TCP.

6 En la lista desplegable Puertos remotos, escriba 88, 135, 139, 445.





10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clicen UDP.

11 En la lista desplegable Puertos remotos, escriba 88.

12 En la lista desplegable Puertos locales, escriba 137, 138.


Para permitir de forma manual que otros equipos busquen archivos en el cliente





5 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clicen TCP.

6 En la lista desplegable Puertos locales, escriba 88, 135, 139, 445.




10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clicen UDP.

11 En la lista desplegable Puertos locales, escriba 88, 137, 138.



Bloquear y desbloquear un equipo atacanteCuando el cliente de Symantec Endpoint Protection detecta un ataque de red,puede bloquear automáticamente la conexión para asegurarse de que el equipocliente esté seguro. El cliente inicia una respuesta activa, que bloqueaautomáticamente toda la comunicación hacia la dirección IP del equipo atacante


122

y desde ella por un período determinado. La dirección IP del equipo atacante sebloquea para una sola ubicación.

Es posible ver la dirección IP del equipo atacante en el registro de seguridad. Esposible también desbloquear un ataque deteniendo la respuesta activa en el registrode seguridad.

Si no desea esperar la cantidad de tiempo predeterminada para desbloquear ladirección IP, es posible desbloquearla inmediatamente.

Para bloquear un equipo atacante



3 En la ficha Firewall, en Configuraciónderespuestaactiva, seleccione Númerode segundos de bloqueo automático de la dirección IP de un atacante y, acontinuación, escriba el número de segundos.

Escriba un número entre 1 y 999 999 segundos. El tiempo predeterminado esde 600 segundos (10 minutos).


Para desbloquear un equipo atacante


2 Al lado de Administracióndeclientes, haga clic en Ver registros>Registrode seguridad.

3 En Registro de seguridad, seleccione la fila que contiene Respuesta activaen la columna Tipo de evento y, después, haga clic en Acción > Detenerrespuesta activa.

Para desbloquear las direcciones IP bloqueadas, haga clic en Acción>Detenertodas lasrespuestasactivas. Si desbloquea una respuesta activa, la columnaTipo de evento indica Respuesta activa cancelada. Si finaliza el tiempo deespera de la respuesta activa, la columna Tipo de evento indica “Respuestaactiva deshabilitada”.

4 En el cuadro de mensaje que aparece, haga clic en Aceptar.





Bloquear tráficoEs posible configurar su equipo para bloquear el tráfico entrante y saliente en lassituaciones siguientes:

Es posible configurar su equipo para que bloquee todo eltráfico entrante y saliente del entorno de red cuando elprotector de pantalla de su equipo se activa. Tan prontocomo el protector de pantalla se desactiva, su equipo vuelveal nivel de seguridad previamente asignado.

Para bloquear el tráfico cuando el protector de pantalla seactiva

Cuando el protector depantalla de su equipo seactiva.

El equipo está desprotegido una vez que el equipo clientese inicia y antes de que el servicio de firewall se inicie o unavez que el servicio de firewall se detiene y el equipo se apaga.Este plazo constituye una pequeña vulnerabilidad que puedepermitir la comunicación no autorizada.

Para bloquear el tráfico cuando el firewall no se ejecuta

Cuando el firewall no seejecuta.

Es posible que desee bloquear todo el tráfico cuando un virusespecialmente destructivo ataque la red o la subred de sucompañía. No es necesario bloquear todo el tráfico encircunstancias normales.

Nota: Su administrador puede haber configurado estaopción de forma que no esté disponible. No es posiblebloquear tráfico en un cliente no administrado.

Para bloquear todo el tráfico en cualquier momento

Cuando se desea bloqueartodo el tráfico entrante ysaliente en cualquiermomento.

Es posible permitir todo el tráfico deshabilitando la Protección contra amenazasde red.

Ver "Cómo habilitar o deshabilitar la protección en el equipo cliente"en la página 45.

Para bloquear el tráfico cuando el protector de pantalla se activa



3 En la ficha RedesdeMicrosoftWindows, en Mododeprotectordepantalla,haga clic en Bloquear el tráfico de Microsoft Windows Networking cuandose ejecute el protector de pantalla.



124

Para bloquear el tráfico cuando el firewall no se ejecuta



3 En la ficha Firewall, en Configuracióndetráfico, haga clic en Bloqueartodoel tráfico hasta que el firewall se inicie y después de que se detenga.

4 Puede también hacer clic en Permitir tráfico inicial de DHCP y NetBIOS.


Para bloquear todo el tráfico en cualquier momento


2 Al lado de Protección contra amenazas de red, haga clic en Opciones > Veractividad de la red.

3 Haga clic en Herramientas > Bloquear todo el tráfico.

4 Para confirmar, haga clic en Sí.

5 Para volver a la configuración anterior del firewall que el cliente utiliza, anulela selección de Herramientas > Bloquear todo el tráfico.

Ver "Bloquear y desbloquear un equipo atacante" en la página 122.


Acerca de cómo permitir o bloquear aplicacionesUna aplicación es un programa de software que se usa para realizar ciertas tareas.Por ejemplo, Internet Explorer e iTunes son aplicaciones. Es posible personalizarel cliente para controlar ciertas aplicaciones a fin de proteger su red contra ataques.

Lo que sigue describe las tareas que se pueden realizar para personalizar laprotección mediante firewall para sus aplicaciones. Todos estas tareas sonopcionales y se pueden realizar en cualquier orden:

■ Es posible habilitar el cliente para permitir o para bloquear el acceso de unaaplicación a la red.Ver "Cómo permitir o bloquear el acceso de aplicaciones a la red"en la página 126.

■ Es posible configurar las opciones de una aplicación que se ha ejecutado desdeque se inicia el servicio del cliente o que ha solicitado permiso para acceder ala red. Además, puede configurar restricciones, como las direcciones IP y lospuertos que la aplicación puede utilizar. También puede ver y modificar laacción que el cliente realiza para cada aplicación que intenta acceder a través

125Cómo administrar el firewall y la prevención de intrusionesAcerca de cómo permitir o bloquear aplicaciones

de la conexión de red. Al configurar las opciones de una aplicación específica,se crea una regla de firewall basada en la aplicación.Ver "Configurar valores específicos de una aplicación" en la página 127.

■ Es posible quitar las restricciones de la aplicación, tales como la hora en queel firewall bloquea una aplicación. Cuando se quitan las restricciones, la acciónque el cliente aplica sobre la aplicación también se borra. Cuando la aplicacióno el servicio intenta conectarse a la red de nuevo, es posible que se le preguntede nuevo si desea permitir o bloquear la aplicación. Además, es posible evitarque una aplicación o un servicio se ejecute hasta que la aplicación intenteacceder a su equipo de nuevo, por ejemplo, cuando se reinicia el equipo.Ver "Quitar restricciones para una aplicación" en la página 129.


Cómo permitir o bloquear el acceso de aplicaciones a la redEs posible habilitar el cliente para permitir o para bloquear el acceso de unaaplicación a la red.

La Tabla 5-4 describe las acciones que el cliente toma sobre el tráfico de red.

Tabla 5-4 Acciones que el firewall toma cuando las aplicaciones acceden alcliente o a la red

DescripciónAcción

Permite que el tráfico entrante acceda al equipo cliente y el tráfico salienteacceda a la red.

