installation guide symantec

Upload: baggis-lopez

Post on 17-Jul-2015

139 views

Category:

Documents


0 download

TRANSCRIPT

Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control

Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access ControlEl software que se describe en este manual se suministra con contrato de licencia y slo puede utilizarse segn los trminos de dicho acuerdo. Versin de la documentacin 11.00.00.00.00

Aviso legalCopyright 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System y Norton son marcas comerciales o marcas registradas de Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.mx

Soluciones de Servicio y SoporteSymantec tiene como objetivo ofrecer el mejor servicio en todo el mundo. Nuestra meta es ofrecerle ayuda profesional para la utilizacin de nuestro software y servicios, cualquiera que sea el lugar del mundo en que se encuentre. Las soluciones de Soporte tcnico y Servicio al cliente varan segn el pas. Si tiene alguna pregunta respecto a los servicios que se describen a continuacin, consulte la seccin "Para contactar el Servicio y Soporte mundial" al final de este captulo.

Registro y licenciasSi el producto que est implementando requiere ser registrado y/o una clave de licencia, la manera ms rpida y fcil de registrar su servicio es acceder a nuestro sitio de registro y programas de licenciamiento en www.symantec.com/certificate. Tambin puede ir a http://www.symantec.com/techsupp/ent/enterprise.html, seleccionar el producto que desea registrar y desde la pgina principal del producto, seleccionar el vnculo Registro y licencias. Si ha adquirido una suscripcin de soporte, tiene derecho a recibir asistencia tcnica de Symantec por telfono y por Internet. Cuando se ponga en contacto con el servicio de soporte por primera vez, tenga a mano el nmero de licencia que aparece en su Certificado de licencia o el Id de contacto que se genera al registrar el soporte, para que el personal pueda comprobar su autorizacin de soporte. Si no ha adquirido una suscripcin de soporte, pngase en contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre cmo adquirir soporte tcnico de Symantec.

Actualizaciones de seguridadPara obtener la informacin ms reciente sobre las ltimas amenazas de seguridad y de virus, vaya al sitio Web de Symantec Security Response (antes conocido como SARC) en: http://www.symantec.com/region/mx/avcenter/. Este sitio contiene extensa informacin sobre amenazas de seguridad y de virus, as como las ltimas definiciones de virus. Las definiciones tambin pueden descargarse utilizando la funcin LiveUpdate de su producto.

Renovacin de la suscripcin de actualizaciones antivirusLa adquisicin del servicio de mantenimiento de su producto le da derecho a descargar definiciones de virus gratuitas durante el plazo de validez de su acuerdo de mantenimiento. Si su acuerdo de mantenimiento ha caducado, pngase en

contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre la renovacin del acuerdo.

Los sitios Web de Symantec:Pgina principal de Symantec (por idioma):

Alemn: http://www.symantec.de Espaol: http://www.symantec.com/region/es Francs: http://www.symantec.fr Ingls: http://www.symantec.com Italiano: http://www.symantec.it Neerlands: http:// www.symantec.nl Portugus: http://www.symantec.com/br

Symantec Security Response:

http://securityresponse.symantec.com

Pgina de Servicio y Soporte Empresarial de Symantec:

http://www.symantec.com/region/mx/techsupp/enterprise/index.html

Boletines de noticias de productos:

EE.UU., Pacfico Asitico / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio y frica / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs: http://www.symantec.com/region/fr/techsupp/bulletin/index.html Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html

Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html

Soporte TcnicoNuestro grupo de soporte tcnico global, por ser parte integrante de Symantec Security Response, mantiene centros de soporte en todas partes del mundo. Nuestro papel principal es responder a preguntas especficas sobre caractersticas/funciones de los productos, instalaciones y configuracin, adems de elaborar el contenido de nuestra Base de conocimientos accesible por Internet. Trabajamos en colaboracin con las otras reas funcionales de Symantec para responder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingeniera de productos, as como con nuestros Centros de Investigacin de Seguridad para suministrar Servicios de alerta y actualizaciones de definiciones de virus cuando hay ataques de virus y alertas de seguridad. Nuestros servicios ms importantes incluyen:

Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar la amplitud de servicio necesaria para una organizacin de cualquier tamao. Componentes de soporte telefnico y de Web que le proporcionan respuestas rpidas y la informacin ms reciente. Actualizaciones de producto que proporcionan proteccin automtica y actualizada de software. Actualizaciones de contenido para definiciones de virus y firmas de seguridad que le garantizan el ms alto nivel de proteccin. Soporte global de los expertos de Symantec Security Response, disponible las 24 horas del da, 7 das por semana, en todo el mundo, en varios idiomas. Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de Administrador de cuentas tcnico que suministran respuestas mejoradas y soporte de seguridad proactivo.

Consulte nuestro sitio Web para obtener informacin actualizada sobre los programas de soporte. Para contactarnos Los clientes que tienen un acuerdo de soporte vlido pueden ponerse en contacto con el equipo de Soporte Tcnico por telfono, a travs de la Web en la direccin URL a continuacin o utilizando los sitios de soporte regionales que se indican ms adelante en este documento. http://www.symantec.com/region/mx/techsupp/enterprise/index.html Cuando se ponga en contacto con el personal de Soporte Tcnico, asegrese de tener a mano la siguiente informacin:

Nmero de versin del producto Informacin del hardware Memoria disponible, espacio en disco, informacin sobre el NIC (tarjeta interfaz de red) Sistema operativo Versin y nivel de parche Topologa de la red Router, gateway y direccin IP Descripcin del problema Mensajes de error/archivos de registro Soluciones intentadas antes de ponerse en contacto con Symantec Cambios recientes en la configuracin del software y/o cambios en la red

Servicio de Atencin al Cliente de SymantecEl Centro de Servicio de Atencin al Cliente de Symantec puede prestarle ayuda en asuntos no tcnicos, tales como:

Informacin general sobre productos (caractersticas, idiomas disponibles, distribuidores en su rea, etc.). Solucin de problemas bsicos, tales como comprobar el nmero de versin del producto. Informacin ms reciente sobre actualizaciones y nuevas versiones de productos. Cmo actualizar su producto. Cmo registrar su producto y/o licencias. Informacin sobre los programas de licenciamiento de Symantec. Informacin sobre seguros de actualizacin y contratos de mantenimiento. Reemplazo de CD y manuales. Actualizacin de su registro de producto para reflejar un cambio de nombre o direccin. Consejos sobre las opciones de soporte tcnico de Symantec.

El sitio Web de Servicio y Soporte de Symantec ofrece extensa informacin de servicio al cliente. Esta informacin tambin se puede obtener llamando al Centro de Servicio al cliente de Symantec. Consulte la seccin "Para contactar el Servicio

y Soporte mundial", que aparece al final de este captulo, para obtener el nmero y las direcciones Web del Servicio al cliente de su rea.