Si el cliente recibe tráfico, el icono muestra un pequeño punto azul en laesquina inferior izquierda. Si el cliente envía tráfico, el icono muestra unpunto en la esquina inferior derecha.

Permitir

Bloquea el tráfico entrante y el tráfico saliente para que no acceda a la redo una conexión a Internet.

Bloquear

Le pregunta si desea que la aplicación acceda a la red la próxima vez queintente ejecutar la aplicación.

Preguntar

Detiene el proceso.Terminar

Para permitir o bloquear que una aplicación acceda a la red



Cómo administrar el firewall y la prevención de intrusionesAcerca de cómo permitir o bloquear aplicaciones

126

3 En el cuadro de diálogo Actividad de red, en el campo Aplicaciones enejecución, haga clic con el botón derecho en la aplicación o el servicio y,después, haga clic en la opción que desee.




Ver "Acerca de cómo permitir o bloquear aplicaciones" en la página 125.

Configurar valores específicos de una aplicaciónEs posible configurar las opciones de una aplicación que se ha ejecutado desdeque se inicia el servicio del cliente o que ha solicitado permiso para acceder a lared.

Puede configurar restricciones, como las direcciones IP y los puertos que laaplicación puede utilizar. También puede ver y modificar la acción que el clienterealiza para cada aplicación que intenta acceder a través de la conexión de red.Al configurar las opciones de una aplicación específica, se crea una regla de firewallbasada en la aplicación.

Nota: Si hay un conflicto entre una regla de firewall y una configuración específicade la aplicación, la regla de firewall tiene prioridad. Por ejemplo, una regla defirewall que bloquea todo el tráfico entre la 1 a. m. y las 8 a. m. anula laprogramación de una aplicación de video específica.

Las aplicaciones que aparecen en el cuadro de diálogo Actividad de red son lasaplicaciones y los servicios que se ejecutaron desde que se inició el servicio delcliente.

Para configurar opciones específicas de una aplicación


2 Al lado de Protección contra amenazas de red, haga clic en Opciones > Veropciones de aplicación.

3 En el cuadro de diálogo Ver opciones de aplicación, seleccione la aplicaciónque desea configurar y haga clic en Configurar.

4 En el cuadro de diálogo Configurar opciones de la aplicación, en el cuadroIP de confianza para la aplicación, escriba una dirección IP o un intervalode IP.

5 En los cuadros de grupo Puertos remotos del servidor o Puertos locales,seleccione un puerto TCP o UDP.

127Cómo administrar el firewall y la prevención de intrusionesAcerca de cómo permitir o bloquear aplicaciones

6 Para especificar la dirección del tráfico, haga clic en una de las siguientesopciones o en ambas:

Haga clic en Permitir conexiones salientes.Para permitir el tráficosaliente

Haga clic en Permitir conexiones entrantes.Para permitir el tráficoentrante

7 Para aplicar la regla cuando se ejecute el protector de pantalla, haga clic enPermitir mientras el protector de pantalla esté activado.

8 Para configurar una programación cuando las restricciones están o no estánhabilitadas, haga clic en Habilitar programación.

9 Seleccione una de las siguientes opciones:

Haga clic en Durante el siguiente período.Para especificar el tiempo enque las restricciones están enefecto

Haga clic en Excluido el siguiente período.Para especificar el tiempo enque las restricciones no estánen efecto

10 Configure la programación.


12 En el cuadro de diálogo Veropcionesdeaplicación, para modificar la acción,haga clic con el botón derecho en la aplicación y, a continuación, haga clic enPermitir o Bloquear.


Para detener una aplicación o un servicio



3 En el campo Aplicaciones en ejecución, haga clic con el botón derecho en laaplicación y, a continuación, haga clic en Terminar.

4 Para confirmar, haga clic en Sí y después haga clic en Cerrar.

Ver "Adición de una regla de firewall" en la página 138.


Cómo administrar el firewall y la prevención de intrusionesAcerca de cómo permitir o bloquear aplicaciones

128


Quitar restricciones para una aplicaciónEs posible quitar las restricciones de la aplicación, tales como la hora en que elfirewall bloquea una aplicación. Cuando se quitan las restricciones, la acción queel cliente aplica sobre la aplicación también se borra. Cuando la aplicación o elservicio intenta conectarse a la red de nuevo, es posible que se le pregunte denuevo si desea permitir o bloquear la aplicación.

Es posible evitar que una aplicación o un servicio se ejecute hasta que la aplicaciónintente acceder a su equipo de nuevo, por ejemplo, cuando se reinicia el equipo.

Para quitar las restricciones de una aplicación


2 Al lado de Protección contra amenazas de red, haga clic en Opciones > Veropciones de aplicación.

3 En el cuadro de diálogo Ver opciones de aplicación, realice una de lassiguientes acciones:

Seleccione la aplicación y después haga clic enEliminar.

Para eliminar una aplicaciónde la lista.

Haga clic en Eliminar todo.Para eliminar aplicaciones dela lista.

4 Haga clic en Sí.




Visualización de la actividad de redEs posible ver la información sobre el tráfico entrante y el tráfico saliente de suequipo. Es posible también ver una lista de las aplicaciones y los servicios que sehan ejecutado desde que el servicio del cliente se inició.

Nota:El cliente no detecta el tráfico de red de los dispositivos de ayudante personaldigital (PDA).

129Cómo administrar el firewall y la prevención de intrusionesVisualización de la actividad de red

Es posible mostrar el tráfico de red como tráfico de difusión o tráfico deunidifusión. El tráfico de difusión es el tráfico de red que se envía a cada equipode una subred determinada y no se dirige específicamente a su equipo. El tráficode unidifusión es el tráfico que se dirige específicamente a su equipo.

Para ver el historial de actividad de red




Para mostrar o ocultar los servicios y el tráfico de difusión de Windows



3 En el cuadro de diálogo Actividad de red, haga clic con el botón derecho enAplicaciones en ejecución y realice una de las siguientes acciones:

Seleccione o anule la selección de MostrarServicios de Windows.

Para mostrar o ocultar los servicios deWindows

Seleccione Mostrar tráfico de difusión.Para mostrar el tráfico de difusión

Anule la selección de Mostrar tráfico dedifusión.

Para mostrar tráfico de unidifusión


Para cambiar la manera en que la información de la aplicación se muestra



3 En el campo Aplicaciones en ejecución, haga clic con el botón derecho en laaplicación y, después, haga clic en la vista que desee ver. Por ejemplo, se puedehacer clic en Detalles.



Ver "Cómo permitir o bloquear el acceso de aplicaciones a la red" en la página 126.


Cómo administrar el firewall y la prevención de intrusionesVisualización de la actividad de red

130


Acerca de las reglas de firewall del clienteLa Tabla 5-5 describe lo que es necesario saber sobre las reglas de firewall de losclientes.

Tabla 5-5 Temas sobre las reglas de firewall de los clientes

DescripciónTema

Es posible lograr más éxito al crear reglas de firewall eficacessi se comprende cómo se procesan las reglas, laconfiguración del firewall y la configuración de laprevención de intrusiones. Al comprender la forma en quese procesan las reglas y la configuración, puede ordenar lasreglas de firewall como corresponda.

Ver "Acerca del orden de procesamiento de la regla defirewall, la configuración del firewall y la prevención deintrusiones" en la página 132.

Ver "Cómo cambiar el orden de las reglas de firewall"en la página 133.

Comprenda cómo seprocesan las reglas defirewall, la configuración y laconfiguración de laprevención de intrusiones

Symantec Endpoint Protection usa la inspección de estado.Esto significa que para el tráfico que se inicia en unadirección, no se necesita una regla para permitir el tráficode vuelta. Al comprender la forma en que funciona lainspección de estado, se elimina la necesidad de crear reglas.

Ver "Cómo el firewall usa la inspección de estado"en la página 134.

Aprenda sobre cómo elcliente usa la inspección deestado de modo que usted notenga que crear reglasespecíficas

Para crear reglas de firewall eficaces, es necesariocomprender los componentes de una regla.

Ver "Los elementos de una regla de firewall" en la página 134.

Conozca los elementos deuna regla de firewall


131Cómo administrar el firewall y la prevención de intrusionesAcerca de las reglas de firewall del cliente

Acerca del orden de procesamiento de la regla defirewall, la configuración del firewall y la prevenciónde intrusiones

Las reglas de firewall se ordenan secuencialmente, desde la prioridad más altahasta la prioridad más baja, o desde arriba abajo en la lista de reglas. Si la primeraregla no especifica cómo administrar un paquete, el firewall examina la segundaregla. Este proceso continúa hasta que el firewall encuentre una coincidencia.Una vez que el firewall encuentra una coincidencia, el firewall toma medidas quela regla especifica. Las reglas subsecuentes de una prioridad más baja no seexaminan. Por ejemplo, si una regla que bloquea todo el tráfico se enumera primero,seguida por una regla que permita todo el tráfico, el cliente bloquea todo el tráfico.

Es posible ordenar las reglas según la exclusividad. Las reglas más restrictivas seevalúan primero, y las reglas más generales se evalúan al final. Por ejemplo, esnecesario poner las reglas que bloquean el tráfico cerca de la parte superior de lalista de reglas. Las reglas que aparecen más abajo en la lista pueden permitir eltráfico.

Las prácticas recomendadas para crear una base de reglas incluyen el siguienteorden de reglas:

Reglas que bloquean todo el tráfico.1ro

Reglas que permiten todo el tráfico.2do

Reglas que permiten o bloquean equipos específicos.3ro

Reglas que permiten o bloquean aplicaciones, servicios de red y puertosespecíficos.

4to

La Tabla 5-6 muestra el orden en el cual el firewall procesa las reglas, laconfiguración del firewall y la configuración de la prevención de intrusiones.

Tabla 5-6 Orden de procesamiento

ConfiguraciónPrioridad

Firmas IPS personalizadasPrimer lugar

Configuración de la prevención de intrusiones, configuración del tráficoy modo de ocultación

Segundo lugar

Reglas integradasTercer lugar

Reglas de firewallCuarto lugar

Cómo administrar el firewall y la prevención de intrusionesAcerca del orden de procesamiento de la regla de firewall, la configuración del firewall y la prevención de intrusiones

132

ConfiguraciónPrioridad

Comprobaciones de análisis de puertosQuinto lugar

Firmas IPS que se descargan con LiveUpdateSexto lugar

Ver "Cómo cambiar el orden de las reglas de firewall" en la página 133.


Ver "Cómo funciona la prevención de intrusiones" en la página 141.


Cómo cambiar el orden de las reglas de firewallEl firewall procesa la lista de reglas de firewall desde abajo hacia arriba. Es posibledeterminar cómo el firewall procesa las reglas de firewall modificando su orden.Los cambios realizados en el orden solo afectan a la ubicación seleccionada en esemomento.

Nota: Para una mejor protección, coloque las reglas más restrictivas primero ylas menos restrictivas al final.

Para cambiar el orden de una regla de firewall



3 En el cuadro de diálogo Configurarreglasde firewall, seleccione la regla quedesea cambiar de lugar.


■ Para que el firewall procese esta regla antes de la regla que se encuentraencima de ella, haga clic en la flecha hacia arriba.

■ Para que el firewall procese esta regla después de la regla que se encuentradebajo de ella, haga clic en la flecha hacia abajo.

5 Cuando haya terminado de cambiar las reglas de lugar, haga clic en Aceptar.

Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracióndel firewall y la prevención de intrusiones" en la página 132.


133Cómo administrar el firewall y la prevención de intrusionesCómo cambiar el orden de las reglas de firewall

Cómo el firewall usa la inspección de estadoLa protección mediante firewall usa la inspección de estado para realizar unseguimiento de las conexiones actuales. La inspección de estado realiza unseguimiento de las direcciones IP de origen y destino, los puertos, las aplicacionesy otra información de conexión. Antes de que el cliente examine las reglas defirewall, toma decisiones sobre el flujo de tráfico que se basan en la informaciónde conexión.

Por ejemplo, si una regla de firewall permite que un equipo se conecte a un servidorweb, el firewall registra información sobre la conexión. Cuando que el servidorcontesta, el firewall detecta que se espera una respuesta del servidor web al equipo.Permite que el tráfico del servidor web fluya al equipo de iniciación sin lainspección de la base de la regla. Una regla debe permitir el tráfico saliente inicialantes de que el firewall registre la conexión.

La inspección de estado elimina la necesidad de crear nuevas reglas. Para el tráficoque se inicia en una dirección, no es necesario crear las reglas que permiten eltráfico en ambas direcciones. El tráfico del cliente que se inicia en una direcciónincluye Telnet (puerto 23), HTTP (puerto 80) y HTTPS (puerto 443). Los equiposcliente inician este tráfico saliente; se crea una regla que permita el tráfico salientepara estos protocolos. La inspección de estado permite automáticamente el tráficode retorno que responde al tráfico saliente. Ya que el firewall tiene estadosincluidos, solo se deben crear las reglas que inician una conexión, no lascaracterísticas de un paquete determinado. Todos los paquetes que pertenecen auna conexión permitida se permiten implícitamente, como una parte integral deesa misma conexión.

La inspección de estado es compatible con todas las reglas que dirigen el tráficoTCP.

No es compatible con las reglas que filtran el tráfico ICMP. Para el tráfico ICMP,se deben crear reglas que permitan el tráfico en ambas direcciones. Por ejemplo,si desea que los clientes usen el comando ping y reciban respuestas, deberá crearuna regla que permita el tráfico ICMP en ambas direcciones.



Los elementos de una regla de firewallLas reglas de firewall controlan cómo el cliente protege el equipo contra el tráficode red malicioso. Cuando un equipo intenta conectarse a otro equipo, el firewallcompara el tipo de conexión con las reglas de firewall. El firewall comprueba

Cómo administrar el firewall y la prevención de intrusionesCómo el firewall usa la inspección de estado

134

automáticamente todos los paquetes de tráfico entrante y saliente con las reglas.El firewall permite o bloquea los paquetes según las reglas.

Es posible usar activadores, como aplicaciones, hosts y protocolos, para definirlas reglas de firewall. Por ejemplo, una regla puede identificar un protocolo enrelación con una dirección de destino. Cuando el firewall evalúa la regla, todoslos activadores deben ser verdaderos para que se produzca una coincidencia. Sialgún activador es falso para el paquete actual, el firewall no aplica la regla.

Tan pronto como se activa una regla de firewall, no se evalúa ninguna otra reglade firewall. Si no se activa ninguna regla, el paquete se bloquea automáticamente,y el evento no se registra.