Para contactar el Servicio y Soporte mundialEn Europa, Oriente Medio, frica y Amrica Latina.Sitios Web de Servicio y Soporte de Symantec

Alemn: www.symantec.de/desupport/ Espaol: www.symantec.com/region/mx/techsupp/ Francs: www.symantec.fr/frsupport/ Ingls: www.symantec.com/eusupport/ Italiano: www.symantec.it/itsupport/ Neerlands: www.symantec.nl/nlsupport/ Portugus: www.symantec.com/region/br/techsupp/ Direccin FTP de Symantec:ftp.symantec.com (para descargar notas tcnicas y los ltimos parches)

Visite el Servicio y Soporte de Symantec en la Web para obtener informacin tcnica y no tcnica sobre su producto. Symantec Security Response :

http://www.symantec.com/region/mx/avcenter/

Boletines de noticias de productos:

EE.UU. / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio, frica y Amrica Latina / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs:

http://www.symantec.com/region/fr/techsupp/bulletin/index.html

Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html

Servicio de Atencin al Cliente de Symantec Proporciona informacin y consejos no tcnicos por telfono en los siguientes idiomas: ingls, alemn, francs, italiano y espaol.

Alemania + (49) 69 6641 0315 Austria + (43) 1 50 137 5030 Blgica + (32) 2 2750173 Dinamarca + (45) 35 44 57 04 Espaa + (34) 91 7456467 Finlandia + (358) 9 22 906003 Francia + (33) 1 70 20 00 00 Holanda + (31) 20 5040698 Irlanda + (353) 1 811 8093 Italia + (39) 02 48270040 Luxemburgo + (352) 29 84 79 50 30 Noruega + (47) 23 05 33 05 Sudfrica + (27) 11 797 6639

Suecia + (46) 8 579 29007 Suiza + (41) 2 23110001 RU + (44) 20 7744 0367 Otros pases + (353) 1 811 8093 (slo en ingls)

Servicio de Atencin al Cliente de Symantec Direccin postal

Symantec Ltd Customer Service Centre Europa, Oriente Medio y frica (EMEA) PO Box 5689 Dubln 15 Irlanda

En Amrica LatinaSymantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Argentina

Pte. Roque Saenz Pea 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentina Central telefnica: +54 (11) 5811-3225 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306

Venezuela

Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanizacin el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela

Central telefnica: +58 (212) 905-6327 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-1-00-2543 Colombia

Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Central telefnica: +57 (1) 638-6192 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 980-915-5241

Brasil

Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12 andar So Paulo - SP CEP: 04583-904 Brasil, SA Central telefnica: +55 (11) 5189-6300 Fax: +55 (11) 5189-6210 Sitio Web: http://www.service.symantec.com/br Soporte Gold: 000814-550-4172

Chile

Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Central telefnica: +56 (2) 378-7480 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306

Mxico

Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mxico Central telefnica: +52 (55) 5481-2600

Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 001880-232-4615 Resto de Amrica Latina

9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Sitio Web: http://www.service.symantec.com/mx Soporte Gold: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615

En el Pacfico AsiticoSymantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Oficinas de Servicio y Soporte AUSTRALIA

Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australia Central telefnica: +61 2 8879 1000 Fax: +61 2 8879 1001 Sitio Web: http://service.symantec.com Soporte Gold: 1800 805 834 [email protected] Admin. contratos de soporte: 1800 808 089 [email protected]

CHINA

Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 China P.R.C.

Central telefnica: +86 10 8518 3338 Soporte Tcnico: +86 10 8518 6923 Fax: +86 10 8518 6928 Sitio Web: http://www.symantec.com.cn HONG KONG

Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Central telefnica: +852 2528 6206 Soporte Tcnico: +852 2528 6206 Fax: +852 2526 2646 Sitio Web: http://www.symantec.com.hk

INDIA

Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, India Central telefnica: +91 22 652 0658 Soporte Tcnico: +91 22 652 0671 Fax: +91 22 657 0669 Sitio Web: http://www.symantec.com/india

COREA

Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Corea del Sur Central telefnica: +822 3420 8600 Soporte Tcnico: +822 3452 1610 Fax: +822 3420 8650

Sitio Web: http://www.symantec.co.kr MALASIA

Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malasia Central telefnica: +603 7805 4910 Soporte Tcnico: +603 7804 9280 Correo electrnico empresarial: [email protected] N empresarial gratuito: +1800 805 104 Sitio Web: http://www.symantec.com.my

NUEVA ZELANDA

Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nueva Zelanda Central telefnica: +64 9 375 4100 Fax: +64 9 375 4101 Sitio Web de support: http://service.symantec.co.nz Soporte Gold: 0800 174 045 [email protected] Admin. contratos de soporte: 0800 445 450 [email protected]

SINGAPUR

Symantec Singapore 6 Battery Road #22-01/02/03 Singapur 049909 Central telefnica: 1800 470 0730 Fax: +65 6239 2001 Soporte Tcnico: 1800 720 7898 Sitio Web: http://www.symantec.com.sg

TAIWN

Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwn Central telefnica: +886 2 8761 5800 Soporte corporativo: +886 2 8761 5800 Fax: +886 2 2742 2838 Soporte Gold: 0800 174 045 [email protected] Sitio Web: http://www.symantec.com.tw

Se ha hecho todo lo posible para que la informacin contenida en este documento est libre de errores. Sin embargo, dicha informacin puede estar sujeta a modificaciones. Symantec Corporation se reserva el derecho de realizar dichas modificaciones sin previo aviso.

Contenido

Soluciones de Servicio y Soporte Captulo 1 Presentacin de los productos de SymantecAcerca de sus productos de Symantec .............................................. Acerca de Symantec Endpoint Protection ................................... Acerca de Symantec Network Access Control .............................. Acerca de Symantec Endpoint Protection Manager ...................... Componentes que funcionan con Symantec Endpoint Protection Manager ............................................................................... Funcionamiento de Symantec Endpoint Protection Manager ................ Entornos administrados y no administrados ............................... Acerca de los grupos ............................................................... Interaccin de clientes y servidores ........................................... Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager ................................................................ Sitios donde se puede obtener ms informacin ................................. 23 23 26 27 28 29 29 30 30 30 31

Captulo 2

Instalacin por primera vezAntes de proceder a la instalacin ................................................... Instalar y configurar Symantec Endpoint Protection Manager .............. Configurar e implementar el software de cliente ................................ Iniciar sesin y buscar su grupo en la consola .................................... Iniciar sesin en la consola de administracin ............................. Cmo encontrar su grupo en la consola ...................................... Configurar LiveUpdate para actualizaciones de sitio ........................... Configurar LiveUpdate para actualizaciones de clientes ...................... Configurar una poltica de configuracin de LiveUpdate ................ Configurar una poltica de contenido de LiveUpdate ..................... Configurar y probar Symantec Endpoint Protection ............................ Configurar una poltica antivirus y contra software espa predeterminada ............................................................... Probar las funciones antivirus .................................................. Configurar y probar Symantec Network Access Control ....................... Crear una poltica de integridad del host ..................................... Probar una poltica de integridad del host ................................... 33 35 37 38 38 39 39 40 41 42 43 43 44 48 48 50

16

Contenido

Captulo 3

Planificar la instalacin de produccinAcerca de la planificacin de la instalacin y la arquitectura de red ...................................................................................... Requisitos de sistema y de red ........................................................ Acerca de la definicin de derechos administrativos en equipos de destino ....................................................................... Acerca de la configuracin de derechos de usuarios con Active Directory ........................................................................ Requisitos de instalacin del sistema ......................................... Acerca de la compatibilidad con VMWare ................................... Acerca de los firewalls de escritorio y los puertos de comunicacin ........................................................................ Habilitar y modificar firewalls de Windows ....................................... Acerca de los firewalls de Windows y Symantec ........................... Deshabilitar el Servidor de seguridad de conexin a Internet .......................................................................... Deshabilitar el Firewall de Windows XP ...................................... Modificar el firewall de Windows Vista ...................................... Preparar equipos con Windows XP/Vista para la implementacin remota ................................................................................. Preparar equipos que ejecutan Windows XP en grupos de trabajo ........................................................................... Preparar equipos con Windows Vista ......................................... Preparar equipos para la instalacin ................................................ Eliminar amenazas de virus y riesgos de seguridad ....................... Evaluar software de cliente de otros fabricantes .......................... Instalar software de cliente en etapas ........................................ Reinicios del equipo obligatorios ..................................................... 51 56 56 56 57 64 65 67 68 68 69 70 70 71 71 73 73 73 73 74