Una regla de firewall describe las condiciones en las cuales una conexión de redse puede permitir o bloquear. Por ejemplo, una regla puede permitir tráfico de redentre el puerto remoto 80 y la dirección IP 192.58.74.0, entre las 9.00 a. m. y 5p. m., todos los días.

Tabla 5-7 describe los criterios que utiliza para definir una regla de firewall.

135Cómo administrar el firewall y la prevención de intrusionesLos elementos de una regla de firewall

Tabla 5-7 Condiciones de las reglas de firewall

DescripciónCondición

Los desencadenadores de la regla de firewall son los siguientes:

■ Aplicaciones

Cuando la aplicación es el único disparador que usted define en unaregla de permiso de tráfico, el firewall permite que la aplicaciónrealice cualquier operación de red. La aplicación es el valorsignificativo, no las operaciones de red que la aplicación realiza. Porejemplo: se permite Internet Explorer y no se define ningún otrodisparador. Los usuarios podrán acceder a los sitios remotos queutilizan HTTP, HTTPS, FTP, Gopher y cualquier otro protocolocompatible con el navegador Web. Es posible definir activadoresadicionales para describir los hosts y protocolos de red con los quese permite comunicación.

■ Hosts

El host local siempre es el equipo del cliente local y el host remotosiempre es un equipo remoto ubicado en otra parte de la red. Estaexpresión del vínculo del host es independiente de la dirección deltráfico. Cuando se definen disparadores de hosts, se especifica elhost del componente remoto de la conexión de red descrita.

■ Protocolos

Un activador de protocolo identifica uno o más protocolos de redsignificativos en relación con el tráfico de red descrito.

El equipo host local maneja siempre el puerto local, y el equiporemoto maneja siempre el puerto remoto. Esta expresión del vínculodel puerto es independiente de la dirección del tráfico.

■ Adaptadores de red

Si define un disparador de adaptador de red, la regla es relevantesolamente para el tráfico transmitido o recibido usando el tipoespecificado de adaptador. Es posible especificar cualquier adaptadoro el que se asocia actualmente al equipo cliente.

Es posible combinar las definiciones de activación para crear reglas máscomplejas, por ejemplo, para identificar un protocolo determinado enlo referente a una dirección de destino específica. Cuando el firewallevalúa la regla, todos los activadores deben ser verdaderos para que seproduzca una coincidencia. Si algún activador no es verdadero enrelación con el paquete actual, el firewall no podrá aplicar la regla.

Activadores

Cómo administrar el firewall y la prevención de intrusionesLos elementos de una regla de firewall

136

DescripciónCondición

Estado de programación y protector de pantalla.

Los parámetros condicionales no describen un aspecto de una conexiónde red. En cambio, los parámetros condicionales determinan el estadoactivo de una regla. Los parámetros condicionales son opcionales y sino se definen, no son significativos. Es posible configurar unaprogramación o identificar el estado de un protector de pantalla quedicta cuándo se considera que una regla está activa o inactiva. El firewallno evalúa las reglas inactivas cuando recibe los paquetes.

Condiciones

Permitir o bloquear, y registrar o no registrar.

Los parámetros de acción especifican qué medidas toma el firewallcuando una regla coincide. Si la regla se selecciona en respuesta a unpaquete recibido, el firewall realiza todas las acciones. El firewall permiteo bloquea el paquete, y registra o no el paquete.

Si el firewall permite el tráfico, permite que el tráfico especificado porla regla acceda a su red.

Si el firewall bloquea el tráfico, bloquea el tráfico especificado por laregla para que no acceda a su red.

Acciones

Ver "Cómo el firewall usa la inspección de estado" en la página 134.



Cómo configurar reglas de firewallLa Tabla 5-8 describe cómo configurar nuevas reglas de firewall.

Tabla 5-8 Cómo configurar reglas de firewall

DescripciónTareaPaso

Symantec Endpoint Protection se instala con reglas de firewallpredeterminadas. Pero puede crear sus propias reglas.


Otra manera en que puede agregar una regla de firewall esexportar reglas de firewall existentes desde otras políticas defirewall. Es posible entonces importar las reglas de firewall y laconfiguración, de modo que usted no tenga que volver a crearlas.

Ver "Cómo exportar e importar reglas de firewall" en la página 139.

Agregar unanueva regla defirewall

1

137Cómo administrar el firewall y la prevención de intrusionesCómo configurar reglas de firewall

DescripciónTareaPaso

Una vez que crea una nueva regla o si desea personalizar unaregla predeterminada, puede modificar cualquiera de los criteriosde la regla de firewall.


(Opcional)Personalizarlos criterios dela regla defirewall

2



Adición de una regla de firewallCuando se agrega una regla de firewall, es necesario decidir qué efecto debe tenerla regla. Por ejemplo, es posible permitir todo el tráfico de una fuente determinadao bloquear los paquetes UDP de un sitio web.

Las reglas de firewall se habilitan automáticamente cuando usted las crea.

Para agregar una regla de firewall




4 En la ficha General, escriba un nombre para la regla y después haga clic enBloquear este tráfico o Permitir este tráfico.

5 Para definir las activaciones para la regla, haga clic en cada ficha y configúrelasegún lo necesario.

6 Para definir el tiempo en que la regla está habilitada o deshabilitada, en laficha Programación, haga clic en Habilitar programación y, después,configure una programación.

7 Cuando termine de realizar los cambios, haga clic en Aceptar.





Cómo administrar el firewall y la prevención de intrusionesCómo configurar reglas de firewall

138

Cómo exportar e importar reglas de firewallEs posible compartir las reglas con otro cliente para no tener que volver a crearlas.Es posible exportar las reglas de otro equipo e importarlas en su equipo. Cuandose importan reglas, se agregan a la parte inferior de la lista de reglas de firewall.Las reglas importadas no sobrescriben las reglas existentes, incluso si una reglaimportada es idéntica a una regla existente.

Las reglas exportadas y las reglas importadas se guardan en un archivo .sar.

Para exportar reglas de firewall



3 En el cuadro de diálogo Configurar reglas de firewall, seleccione las reglasque desea exportar.

4 Haga clic con el botón derecho en las reglas y, a continuación, haga clic enExportar reglas seleccionadas.

5 En el cuadro de diálogo Exportar, escriba un nombre de archivo y, después,haga clic en Guardar.


Para importar reglas de firewall



3 En el cuadro de diálogo Configurar reglas de firewall, haga clic con el botónderecho en la lista de reglas de firewall y, después, haga clic en Importarregla.

4 En el cuadro de diálogo Importar, localice el archivo .sar que contiene lasreglas que desea importar.

5 Haga clic en Abrir.



Cómo habilitar y deshabilitar reglas de firewallEs necesario habilitar las reglas para que el firewall pueda procesarlas. Cuandose agregan reglas, quedan automáticamente habilitadas.

139Cómo administrar el firewall y la prevención de intrusionesCómo configurar reglas de firewall

Puede deshabilitar una regla de firewall si necesita permitir el acceso específicode un programa o equipo.

Para habilitar o deshabilitar reglas de firewall



3 En el cuadro de diálogo Configurarreglasde firewall, en la columna Nombrede la regla, seleccione o anule la selección de la casilla de verificación ubicadaal lado de la regla que desea habilitar o deshabilitar.



Cómo administrar la prevención de intrusionesSe administra la prevención de intrusiones como parte de la Protección contraamenazas de red.

Tabla 5-9 Cómo administrar la prevención de intrusiones

DescripciónAcción

Aprenda cómo la prevención de intrusionesdetecta y bloquea ataques de la red y delnavegador.

Ver "Cómo funciona la prevención de intrusiones"en la página 141.

Aprenda sobre la prevención deintrusiones

De forma predeterminada, las firmas más actualesse descargan al cliente. Sin embargo, es posibleque desee descargar las firmas de formainmediata.

Ver "Actualización de la protección del equipo"en la página 36.

Descargue las firmas IPS más actuales.

Cómo administrar el firewall y la prevención de intrusionesCómo administrar la prevención de intrusiones

140

DescripciónAcción

Puede ser recomendable deshabilitar laprevención de intrusiones para solucionarproblemas o si los equipos cliente detectan falsospositivos excesivos. Típicamente, no deberíadeshabilitar la prevención de intrusiones.

Es posible habilitar o deshabilitar los siguientestipos de prevención de intrusiones:

■ Prevención contra intrusiones de red

■ Prevención contra intrusiones del navegador

Ver "Cómo habilitar o deshabilitar la prevenciónde intrusiones" en la página 142.

Es posible también habilitar o deshabilitar laprevención de intrusiones cuando se habilita o sedeshabilita Protección contra amenazas de red.

Ver "Acerca de cómo habilitar y deshabilitar laprotección" en la página 43.

Habilite o deshabilite la prevencióncontra intrusiones de red o laprevención contra intrusiones delnavegador

Es posible configurar notificaciones para queaparezcan cuando Symantec Endpoint Protectiondetecta una intrusión de la red o del navegador.

Ver "Configurar notificaciones de prevención deintrusiones" en la página 143.

Configure notificaciones de prevenciónde intrusiones

Cómo funciona la prevención de intrusionesLa prevención de intrusiones es parte de Protección contra amenazas de red.

La prevención de intrusiones detecta y bloquea automáticamente ataques de redy ataques en los navegadores. La prevención de intrusiones es la segunda capa dedefensa después del firewall para proteger los equipos cliente. La prevención deintrusiones a veces se llama sistema de prevención de intrusiones (IPS).

Ver "Cómo administrar la prevención de intrusiones" en la página 140.

La prevención de intrusiones intercepta datos en la capa de red. Usa firmas paraanalizar los paquetes o las secuencias de paquetes. Analiza cada paqueteindividualmente buscando los modelos que corresponden a los ataques de la redo del navegador. La prevención de intrusiones usa firmas para detectar ataquesen los componentes del sistema operativo y la capa de aplicación.

La prevención de intrusiones proporciona dos tipos de protección.

141Cómo administrar el firewall y la prevención de intrusionesCómo funciona la prevención de intrusiones

La prevención contra intrusiones de red usa firmaspara identificar ataques en los equipos cliente. Paralos ataques conocidos, la prevención de intrusionesdesecha automáticamente los paquetes que coincidencon las firmas.

No es posible crear firmas personalizadas en el cliente.Pero se pueden importar las firmas personalizadas quesu administrador o usted creó en Symantec EndpointProtection Manager.

Prevención contra intrusiones dered

La prevención contra intrusiones del navegadorsupervisa ataques en Internet Explorer y Firefox. Laprevención contra intrusiones del navegador no seadmite en ningún otro navegador.

Este tipo de prevención de intrusiones usa firmas deataques así como la heurística para identificar ataquesen los navegadores.

Para algunos ataques del navegador, la prevención deintrusiones necesita que el cliente cierre el navegador.Una notificación aparece en el equipo cliente.

Prevención contra intrusiones delnavegador

Cómo habilitar o deshabilitar la prevención deintrusiones

Típicamente, cuando se deshabilita la prevención de intrusiones en el equipo, estees menos seguro. Sin embargo, puede ser recomendable deshabilitar estaconfiguración para evitar falsos positivos o para solucionar problemas en suequipo.

Symantec Endpoint Protection asienta los intentos y los eventos de intrusión enlos registros de seguridad. Además, Symantec Endpoint Protection asienta loseventos de intrusión en el registro de paquetes si el administrador lo configuró.



Es posible habilitar o deshabilitar dos tipos de prevención de intrusiones:

■ Prevención contra intrusiones de red

■ Prevención contra intrusiones del navegador

Cómo administrar el firewall y la prevención de intrusionesCómo habilitar o deshabilitar la prevención de intrusiones

142

Nota: El administrador puede haber configurado estas opciones de forma que noestén disponibles.


Para habilitar o deshabilitar la configuración de la prevención de intrusiones



3 En la ficha Prevención de intrusiones, seleccione o anule la selección decualquiera de las siguientes opciones de configuración:

■ Habilitar Prevención contra intrusiones de red

■ Habilitar Prevención contra intrusiones de navegador

Para obtener más información sobre estos valores, haga clic en Ayuda.


Configurar notificaciones de prevención deintrusiones

Es posible configurar notificaciones que aparecerán cuando el cliente detecta unataque de red en el equipo o cuando el cliente bloquea el acceso de una aplicaciónal equipo. Es posible configurar el tiempo durante el que estas notificacionesaparecen y si la notificación incluye un aviso con audio.

Se debe habilitar el sistema de prevención de intrusiones para que las notificacionesde prevención de intrusiones aparezcan.

Nota: Su administrador puede haber configurado estas opciones de forma que noestén disponibles.


Para configurar notificaciones de prevención de intrusiones



3 En el cuadro de diálogo Configuración de protección contra amenazas dered, haga clic en Notificaciones.

143Cómo administrar el firewall y la prevención de intrusionesConfigurar notificaciones de prevención de intrusiones

4 Seleccione Mostrar notificaciones de prevención de intrusiones.

5 Para oír una señal sonora cuando aparece la notificación, seleccione Usarsonido al notificar a los usuarios.


Cómo administrar el firewall y la prevención de intrusionesConfigurar notificaciones de prevención de intrusiones

144

Cómo administrarSymantec Network AccessControl


■ Cómo funciona Symantec Network Access Control

■ Cómo funciona el cliente con Enforcer

■ Ejecutar una comprobación de integridad del host

■ Corregir el equipo

■ Configurar el cliente para la autenticación 802.1x

■ Visualización de los registros de Symantec Network Access Control

Cómo funciona Symantec Network Access ControlEl cliente de Symantec Network Access Control valida y aplica el cumplimientode políticas para los equipos que intentan conectarse a la red. Este proceso devalidación y aplicación comienza antes de que el equipo se conecte a la red ycontinúa durante toda la conexión. La política de integridad del host es la políticade seguridad que sirve como base para todas las evaluaciones y acciones. Integridaddel host además hace referencia al “cumplimiento de seguridad”.

La Tabla 6-1 describe el proceso que Network Access Control usa para aplicar elcumplimiento de las políticas en el equipo cliente.

6Capítulo

Tabla 6-1 Cómo funciona Symantec Network Access Control

DescripciónAcción

Se activa el equipo cliente. El cliente realiza unacomprobación de integridad del host que compara laconfiguración del equipo con la política de integridad delhost descargada del servidor de administración.