Captulo 4

Instalar Symantec Endpoint Protection ManagerAntes de proceder a la instalacin .................................................. Instalar Symantec Endpoint Protection Manager con una base de datos integrada ...................................................................... Acerca de la configuracin de instalacin de la base de datos integrada ........................................................................ Instalar Symantec Endpoint Protection Manager con la base de datos integrada ................................................................ Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL ........................................................... Preparar Microsoft SQL Server 2000/2005 para la creacin de una base de datos ............................................................. 75 76 76 78 81 81

Contenido

17

Acerca de las opciones de instalacin de la base de datos de Microsoft SQL Server ........................................................ 86 Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL .................................................. 90 Instalar consolas adicionales de Symantec Endpoint Protection Manager ............................................................................... 94 Instalar y configurar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga ........................... 95 Instalar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga ........................ 95 Configurar conmutacin por error y balanceo de carga ................. 96 Instalar y configurar Symantec Endpoint Protection Manager para la replicacin ....................................................................... 100 Instalar Symantec Endpoint Protection Manager para la replicacin .................................................................... 100 Configurar Symantec Endpoint Protection Manager para la replicacin .................................................................... 101 Ajustar el tamao de pila de Symantec Endpoint Protection Manager ............................................................................. 102 Actualizar desde la base de datos integrada a Microsoft SQL Server ................................................................................ 103 Hacer copia de respaldo del almacn de claves y los archivos server.xml ..................................................................... 104 Hacer una copia de respaldo de la base de datos integrada ............ 105 Instalar una instancia de Microsoft SQL Server 2000 2005 ......... 105 Desinstalar Symantec Endpoint Protection Manager con una base de datos integrada ................................................... 106 Volver a instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL ................................... 106 Restaurar el archivo de almacn de claves de Java original ........... 107 Volver a configurar Symantec Endpoint Protection Manager ....................................................................... 108 Desinstalar Symantec Endpoint Protection Manager ......................... 109

Captulo 5

Instalar el software de cliente de SymantecAcerca del software de instalacin de clientes de Symantec ................ Acerca de Symantec Endpoint Protection .................................. Acerca del software de Symantec Network Access Control ........... Acerca de Windows Installer versin 3.1 ................................... Acerca de los grupos y los clientes ........................................... Acerca de la instalacin de software de cliente no administrado .......... Crear paquetes de instalacin de clientes ........................................ 111 112 113 113 113 114 114

18

Contenido

Acerca de la implementacin de software de cliente desde una unidad asignada ............................................................................. Implementar software de cliente con el Asistente de implementacin mediante transferencia ......................................................... Implementar software de cliente con Buscar equipos no administrados ...................................................................... Importar listas de equipos ............................................................ Crear un archivo de texto de equipos para instalar ...................... Importar un archivo de texto de los equipos que desea instalar ......................................................................... Acerca de la instalacin y la implementacin de software con Altiris ................................................................................ Opciones de instalacin de otros fabricantes .................................... Acerca de la instalacin de clientes mediante productos de otros fabricantes .................................................................... Acerca de la personalizacin de las instalaciones mediante opciones de .msi ............................................................. Acerca de la instalacin de clientes con Microsoft SMS 2003 ............................................................................ Instalar clientes con un Objeto de directiva de grupo de Active Directory ...................................................................... Desinstalar el software de cliente con un Objeto de directiva de grupo de Active Directory ................................................ Acerca de la desinstalacin de software de cliente ............................

115 116 117 119 119 120 120 121 121 121 121 123 130 131

Captulo 6

Instalar los servidores de Cuarentena y de LiveUpdateAntes de proceder a la instalacin ................................................. Instalar y configurar la Cuarentena central ..................................... Instalar la consola de cuarentena ............................................ Instalar el Servidor de cuarentena ........................................... Adjuntar un servidor de administracin a la Cuarentena central ................................................................................... Configurar los grupos para que utilicen Cuarentena central ......... Acerca del uso de un servidor de Symantec LiveUpdate ..................... Instalar y configurar un servidor de LiveUpdate ............................... Desinstalar componentes de administracin de Symantec Endpoint Security .............................................................................. 133 133 134 135 137 138 139 141 142

Captulo 7

Migrar de Symantec AntiVirus y Symantec Client SecurityDescripcin y secuencia de migracin ............................................ 144 Rutas de migracin compatibles e incompatibles .............................. 145

Contenido

19

Migraciones compatibles ....................................................... Migraciones que se bloquean .................................................. Migraciones incompatibles ..................................................... Acerca de la migracin de Cuarentena central ............................ Preparar instalaciones de versiones anteriores para la migracin ........................................................................... Preparar todas las instalaciones de versiones anteriores .............. Preparar instalaciones de versiones anteriores de Symantec 10.x/3.x ........................................................................ Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuracin ................................................................. Acerca de la migracin de grupos y opciones ................................... Acerca de las opciones que no se migran ......................................... Acerca de los paquetes y la implementacin .................................... Acerca de los paquetes de instalacin de clientes que se generan durante la migracin ....................................................... Exportar y dar formato a una lista de nombres de equipos cliente para migrar ................................................................... Puertos de comunicaciones que se abren ................................... Acerca de la preparacin de los equipos cliente para la migracin ..................................................................... Instalar Symantec Endpoint Protection Manager .............................. Migrar opciones de configuracin de grupos de clientes y servidores ........................................................................... Verificar la migracin y actualizar polticas migradas ....................... Migrar clientes no administrados .................................................. Acerca de migrar clientes no administrados con archivos CD ............................................................................... Migrar clientes no administrados con paquetes exportados .......... Qu se ha modificado para los administradores de versiones anteriores ...........................................................................

146 146 146 147 147 147 151 152 153 157 157 158 159 161 162 162 164 165 166 166 167 168

Captulo 8

Migrar software de versin anterior de Symantec SygateAcerca de la migracin a Symantec Endpoint Protection 11.x ............. Acerca de la migracin del servidor de Symantec Sygate y el software de administracin .............................................. Acerca de la migracin del software de cliente de versiones anteriores de Symantec Sygate ......................................... Acerca de la migracin a Symantec Network Access Control 11.x ........ Acerca de la migracin del software de servidor de versiones anteriores de Symantec Sygate ......................................... 174 174 176 177 177

20

Contenido

Acerca de la migracin del software de cliente de versiones anteriores de Symantec Sygate ......................................... Acerca de las actualizaciones de Enforcer ....................................... Situaciones de migracin de servidores .......................................... Migrar una instancia de instalacin que utiliza un servidor de administracin ............................................................... Migrar una instancia de instalacin que utiliza una base de datos de Microsoft SQL y varios servidores de administracin ............................................................... Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin .................. Migrar una instancia de instalacin que utiliza varias bases de datos SQL y servidores de administracin ........................... Procedimientos de migracin de servidores de administracin ............ Migrar un servidor de administracin ...................................... Detener los servidores antes de la migracin de balanceo de carga y conmutacin por error .................................................. Deshabilitar la replicacin antes de la migracin ........................ Habilitar la replicacin despus de la migracin ......................... Cambios de la interfaz y de las funciones del usuario de la consola despus de la migracin ......................................................... Migrar consolas de administracin remotas .................................... Acerca de la configuracin de polticas migradas y nuevas ................. Acerca de la eliminacin de la proteccin de contrasea del cliente de la configuracin del grupo .................................................. Migrar software de cliente de versiones anteriores de Symantec Sygate ................................................................................

178 178 179 179

180 180 181 182 183 184 184 185 186 187 187 188 188

Captulo 9

Actualizar a los nuevos productos de SymantecAcerca de la actualizacin a nuevos productos de Symantec ............... Actualizar Symantec Endpoint Protection Manager .......................... Realizar una copia de respaldo de la base de datos ...................... Deshabilitar la replicacin ..................................................... Detener el servicio de Symantec Endpoint Protection Manager ....................................................................... Actualizar Symantec Endpoint Protection Manager .................... Habilitar la replicacin despus de la migracin ......................... Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control ........................................... Acerca de actualizar clientes de Symantec Network Access Control con Symantec Endpoint Protection .......................................... 191 191 192 192 193 193 194 195 195

Contenido

21

Apndice A

Funciones y propiedades de instalacin de Symantec Endpoint ProtectionAcerca de las funciones y propiedades de instalacin ........................ Acerca de la configuracin de Setaid.ini .................................... Acerca de la configuracin de cadenas de comando de MSI ........... Funciones y propiedades de la instalacin de clientes ........................ Funciones del cliente de Symantec Endpoint Protection ............... Propiedades de la instalacin de clientes de Symantec Endpoint Protection ..................................................................... Parmetros de Windows Installer .................................................. Propiedades del Centro de seguridad de Windows ............................. Acerca de la utilizacin del archivo de registro para comprobar errores ............................................................................... Identificacin del punto de falla de una instalacin ........................... Ejemplos de lnea de comandos .................................................... 197 198 199 200 200 202 203 205 206 207 207

Apndice B

Actualizar el software de cliente de SymantecAcerca de las actualizaciones y los parches ...................................... 209 Actualizar el software de cliente de Symantec .................................. 210

Apndice C

Recuperacin despus de un desastreCmo prepararse para la recuperacin despus de un desastre ............ Acerca del proceso de recuperacin despus de un desastre ................ Restaurar Symantec Endpoint Protection Manager ........................... Acerca de identificar el equipo nuevo o reconstruido ................... Volver a instalar Symantec Endpoint Protection Manager ............ Restaurar el certificado del servidor ............................................... Restaurar comunicaciones de clientes ............................................ Restaurar comunicaciones de clientes con una copia de respaldo de la base de datos .......................................................... Restaurar comunicaciones de clientes sin una copia de respaldo de la base de datos .......................................................... 213 216 217 217 217 218 219 219 221

ndice

22

Contenido

Captulo

1

Presentacin de los productos de SymantecEn este captulo se incluyen los temas siguientes:

Acerca de sus productos de Symantec Componentes que funcionan con Symantec Endpoint Protection Manager Funcionamiento de Symantec Endpoint Protection Manager Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager Sitios donde se puede obtener ms informacin

Acerca de sus productos de SymantecSus productos de Symantec pueden incluir Symantec Endpoint Protection y Symantec Network Access Control. Ambos productos incluyen Symantec Endpoint Protection Manager, que proporciona la infraestructura para instalar y administrar Symantec Endpoint Protection y Symantec Network Access Control. Symantec Endpoint Protection y Symantec Network Access Control son dos tecnologas diferentes de proteccin de puntos finales que funcionan juntas. Este libro incluye ambas tecnologas de proteccin de puntos finales, que se compran por separado.

Acerca de Symantec Endpoint ProtectionSymantec Endpoint Protection protege dispositivos informticos de punto final contra virus, amenazas y riesgos, y proporciona tres capas de proteccin a sus dispositivos informticos de punto final. Las capas son: proteccin contra amenazas

24

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

de red, proteccin proactiva contra amenazas y proteccin antivirus y contra software espa. Figura 1-1 Capas de proteccin

Proteccin contra amenazas de red Proteccin proactiva contra amenazas

Proteccin antivirus y contra software espa

La proteccin contra amenazas de red bloquea el acceso de las amenazas a su equipo mediante normas y firmas. La proteccin proactiva contra amenazas identifica y atena las amenazas que se basan en el comportamiento de la amenaza. La proteccin antivirus y contra software espa identifica y atena las amenazas que intentan acceder o han accedido a sus equipos con las firmas que Symantec crea.

Acerca de la proteccin contra amenazas de redLa proteccin contra amenazas de red consiste en software de firewall y de prevencin de intrusiones para proteger dispositivos informticos de punto final. El firewall admite las normas que se escriben para puertos y aplicaciones especficos, y utiliza la inspeccin de estado de todo el trfico de red. Por lo tanto, para todo el trfico de red iniciado por clientes, slo es necesario crear una norma saliente para admitir ese trfico. El trfico de vuelta que responde al trfico saliente es permitido automticamente por la inspeccin de estado. El firewall proporciona compatibilidad total con TCP, UDP, ICMP y todos los protocolos de IP tales como ICMP y RSVP. El firewall tambin admite protocolos de Ethernet tales como Token Ring y puede bloquear controladores de protocolo tales como VMWare y WinPcap. El firewall puede reconocer automticamente el trfico legtimo de DNS, DHCP y WINS, de forma que es posible marcar una casilla para permitir este trfico sin necesidad de escribir una norma.

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

25

Nota: Symantec asume que usted construye su base de normas de firewall de forma que se prohba todo el trfico que no est permitido. El firewall no admite IPv6. El motor de prevencin de intrusiones admite la comprobacin en busca de anlisis de puertos y ataques de negacin de servicio, y protege contra ataques de desbordamiento de bfer. Este motor tambin admite el bloqueo automtico del trfico malicioso de equipos infectados. El motor de deteccin de intrusiones admite la inspeccin de paquetes profunda y expresiones regulares, y permite crear firmas personalizadas con un formato similar a SNORT.

Acerca de la proteccin proactiva contra amenazasLa proteccin proactiva contra amenazas incluye seguridad basada en comportamiento que identifica amenazas en lnea tales como gusanos, virus, caballos de Troya y registradores de pulsaciones. La proteccin proactiva contra amenazas identifica estas amenazas por sus acciones y caractersticas, no con las firmas de seguridad tradicionales. La proteccin proactiva contra amenazas analiza el comportamiento de la amenaza y lo compara con centenares de mdulos de deteccin para determinar si los procesos activos son seguros o maliciosos. Esta tecnologa puede detectar y atenuar inmediatamente las amenazas desconocidas por su comportamiento sin las firmas o los parches tradicionales. En los sistemas operativos de 32 bits compatibles, la proteccin proactiva contra amenazas tambin permite controlar el acceso de lectura, escritura y ejecucin para dispositivos de hardware, archivos y claves del registro. Si es necesario, es posible ajustar el control a sistemas operativos especficos compatibles. Es posible tambin bloquear dispositivos perifricos por ID de clase, tales como USB, Bluetooth, infrarrojos, FireWire, de serie, paralelos, SCSI y PCMCIA.