La comprobación de integridad del host evalúa el equipopara verificar el cumplimiento de la política de integridaddel host para el software antivirus, los parches, lascorrecciones y otros requisitos de seguridad. Por ejemplo,la política puede comprobar la antigüedad de las definicionesde virus y los parches más recientes aplicados al sistemaoperativo.

El cliente evalúacontinuamente elcumplimiento.

Si el equipo cumple todos los requisitos de la política,aprueba la comprobación de integridad del host. Enforcerconcede acceso de red completo a los equipos que apruebanla comprobación de integridad del host.

Si el equipo no cumple los requisitos de la política, noaprueba la comprobación de integridad del host. Cuando nose aprueba una comprobación de integridad del host, elcliente o Symantec Enforcer bloquean o ponen encuarentena el equipo hasta que se lo corrija. Los equipos encuarentena tienen acceso limitado a la red o no tienenningún acceso.

Ver "Cómo funciona el cliente con Enforcer" en la página 147.

Symantec Enforcer autenticael equipo cliente y concede alequipo acceso a la red obloquea y pone encuarentena los equipos queno cumplen la política.

El cliente puede visualizar una notificación cada vez que seaprueba la comprobación de integridad del host.


Su administrador puedehaber configurado la políticade modo que se apruebe lacomprobación de integridaddel host incluso si falta unrequisito específico.

Si el cliente encuentra que no se cumple un requisito de lapolítica de integridad del host, instala o solicita al clienteque instale el software necesario. Después de corregir elequipo, intenta acceder a la red de nuevo. Si el equipocumple totalmente con la política, se concede al equipo elacceso a la red.

Ver "Corregir el equipo" en la página 148.

El cliente corrige los equiposque no cumplen con lapolítica.

Cómo administrar Symantec Network Access ControlCómo funciona Symantec Network Access Control

146

DescripciónAcción

El cliente supervisa activamente el estado de cumplimientode todos los equipos cliente. Si en cualquier momento cambiael estado de cumplimiento del equipo, también lo hacen losprivilegios de acceso a la red del equipo.

El cliente supervisa de formadinámica el cumplimiento.

Es posible ver más información sobre los resultados de la comprobación deintegridad del host en el registro de seguridad.

Cómo funciona el cliente con EnforcerEl cliente interactúa con Symantec Enforcer. Enforcer se asegura de que todos losequipos que se conectan a la red que protege cuenten con el software de clientey tengan una política de seguridad correcta.

Ver "Cómo funciona Symantec Network Access Control" en la página 145.

Enforcer debe autenticar el usuario o el equipo cliente antes de permitir que elequipo cliente acceda a la red. Symantec Network Access Control utiliza variostipos de módulos de Enforcer para autenticar el equipo cliente. Symantec Enforceres el dispositivo de hardware de red que verifica los resultados de la integridaddel host y la identidad del equipo cliente antes de permitirle el acceso a la red.

Enforcer comprueba la siguiente información antes de permitir el acceso de uncliente a la red:

■ La versión del software del cliente que el equipo ejecuta.

■ El cliente tiene un identificador único (UID).

■ El cliente fue actualizado con la política de integridad del host más reciente.

■ El equipo cliente aprobó la comprobación de integridad del host.

Ver "Configurar el cliente para la autenticación 802.1x" en la página 148.

Ejecutar una comprobación de integridad del hostSu administrador configura la frecuencia que el cliente utiliza para ejecutar unacomprobación de integridad del host. Es posible que necesite ejecutar unacomprobación de integridad del host inmediatamente, en lugar de esperar lacomprobación siguiente. Por ejemplo, una comprobación de integridad del hostcon errores puede detectar que es necesario actualizar las firmas de protecciónantivirus del equipo. El cliente puede permitir que usted elija si descargar elsoftware necesario de inmediato o posponer la descarga. Si descarga el softwarede inmediato, es necesario ejecutar la comprobación de integridad del host

147Cómo administrar Symantec Network Access ControlCómo funciona el cliente con Enforcer

nuevamente para verificar que tiene el software correcto. Puede esperar hasta lapróxima comprobación de integridad del host programada o ejecutar lacomprobación inmediatamente.

Para ejecutar una comprobación de integridad del host


2 Junto a Network Access Control, haga clic en Opciones > Comprobarcumplimiento.

3 Si aparece un mensaje que confirma que se ejecutó la comprobación deintegridad del host, haga clic en Aceptar.

Si se había bloqueado el acceso a la red, es necesario recuperar el acceso aella cuando su equipo se haya actualizado para cumplir con la política deseguridad.

Corregir el equipoSi el cliente encuentra que no se cumple un requisito de la política de integridaddel host, responde en una de las maneras siguientes:

■ El cliente descarga la actualización de software automáticamente.

■ El cliente le solicita que descargue la actualización de software necesaria.

Para corregir el equipo

◆ En el cuadro de diálogo de Symantec Endpoint Protection que aparece, realiceuna de las siguientes acciones:

■ Para ver qué requisitos de seguridad no se cumplen en su equipo, hagaclic en Detalles.

■ Para instalar inmediatamente el software, haga clic en Restaurar ahora.La opción para cancelar la instalación después de que se haya iniciadopuede aparecer o no.

■ Para posponer la instalación de software, haga clic en Recordármelomástarde y seleccione un intervalo de tiempo en la lista desplegable.El administrador puede configurar el número máximo de veces que esposible posponer la instalación.

Configurar el cliente para la autenticación 802.1xSi la red corporativa utiliza LAN Enforcer para la autenticación, el equipo clientese debe configurar para realizar la autenticación 802.1x. Usted o el administrador

Cómo administrar Symantec Network Access ControlCorregir el equipo

148

pueden configurar el cliente. Su administrador puede o no haberle otorgadopermisos para configurar la autenticación 802.1x.

El proceso de autenticación 802.1x incluye los pasos siguientes:

■ Un cliente no autenticado o un suplicante de otro fabricante envía lainformación del usuario y del cumplimiento a un conmutador de red 802.1xadministrado.

■ El conmutador de red retransmite la información a LAN Enforcer. LAN Enforcerenvía la información del usuario al servidor de autenticación para suautenticación. El servidor RADIUS es el servidor de autenticación.

■ Si el cliente no aprueba la autenticación de nivel de usuario o no cumple conla política de integridad del host, Enforcer puede bloquearle el acceso a la red.Enforcer coloca los equipos cliente que no cumplen en una red de cuarentenadonde el equipo puede ser corregido.

■ Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo802.1x vuelve a autenticar el equipo y le concede acceso a la red.

Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otrofabricante o un suplicante integrado.

Tabla 6-2 describe los tipos de opciones que es posible configurar para laautenticación 802.1x.

Tabla 6-2 Opciones de la autenticación 802.1x

DescripciónOpción

Utiliza un suplicante de 802.1x de otro fabricante.

LAN Enforcer funciona con un servidor RADIUS y suplicantesde 802.1x de otro fabricante para realizar la autenticación deusuarios. El suplicante de 802.1x le pedirá la información deusuario. LAN Enforcer pasa esa información de usuario alservidor RADIUS para la autenticación a nivel de usuario. Elcliente envía el perfil del cliente y el estado de integridad delhost a Enforcer a fin de que Enforcer autentique el equipo.

Nota: Si desea utilizar el cliente de Symantec Network AccessControl con un suplicante de otro fabricante, el móduloProtección contra amenazas de red del cliente de SymantecEndpoint Protection debe estar instalado.