Acerca de la proteccin contra amenazas de virus y software espaLa proteccin contra amenazas de virus y software espa previene infecciones en los equipos mediante el anlisis del sector de arranque, la memoria y los archivos en busca de virus, software espa y riesgos de seguridad. La proteccin contra amenazas de virus y software espa utiliza las firmas de virus y riesgos de seguridad que se encuentran en los archivos de definiciones de virus. Esta proteccin tambin protege los equipos bloqueando riesgos de seguridad antes de que se instalen, si esta accin no deja el equipo en un estado inestable. La proteccin contra amenazas de virus y software espa incluye Auto-Protect, que detecta virus y riesgos de seguridad cuando intentan acceder a la memoria o instalarse. Auto-Protect tambin analiza en busca de riesgos de seguridad tales como publicidad no deseada y software espa. Cuando encuentra riesgos de

26

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

seguridad, pone en cuarentena los archivos infectados, o quita y repara los efectos secundarios de los riesgos de seguridad. Tambin se puede deshabilitar el anlisis de riesgos de seguridad en Auto-Protect. Auto-Protect puede reparar riesgos complicados, tales como riesgos de modo de usuario ocultos (rootkits) y riesgos de seguridad persistentes que son difciles de quitar o que se reinstalan. La proteccin contra amenazas de virus y software espa tambin incluye anlisis de Auto-Protect para programas de correo electrnico de Internet que supervisa todo el trfico POP3 y SMTP. Es posible configurar la proteccin contra amenazas de virus y software espa a fin de analizar los mensajes entrantes en busca de amenazas y riesgos de seguridad, as como los mensajes salientes en busca de heurstica conocida. El anlisis de los mensajes enviados ayuda a evitar la propagacin de amenazas como los gusanos, que pueden utilizar los clientes de correo electrnico para replicarse en una red. Nota: Auto-Protect para los programas de correo electrnico de Internet basados en Web est bloqueado en la instalacin en sistemas operativos basados en servidor. Por ejemplo, no es posible instalar esta funcin en Windows 2003 Server.

Acerca de Symantec Network Access ControlSymantec Network Access Control protege las redes contra dispositivos informticos de punto final no autorizados, mal configurados o infectados. Por ejemplo, Symantec Network Access Control puede negar el acceso a la red a los equipos cliente que no ejecuten versiones especficas del software y de las firmas. Si los equipos cliente no cumplen con los requisitos, Symantec Network Access Control puede ponerlos en cuarentena y repararlos. Por ejemplo, si los equipos cliente tienen definiciones antivirus de ms de una semana de antigedad, Symantec Network Access Control puede poner en cuarentena los equipos. Symantec Network Access Control puede actualizar los equipos con las ltimas definiciones antivirus (correccin) y despus permitir que los equipos accedan a la red. Symantec Network Access Control le permite controlar esta proteccin con polticas de integridad del host. Se crean polticas de integridad del host con la Consola de Symantec Endpoint Protection Manager y despus se aplican las polticas a los grupos de equipos cliente. Si instala solamente el software de cliente de Symantec Network Access Control, es posible exigir que los equipos cliente ejecuten software antivirus, contra software espa y de firewall. Es posible tambin exigir que ejecuten los ltimos paquetes de servicios y parches del sistema operativo, y crear requisitos de aplicacin personalizados. Si los equipos cliente no cumplen con los requisitos, es posible ejecutar comandos en los equipos cliente para intentar actualizarlos.

Presentacin de los productos de Symantec Acerca de sus productos de Symantec

27

Si se integra Symantec Network Access Control con Symantec Endpoint Protection, es posible aplicar polticas de firewall a los clientes que no cumplen con las polticas de integridad del host. Esta poltica puede restringir los puertos que los clientes pueden utilizar para el acceso a la red y puede limitar las direcciones IP a las que los clientes pueden acceder. Por ejemplo, es posible restringir las comunicaciones de equipos que no cumplen y permitir solamente la comunicacin con equipos que contienen el software y las actualizaciones obligatorios. Esta integracin se llama aplicacin automtica. Si se integra Symantec Network Access Control con Symantec Enforcer, un dispositivo de hardware opcional, es posible restringir an ms los equipos que no cumplen e impedirles el acceso a la red. Es posible restringir el acceso a los equipos que no cumplen a segmentos especficos de la red para su correccin y es posible prohibir totalmente el acceso a los equipos que no cumplen. Por ejemplo, con Symantec Gateway Enforcer, es posible controlar el acceso de equipos externos a su red mediante VPN. Con los mdulos DHCP Enforcer y LAN Enforcer de Symantec, es posible controlar el acceso interno del equipo a la red asignando las direcciones IP no conmutables a los equipos que no cumplen. Es posible tambin asignar los equipos que no cumplen a segmentos de la LAN en cuarentena.

Acerca de Symantec Endpoint Protection ManagerSymantec Endpoint Protection Manager consiste en dos aplicaciones basadas en Web. Una aplicacin basada en Web necesita Microsoft Internet Information Services, que debe existir antes de que se instale Symantec Endpoint Protection Manager. La otra aplicacin basada en Web se ejecuta en Apache Tomcat, que se instala automticamente. Symantec Endpoint Protection Manager incluye un servidor y una base de datos SQL incorporados y la Consola de Symantec Endpoint Protection Manager. Es posible instalar el servidor y la base de datos SQL incorporados automticamente, o es posible instalar una base de datos en una instancia de Microsoft SQL Server 2000/2005. Si la red utilizada en su empresa es pequea y est ubicada en una misma rea geogrfica, es necesario instalar solamente una instancia de Symantec Endpoint Protection Manager. Si su red est dispersa geogrficamente, puede ser necesario instalar instancias adicionales de Symantec Endpoint Protection Manager para el balanceo de carga y la distribucin del ancho de banda. Si su red es muy grande, es posible instalar instancias adicionales de Symantec Endpoint Protection Manager con bases de datos adicionales y configurarlas para compartir datos con replicacin. Para proporcionar redundancia adicional, es posible instalar instancias de Symantec Endpoint Protection Manager para conmutacin por error.

28

Presentacin de los productos de Symantec Componentes que funcionan con Symantec Endpoint Protection Manager

Componentes que funcionan con Symantec Endpoint Protection ManagerLa Tabla 1-1 describe los componentes que conforman Symantec Endpoint Protection Manager y funcionan con Symantec Endpoint Protection Manager. Tabla 1-1 Componentes que conforman Symantec Endpoint Protection Manager y funcionan con Symantec Endpoint Protection Manager DescripcinPermite realizar operaciones de administracin tales como las siguientes: Instalacin de proteccin para clientes en estaciones de trabajo y servidores de red. Actualizacin de definiciones, firmas y actualizaciones del producto. Administracin de servidores de red y estaciones de trabajo que ejecutan el software de cliente de Symantec Endpoint Protection y de Symantec Network Access Control. Recopilacin y organizacin de eventos, lo cual incluye alertas de virus y riesgos de seguridad, anlisis, actualizaciones de definiciones, eventos de cumplimiento de terminales e intentos de intrusiones. Tambin permite crear e imprimir informes detallados y configurar alertas.

ComponenteConsola de Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager

Se comunica con los clientes de punto final y se configuren con la Consola de Symantec Endpoint Protection Manager. Proporciona proteccin antivirus, firewall, proteccin proactiva contra amenazas y prevencin de intrusiones para equipos conectados y no conectados. Proporciona proteccin del cumplimiento de red para equipos conectados. Proporciona la capacidad de obtener definiciones, firmas y actualizaciones del producto desde un servidor de Symantec LiveUpdate y distribuir las actualizaciones a los equipos cliente.

Symantec Endpoint Protection

Symantec Network Access Control Servidor de LiveUpdate

Presentacin de los productos de Symantec Funcionamiento de Symantec Endpoint Protection Manager

29

ComponenteCuarentena central

DescripcinFunciona como parte de Digital Immune System para proporcionar respuestas automticas a los virus nuevos o no reconocidos que se detecten mediante el anlisis heurstico a travs de las acciones siguientes: Recibe los elementos infectados sin reparar desde clientes de Symantec Endpoint Protection. Enva los archivos sospechosos a Symantec Security Response.

Funcionamiento de Symantec Endpoint Protection ManagerEs necesario entender los siguientes conceptos de red de Symantec para administrar Symantec Endpoint Protection Manager:

Entornos administrados y no administrados Acerca de los grupos Interaccin de clientes y servidores

Entornos administrados y no administradosLos clientes pueden instalarse como administrados o no administrados. La red administrada aprovecha por completo las funcionalidades de red de Symantec Endpoint Protection Manager. Se puede supervisar, configurar y actualizar cada cliente y servidor de su red desde un solo equipo que ejecute Symantec Endpoint Protection Manager. Es posible tambin instalar y actualizar los clientes de Symantec Endpoint Protection y de Symantec Network Access Control desde la Consola de Symantec Endpoint Protection Manager. En una red no administrada, debe administrar cada equipo de forma individual o trasladar esta responsabilidad al usuario primario del equipo. Las responsabilidades incluyen la actualizacin de definiciones de virus y riesgos de seguridad, la configuracin del firewall y antivirus, y la migracin o actualizacin peridica de software de cliente. Este enfoque es adecuado para las redes ms pequeas que poseen recursos de tecnologa de la informacin limitados. Nota: Si desea permitir a usuarios modificar la configuracin del cliente, Symantec recomienda instalar los clientes en un entorno administrado.

30

Presentacin de los productos de Symantec Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager

Acerca de los gruposEn una red administrada, es posible ordenar los equipos cliente en grupos. Esto permite agrupar los clientes que requieren niveles de acceso y configuraciones similares. Es posible especificar opcionalmente una configuracin de ubicacin diferente en un grupo. Por lo tanto, si un cliente accede a la red desde diversas ubicaciones, se pueden aplicar diversas polticas. Es posible crear, ver y configurar grupos desde la Consola de Symantec Endpoint Protection Manager.

Interaccin de clientes y servidoresEn una red administrada, Symantec Endpoint Protection Manager administra cada cliente. Symantec Endpoint Protection Manager proporciona a sus clientes actualizaciones de las definiciones de contenido e informacin de configuracin, y realiza un seguimiento de esta configuracin. Los clientes administrados, a su vez, realizan un seguimiento de Symantec Endpoint Protection Manager. Los clientes administrados se comunican con Symantec Endpoint Protection Manager para determinar si hay nueva informacin o definiciones de polticas disponible.

Acciones que pueden llevarse a cabo con Symantec Endpoint Protection ManagerSymantec Endpoint Protection Manager le permite hacer lo siguiente:

Definir y aplicar polticas de seguridad. Proteger contra virus, amenazas combinadas y riesgos de seguridad, como aplicaciones de publicidad no deseada y software espa. Administrar la distribucin, configuracin, actualizacin y realizacin de informes de la proteccin antivirus desde una consola de administracin integrada. Evitar que los usuarios accedan a dispositivos de hardware en sus equipos, tales como unidades USB. Administrar la distribucin, configuracin, actualizacin y la realizacin de informes de la proteccin antivirus y la del firewall, adems de la prevencin de intrusiones desde una consola de administracin integrada. Administrar los clientes de acuerdo con su ubicacin. Responder rpidamente a los ataques de virus mediante la identificacin de clientes desactualizados y la implementacin de definiciones de virus actualizadas.

Presentacin de los productos de Symantec Sitios donde se puede obtener ms informacin

31

Crear y mantener los informes donde se detallan los eventos importantes que ocurran en la red. Brindar un alto nivel de proteccin y una respuesta integrada ante amenazas de seguridad para todos los usuarios que se conecten a la red. Esta proteccin incluye a teletrabajadores con conexiones a la red siempre activas y usuarios mviles con conexiones intermitentes. Obtener una visin consolidada de los distintos componentes de seguridad distribuidos a lo largo de todas las estaciones de trabajo que forman la red. Realizar una instalacin personalizable e integrada de todos los componentes de seguridad y establecer polticas simultneamente. Ver la historia y los datos del registro de eventos.

Sitios donde se puede obtener ms informacinLas fuentes de informacin incluyen las siguientes:

Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control Gua de usuario del cliente para Symantec Endpoint Protection y Symantec Network Access Control Gua de administracin de LiveUpdate Gua de administracin de Symantec Central Quarantine Ayuda en lnea, que contiene toda la informacin incluida en las guas y ms

La documentacin principal est disponible en la carpeta de documentos de los CD de instalacin. Algunas carpetas de componentes individuales incluyen informacin especfica del componente. En los sitios Web de soporte tcnico y de soporte Platinum de Symantec, hay disponibles actualizaciones de estas guas. La Tabla 1-2 enumera informacin adicional disponible en los sitios Web de Symantec. Tabla 1-2 Sitios Web de Symantec Direccin Webhttp://www.symantec.com/es/mx/enterprise/support/

Tipo de informacinBase de conocimientos pblica Versiones y actualizaciones Manuales y documentacin Opciones de contacto

32

Presentacin de los productos de Symantec Sitios donde se puede obtener ms informacin

Tipo de informacinInformacin y actualizacin de virus y otras amenazas Noticias y actualizaciones de productos

Direccin Webhttp://www.symantec.com/es/mx/security_response/

http://enterprisesecurity.symantec.com

Acceso Web al soporte Platinum https://www-secure.symantec.com/platinum/

Captulo

2

Instalacin por primera vezEn este captulo se incluyen los temas siguientes:

Antes de proceder a la instalacin Instalar y configurar Symantec Endpoint Protection Manager Configurar e implementar el software de cliente Iniciar sesin y buscar su grupo en la consola Configurar LiveUpdate para actualizaciones de sitio Configurar LiveUpdate para actualizaciones de clientes Configurar y probar Symantec Endpoint Protection Configurar y probar Symantec Network Access Control

Antes de proceder a la instalacinSi esta instalacin es una instalacin nueva, es necesario instalar, configurar y probar el software de Symantec Endpoint Protection o Symantec Network Access Control en un entorno de prueba. Nota: Las pequeas empresas que no tienen recursos de entorno de prueba deben instalar y probar el software de cliente en algunos clientes de produccin. La Figura 2-1 muestra una forma de configurar un entorno de prueba.