Suplicante de otrofabricante

149Cómo administrar Symantec Network Access ControlConfigurar el cliente para la autenticación 802.1x

DescripciónOpción

Utiliza el cliente para ejecutarse como suplicante de 802.1x.

Se utiliza este método si el administrador no desea utilizarun servidor RADIUS para realizar la autenticación deusuarios. LAN Enforcer se ejecuta en modo transparente yactúa como servidor RADIUS falso.

El modo transparente implica que el suplicante soliciteinformación del usuario. En el modo transparente, el clienteactúa como suplicante de 802.1x. El cliente responde a lasolicitud de EAP del conmutador con el perfil del cliente y elestado de integridad del host. El conmutador, en su momento,transmite la información a LAN Enforcer, que actúa comoservidor RADIUS falso. LAN Enforcer valida la informaciónde integridad del host y del perfil del cliente provista por elconmutador y puede permitir, bloquear o asignardinámicamente una VLAN, según sea necesario.

Nota: Para utilizar un cliente como suplicante de 802.1x, esnecesario desinstalar o deshabilitar los suplicantes de 802.1xde otros fabricantes en el equipo cliente.

Modo transparente

Utiliza el suplicante de 802.1x integrado del equipo cliente.

Los protocolos de autenticación integrados incluyen SmartCard, PEAP o TLS. Después de habilitar la autenticación802.1x, es necesario especificar qué protocolo deautenticación se utilizará.

Suplicante integrado

Advertencia: Póngase en contacto con su administrador antes de configurar sucliente para la autenticación 802.1x. Es necesario saber si su red corporativa utilizael servidor RADIUS como servidor de autenticación. Si configura la autenticación802.1x incorrectamente, es posible que se corte su conexión a la red.

Para configurar el cliente para utilizar un suplicante de otro fabricante


2 Al lado de Network Access Control, haga clic en Opciones > Cambiarconfiguración > Configuración 802.1x.

Cómo administrar Symantec Network Access ControlConfigurar el cliente para la autenticación 802.1x

150

3 En el cuadro de diálogo ConfiguracióndeNetworkAccessControl, haga clicen Habilitar autenticación 802.1x.


Es necesario también configurar una regla de firewall que permitacontroladores de suplicante de 802.1x de otro fabricante en la red.


Es posible configurar el cliente para que utilice el suplicante integrado. Sehabilita el cliente para la autenticación 802.1x y como suplicante de 802.1x.

Para configurar el cliente para utilizar el modo transparente o un suplicanteintegrado


2 Al lado de Network Access Control, haga clic en Opciones > Cambiarconfiguración > Configuración 802.1x.

3 En el cuadro de diálogo ConfiguracióndeNetworkAccessControl, haga clicen Habilitar autenticación 802.1x.

4 Haga clic en Usar el cliente como suplicante de 802.1x.


■ Para seleccionar el modo transparente, seleccione Usarmodotransparentede Symantec.

■ Para configurar un suplicante integrado, haga clic en Permitir elegir elprotocolo de autenticación.A continuación, debe elegir el protocolo de autenticación para su conexiónde red.


Para elegir un protocolo de autenticación

1 En el equipo cliente, haga clic en Inicio>Configuración>Conexionesderedy después haga clic en Conexión de área local.

Nota: Estos pasos se escriben para los equipos con Windows XP. Elprocedimiento puede variar.

2 En el cuadro de diálogo Estado de conexión de área local, haga clic enPropiedades.

3 En el cuadro de diálogo Propiedades de conexión de área local, haga clic enla ficha Autenticación.

151Cómo administrar Symantec Network Access ControlConfigurar el cliente para la autenticación 802.1x

4 En la ficha Autenticación, haga clic en la lista desplegable Tipo de EAP yseleccione uno de los protocolos de autenticación siguientes:

■ Smart Card u otro certificado

■ EAP protegido (PEAP)

■ Modo transparente de Symantec NAC

Asegúrese de que la casilla de verificación Habilitar el control deaccesoa lared mediante IEEE 802.1x esté seleccionada.



Reautenticar el equipoSi su equipo aprobó la comprobación de integridad del host, pero Enforcer lobloquea, puede ser necesario reautenticar el equipo. Bajo circunstancias normales,nunca debería ser necesario reautenticar el equipo.

Enforcer puede bloquear el equipo cuando ocurre uno de los siguientes eventos:

■ El equipo cliente no aprobó la autenticación de usuario porque se escribió elnombre de usuario o la contraseña incorrectamente.

■ El equipo cliente está en la VLAN incorrecta.

■ El equipo cliente no obtuvo una conexión de red. Los problemas de conexiónde red suceden generalmente porque el conmutador entre el equipo cliente yLAN Enforcer no autenticó el nombre de usuario y la contraseña.

■ Inició sesión en un equipo cliente que autenticó un usuario anterior.

■ El equipo cliente no aprobó la comprobación de cumplimiento.

Es posible reautenticar el equipo solamente si usted o su administradorconfiguraron el equipo con un suplicante integrado.

Nota:Es posible que su administrador no haya configurado el cliente para mostrarel comando Reautenticación.

Para reautenticar el equipo

1 Haga clic con el botón secundario en el icono del área de notificación.

2 Haga clic en Reautenticación...

Cómo administrar Symantec Network Access ControlConfigurar el cliente para la autenticación 802.1x

152

3 En el cuadro de diálogo Reautenticar, escriba su nombre de usuario ycontraseña.


Visualización de los registros de Symantec NetworkAccess Control

El cliente de Symantec Network Access Control usa los siguientes registros parasupervisar diferentes aspectos del funcionamiento y los resultados de lacomprobación de integridad del host:

Registra los resultados y el estado de las comprobaciones de integridaddel host.

Seguridad

Registra todos los cambios operacionales del cliente, tales como laconexión al servidor de administración y las actualizaciones a lapolítica de seguridad del cliente.

Sistema

Si se utiliza un cliente administrado, ambos registros se pueden cargarregularmente al servidor. El administrador puede utilizar el contenido de losregistros para analizar el estado de seguridad general de la red.

Es posible exportar los datos desde estos registros.

Para ver los registros de Symantec Network Access Control


2 Para ver el Registro del sistema, al lado de Network Access Control, hagaclic en Opciones > Ver registros.

3 En el Registro de seguridad, seleccione la entrada de registro principal.

En la esquina inferior izquierda, aparecen los resultados de la comprobaciónde integridad del host. Si el cliente ya estaba instalado, el requisito predefinidodel firewall aparece aprobado. Si el cliente no estaba instalado, el requisitopredefinido del firewall falla pero se informa que ha aprobado.

4 Para ver el Registro del sistema, en el cuadro de diálogo Registrodeseguridad- Registros de control de Symantec Network Access, haga clic en Ver >Registro del sistema.