34

Instalacin por primera vez Antes de proceder a la instalacin

Figura 2-1

Ejemplo de entorno de prueba

Symantec Security Response

Internet

Router

Firewall

Conmutador/Hub

Cliente A

Cliente B

Cliente C Symantec Endpoint Security Manager con base de datos integrada

Este entorno de prueba contiene tres clientes y un servidor. El servidor ejecuta tres componentes de administracin. Los tres componentes de administracin son Symantec Endpoint Protection Manager, la Consola de Symantec Endpoint Protection Manager y la base de datos Sybase integrada. Estos procedimientos de instalacin y configuracin estn diseados para este entorno de prueba de muestra. Los equipos en los cuales usted instala Symantec Endpoint Protection Manager deben cumplir los siguientes requisitos mnimos de software:

Windows 2000 Server con Service Pack 3, Windows XP o Windows Server 2003 Internet Information Services (IIS) versin 5.0 o superior Internet Explorer 6.0

Los equipos en los cuales usted instala el software de cliente deben cumplir los siguientes requisitos mnimos de software:

Instalacin por primera vez Instalar y configurar Symantec Endpoint Protection Manager

35

Windows 2000 Professional con Service Pack 3, Windows XP o Windows Server 2003 Internet Explorer 6.0 o superior

Instalar y configurar Symantec Endpoint Protection ManagerLa instalacin del software de administracin por primera vez se divide en dos partes. La primera parte instala Symantec Endpoint Protection Manager. La segunda parte instala y configura la base de datos de Symantec Endpoint Protection Manager. En la primera parte, es posible aceptar todas las opciones predeterminadas. En la segunda parte, es necesario agregar por lo menos un valor personalizado, que es una contrasea. Nota: El software de administracin no incluye Symantec Endpoint Protection ni ningn otro software de cliente que se administre. Para instalar Symantec Endpoint Protection Manager

1 2

Inserte el CD de instalacin e inicie la instalacin. En el panel de instalacin, realice una de las siguientes acciones:

Si instala Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection. Si instala Symantec Network Access Control, haga clic en Instalar Symantec Network Access Control.

3 4 5 6 7

En el panel de instalacin siguiente, haga clic en Instalar Symantec Endpoint Protection Manager. En el panel de bienvenida, haga clic en Siguiente. En el panel Contrato de licencia, marque Acepto los trminos del contrato de licencia y, a continuacin, haga clic en Siguiente. En el panel Carpeta de destino, acepte o modifique el directorio de instalacin. Realice uno de los pasos siguientes:

Para configurar el servidor Web de IIS de Symantec Endpoint Protection Manager como el nico servidor Web de este equipo, marque Crear un sitio Web personalizado y despus haga clic en Siguiente.

36

Instalacin por primera vez Instalar y configurar Symantec Endpoint Protection Manager

Para permitir que el servidor Web de IIS de Symantec Endpoint Protection Manager se ejecute con otros servidores Web en este equipo, marque Usar el sitio Web predeterminado y despus haga clic en Siguiente.

8 9

En el panel Preparado para la instalacin, haga clic en Instalar. Cuando la instalacin finaliza y aparece el panel Asistente de instalacin finalizado, haga clic en Finalizar. Espere a que aparezca el panel del Asistente para la configuracin del servidor de administracin, que puede tardar hasta 15 segundos adicionales.

Para configurar Symantec Endpoint Protection Manager

1 2 3

En el panel Asistente para la configuracin del servidor de administracin, haga clic en Siguiente. En el panel Tipo de sitio, marque Instalar mi primer sitio y despus haga clic en Siguiente. En el panel Informacin de servidor, acepte o modifique los valores predeterminados para los cuadros siguientes y despus haga clic en Siguiente:

Nombre del servidor Puerto del servidor Carpeta de datos del servidor

4 5

En el panel Nombre del sitio, en el cuadro Nombre del sitio, escriba el nombre de su sitio y despus haga clic en Siguiente. En el panel Contrasea de cifrado, escriba un valor en ambos cuadros y despus haga clic en Siguiente. Documente esta contrasea cuando instale Symantec Endpoint Protection en su entorno de produccin. La necesitar para la recuperacin despus de un desastre y para agregar hardware opcional de Enforcer.

6 7

En el panel Eleccin del servidor de bases de datos, marque Base de datos integrada y despus haga clic en Siguiente. En el panel Configurar usuario, en los cuadros Contrasea, escriba una contrasea para utilizar con el usuario Admin a fin de iniciar sesin en la consola y, despus, haga clic en Siguiente. Cuando finaliza la instalacin, tiene la opcin de implementar software de cliente con el Asistente de instalacin y migracin. Si no implementa el software de cliente en este momento, consulte el captulo de instalacin de clientes para obtener informacin sobre cmo instalar el software de cliente. Inicie sesin en la consola con el nombre de usuario y la contrasea que usted escribi aqu.

Instalacin por primera vez Configurar e implementar el software de cliente

37

Configurar e implementar el software de clienteEl Asistente de instalacin y migracin le permite configurar un paquete de software de cliente. El Asistente de implementacin mediante transferencia aparece opcionalmente para permitirle implementar el paquete de software de cliente. Si no opta por utilizar al Asistente de implementacin mediante transferencia, es posible iniciarlo manualmente usando ClientRemote.exe desde el directorio \tomcat\bin. Nota: En este procedimiento se asume que usted implementa el software de cliente en equipos de 32 bits y no en equipos de 64 bits. Este procedimiento tambin implica seleccionar un directorio en el cual poner los archivos de instalacin. Puede crear este directorio antes de iniciar el procedimiento. Tambin necesitar autenticarse con credenciales administrativas en el dominio de Windows o el grupo de trabajo que contenga los equipos. La implementacin del software de cliente en equipos que ejecutan firewalls y con Windows XP/Vista tiene requisitos especiales. Los firewalls deben permitir la implementacin remota mediante el puerto TCP 139, y los equipos que estn en grupos de trabajo y tengan Windows XP deben deshabilitar el uso compartido simple de archivos. Windows Vista tiene requisitos adicionales. Ver "Habilitar y modificar firewalls de Windows" en la pgina 67. Ver "Preparar equipos con Windows XP/Vista para la implementacin remota" en la pgina 70. Para configurar el software de cliente

1 2 3 4

En el panel de finalizacin del Asistente para la configuracin del servidor de administracin, marque S y despus haga clic en Finalizar. En el panel de bienvenida del Asistente para migracin y distribucin, haga clic en Siguiente. En el panel Qu desea hacer?, marque Distribuir el cliente y despus haga clic en Siguiente. En el siguiente panel sin nombre, marque Especifique el nombre de un nuevo grupo al que desee distribuir los clientes, escriba un nombre de grupo en el cuadro y despus haga clic en Siguiente. En el panel siguiente, deje sin marcar cualquier software de cliente que no desee instalar y despus haga clic en Siguiente. En el panel siguiente, marque las opciones que desee para los paquetes, los archivos y la interaccin de usuario.

5 6

38

Instalacin por primera vez Iniciar sesin y buscar su grupo en la consola

7 8 9

Haga clic en Examinar, busque y seleccione un directorio en el cual poner los archivos de instalacin y despus haga clic en Abrir. Haga clic en Siguiente. En el siguiente panel sin nombre, marque S y despus haga clic en Finalizar. No marque Iniciar la consola de administracin. Puede llevar hasta 5 minutos crear y exportar el paquete de instalacin para su grupo antes de que aparezca el Asistente de implementacin mediante transferencia.