153Cómo administrar Symantec Network Access ControlVisualización de los registros de Symantec Network Access Control

Cómo administrar Symantec Network Access ControlVisualización de los registros de Symantec Network Access Control

154

AActividad de red

visualización 129Actualización

definiciones 36–37Alertas

iconos 15respuesta 21

Amenazascombinadas 72

Amenazas combinadas 72Análisis

acciones de notificación 84acciones de reparación 84acerca de 66administración 58ajuste de configuración 84cómo funcionan 64componentes que analizan 64configurar excepciones 84definidos por el usuario 84ejecución 16exclusión de elementos del 91interpretación de resultados 23interrupción 17manual y de inicio 79opciones de posposición 18programados 75respuesta a una detección 24retraso 17tipos de 66

Análisis activosejecución 77

Análisis completosejecución 77

Análisis con el botón derecho 16Análisis de inicio

creación 79Análisis del correo electrónico. Ver Auto-ProtectAnálisis manuales

creación 79

ejecución 16Análisis personalizados

ejecución 77Análisis programados

creación 75varios 76

Aplicaciónacerca de 147

Aplicaciones 125exclusión de análisis 91permitir o bloquear 127, 138

Aplicaciones engañosas 73Archivos

actuar sobre una detección 24envío a Symantec Security Response 96exclusión de análisis 91uso compartido 120

Archivos infectadosactuación 23

Autenticación 802.1xacerca de 149configurar 150

Auto-Protectclientes de correo electrónico para trabajo en

grupo 68Diagnóstico Insight de descargas 44habilitar o deshabilitar 44, 46para correo electrónico de Internet 68para el sistema de archivos 46para Lotus Notes 70para Microsoft Outlook 68

BBloquear el tráfico 124, 127

reglas de firewall 138respuesta a mensajes 29

Bloquear un equipo atacante 122Bots 72Bots de Internet 72Búsqueda de Insight

sitios de confianza de la intranet 83

Índice

CCaballos de Troya 72Carpetas

exclusión de análisis 91Centro de seguridad de Windows

visualización del estado del antivirus 101visualización del estado del firewall 102

Clientesadministrado contra no administrado 40, 42cómo proteger los equipos 34deshabilitar protección de 43

Clientes administradosacerca de 40administrar la protección 34comprobar presencia 42

Clientes independientes 40Clientes no administrados

acerca de 40administrar la protección 34comprobar presencia 42

Compartir archivos e impresoras 120Comprobación de integridad del host

ejecución 148Configuración

prevención de intrusiones 143Configuración de tráfico y modo de ocultación 113Correo electrónico

exclusión del archivo de bandeja de entrada delos análisis 90

Cuarentenaadministrar archivos en 93borrar archivos 97envío de archivos a Symantec Security

Response 96poner en cuarentena manualmente un

archivo 96traslado de archivos 95ver archivos infectados 95

DDatos de reputación 74Definiciones

acerca de 65actualización 36–37

Definiciones de virusacerca de 65actualización 36–37

Desbloquear un equipo atacante 122

DeshabilitarAuto-Protect 44, 46Protección contra amenazas de red 45–46Protección proactiva contra amenazas 44, 46

Diagnóstico Insight de descargasadministración de detecciones 80datos de reputación 74interacción con Auto-Protect 44personalización 83respuesta a las notificaciones 27

Dominio webexclusión de análisis 91

EEliminar virus 24Envíos 98–99Equipos

actualizar protección de 36análisis 58cómo proteger los equipos 34

Equipos de 64 bits 17Excepciones

acerca de 90–91creación 91

Excepciones del análisis. Ver excepciones

FFirewall

administración 108aplicaciones 125configuración 111definición 108habilitar o deshabilitar 46inspección de estado 134

GGusanos 72

HHabilitar

Auto-Protect 46Protección contra amenazas de red 46Protección proactiva contra amenazas 46

Herramienta de evaluación de seguridad 73Herramientas de hackeo 73

Índice156

IIcono de bandeja del sistema 38Icono de escudo 38Icono del área de notificación

acerca de 38ocultar y visualizar 39

Iconoscandado 42de la página Estado 15escudo 38

Insight 74Inspección de estado 134IPS

acerca de 108actualizar definiciones 36

LLicencias

respuesta a mensajes sobre 30Limpiar virus 24, 74LiveUpdate

comando 15crear una programación para 37descripción general 36ejecutar de forma inmediata 37

MMarcadores 72Mensajes

prevención de intrusiones 143respuesta 21, 29–30

NNavegación oculta por la Web

activación 113Network Access Control

acerca de 13, 145aplicación 147corregir el equipo 148

NotificacionesDiagnóstico Insight de descargas 27prevención de intrusiones 143respuesta 21

OOpción Ayuda 13

Opcionesno está disponible 41

PPágina Analizar 14Página Cambiar configuración 15Página Estado 14

iconos de alerta 15solución de problemas 13

Página Ver cuarentena 15Permitir el tráfico 127

reglas de firewall 138respuesta a mensajes 29

Poner virus en cuarentena 24Prevención contra intrusiones de red

acerca de 141Prevención contra intrusiones del navegador

acerca de 141Prevención de intrusiones. Ver IPS

administración 140funcionamiento 141habilitar o deshabilitar 143notificaciones para 143

Programas broma 73Programas de acceso remoto 73Programas de control para padres 73Protección

actualización 36–37cómo 34habilitar o deshabilitar 43

Protección contra amenazas de redacerca de 12, 108administración 108habilitar o deshabilitar 45–46registros 50

Protección contra intervencionesconfigurar 48deshabilitación 45habilitar y deshabilitar 48

Protección contra la falsificación de dirección MACactivación 113

Protección contra virus y spywareacerca de 12registro del sistema 50

Protección de controladoresactivación 113

Protección de NetBIOSactivación 113

157Índice

Protección proactiva contra amenazasacerca de 12habilitar o deshabilitar 44, 46

Publicidad no deseada 72

RReautenticación 152Registro de amenazas 50Registro de análisis 49

poner en cuarentena un archivo 96Registro de control 50Registro de depuración 51Registro de paquetes 50

habilitación 52Registro de protección contra intervenciones 51Registro de riesgos 50

poner en cuarentena un archivo 96Registro de seguridad 51Registro de tráfico 50Registro del sistema

administración de clientes 51Protección contra virus y spyware 50Protección proactiva contra amenazas 50

Registrosacerca de 49exportación de datos 53exportación de entradas de registro filtradas 54formatos de exportación 53–54habilitar el Registro de paquetes 52localizar entradas 52Network Access Control 153visualización 51

Reglas de firewall 133acerca de 134adición 138configuración 137exportación 139habilitar y deshabilitar 139importar 139orden de procesamiento

acerca de 132modificación 133

Respuesta activaacerca de 122

Riesgoquitar de un archivo infectado 26

Riesgos para la seguridadcómo el cliente responde a una detección 74

configurar las acciones para las deteccionesde 86

detección del cliente 65exclusión de análisis 91respuesta del cliente 66

Rootkits 72

SServicios de Windows

mostrar 129Servidor

clientes administrados 41conexión con 38

Smart DHCP 119Smart DNS 119Smart WINS 119Software de seguimiento 73Software malicioso


Solución de problemasdesde la página Estado 13

SONARacerca de 12, 103administración 102cambiar la configuración 105registros 50sobre detecciones 104

Spyware 73Symantec Security Response

envío de archivos 96

TTráfico

bloqueo 124permitir o bloquear 127visualización 129

Tráfico de difusiónmostrar 129

Tráfico de token ringactivación 113

UUso compartido de impresoras 120

VVirus 72

cómo el cliente responde a una detección 74

Índice158


detección del cliente 65no reconocidos 96quitar de un archivo infectado 26respuesta del cliente 66

159Índice