Para implementar el software de cliente con el Asistente de implementacin mediante transferencia

1

En el panel Asistente de implementacin mediante transferencia, bajo Equipos disponibles, ample los rboles y seleccione los equipos en los cuales instalar el software de cliente y, despus, haga clic en Agregar. En el cuadro de dilogo Autenticacin de clientes remotos, escriba un nombre de usuario y una contrasea que puedan autenticarse en el dominio de Windows o el grupo de trabajo que contiene los equipos y, despus, haga clic en Aceptar. Cuando haya seleccionado todos los equipos y stos aparezcan en el panel derecho, haga clic en Finalizar. Cuando la instalacin termine, haga clic en Finalizado.

2

3 4

Iniciar sesin y buscar su grupo en la consolaSu primera actividad es iniciar sesin en la consola y buscar su grupo.

Iniciar sesin en la consola de administracinLa primera vez que inicie sesin en la consola de administracin, se le pedir que modifique la contrasea de administrador. Para iniciar sesin en la consola de administracin

1 2 3

Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Consola de Symantec Endpoint Protection Manager. En la indicacin de inicio de sesin de Symantec Endpoint Protection Manager, en el cuadro Nombre de usuario, escriba admin. En el cuadro Contrasea, escriba la contrasea de admin que cre durante la instalacin y haga clic en Iniciar sesin.

Instalacin por primera vez Configurar LiveUpdate para actualizaciones de sitio

39

Cmo encontrar su grupo en la consolaDespus de iniciar sesin, es necesario buscar el grupo que usted cre durante la instalacin. A continuacin, verifique que los equipos cliente en los cuales usted implement el software aparezcan en ese grupo. La Figura 2-2 ilustra un ejemplo de un grupo que fue creado durante la instalacin. Figura 2-2 Grupo

Configurar LiveUpdate para actualizaciones de sitioEs necesario configurar la frecuencia con la que Symantec Endpoint Protection Manager busca y descarga nuevas actualizaciones al sitio. Tambin puede configurar actualizaciones de clientes con polticas de contenido de LiveUpdate, por lo tanto, asegrese de descargar todos los tipos que usted quisiera que los clientes recibieran. Symantec Endpoint Protection Manager para Symantec Network Access Control slo admite actualizaciones del producto. Para configurar LiveUpdate para el sitio

1 2

En el panel izquierdo de la consola, haga clic en Admin. En el panel inferior izquierdo, haga clic en Servidores.

40

Instalacin por primera vez Configurar LiveUpdate para actualizaciones de clientes

3

En el panel superior izquierdo, haga clic con el botn secundario en Sitio local y despus haga clic en Propiedades.

4 5 6

En la ficha LiveUpdate, bajo Programacin de descarga, marque las opciones de la frecuencia con la cual desea descargar las ltimas definiciones. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Cuando se finaliza la configuracin de las propiedades de LiveUpdate del sitio, haga clic en Aceptar.

Configurar LiveUpdate para actualizaciones de clientesCuando se crea un grupo con el Asistente de instalacin y migracin, su grupo recibe polticas predeterminadas. Si crea una nueva poltica del mismo tipo que una poltica predeterminada y la aplica al grupo, la poltica predeterminada desaparece. Por ejemplo, es posible crear una poltica de LiveUpdate llamada "Mi LiveUpdate" y aplicarla a un grupo que utilice una poltica de LiveUpdate predeterminada. Mi LiveUpdate entonces toma el lugar de la poltica antivirus

Instalacin por primera vez Configurar LiveUpdate para actualizaciones de clientes

41

predeterminada. Otros grupos pueden tambin compartir la nueva poltica que usted crea. Existen dos tipos de polticas de LiveUpdate. Una poltica de configuracin de LiveUpdate especifica la frecuencia con la que los clientes ejecutan LiveUpdate para saber si hay actualizaciones de contenido. Una poltica de contenido de LiveUpdate especifica el contenido que los clientes pueden recibir cuando ejecutan LiveUpdate.

Configurar una poltica de configuracin de LiveUpdateCuando se crea un grupo con el Asistente de instalacin y migracin, su grupo recibe polticas predeterminadas. Es posible crear una nueva poltica y sustituir la poltica predeterminada, o editar la poltica predeterminada. Las mejores prcticas son crear una nueva poltica y modificar la poltica predeterminada. Para configurar una poltica de configuracin de LiveUpdate

1 2 3 4 5 6 7 8 9

En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel inferior izquierdo Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Bajo Poltica de LiveUpdate, haga clic en Programar. En el panel Programar, acepte o modifique las opciones de programacin. Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada. Decida si se guardarn o se modificarn las opciones predeterminadas. Para obtener informacin sobre las opciones, haga clic en Ayuda. Generalmente, no se permite que los usuarios modifiquen las opciones de actualizacin. Sin embargo, es posible permitir que inicien manualmente una sesin de LiveUpdate si usted no admite centenares o millares de clientes.

10 Cuando haya configurado su poltica, haga clic en Aceptar. 11 En el cuadro de dilogo Asignar poltica, haga clic en S.

42

Instalacin por primera vez Configurar LiveUpdate para actualizaciones de clientes

12 En el cuadro de dilogo Asignar poltica de LiveUpdate, marque los grupos ylas ubicaciones a los que se aplicar la poltica y despus haga clic en Asignar. Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas de su grupo principal, como se establece en la ficha Polticas de clientes.

13 En el cuadro de dilogo Aplicar Poltica de LiveUpdate, haga clic en Aceptary termine la aplicacin.

Configurar una poltica de contenido de LiveUpdateDe forma predeterminada, todos los clientes de un grupo reciben las ltimas versiones de todas las actualizaciones del contenido. Si se configura un grupo para que obtenga actualizaciones de un servidor de administracin, los clientes reciben slo las actualizaciones que descarga el servidor. Si la poltica de contenido de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor de administracin no se configura para descargar todas las actualizaciones, los clientes reciben slo lo que el servidor descarga. Los elementos que el servidor descarga pueden configurarse desde el panel Administrador. Nota: Las polticas de contenido de LiveUpdate no estn disponibles para los clientes de Symantec Network Access Control. Para configurar una poltica de contenido de LiveUpdate

1 2 3 4 5 6 7

En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, haga clic en la ficha Contenido de LiveUpdate. En el panel inferior izquierdo Tareas, haga clic en Agregar una poltica de contenido de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Si configura Symantec Endpoint Protection, en el panel Contenido de LiveUpdate, haga clic en Definiciones de seguridad. En el panel Definiciones de seguridad, marque las actualizaciones que se descargarn e instalarn, y deje sin marcar las actualizaciones que no se utilizarn. En la ventana Poltica de contenido de LiveUpdate, haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, haga clic en S.

8 9

Instalacin por primera vez Configurar y probar Symantec Endpoint Protection

43

10 En el cuadro de dilogo Asignar poltica de contenido de LiveUpdate, marqueuno o ms grupos a los cuales se aplicar esta poltica y, despus, haga clic en Asignar. Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas de su grupo principal, como se establece en la ficha Polticas de clientes.

11 En el cuadro de dilogo Aplicar Poltica de LiveUpdate, haga clic en Aceptary termine la aplicacin.

Configurar y probar Symantec Endpoint ProtectionDespus de configurar e instalar una poltica de LiveUpdate, es necesario crear y aplicar una poltica de proteccin antivirus y contra software espa. Nota: En esta seccin, se asume que usted compr Symantec Network Access Control y lo instal.

Configurar una poltica antivirus y contra software espa predeterminadaA continuacin, debe configurar una poltica antivirus y contra software espa para su grupo. En este paso, deber editar la poltica predeterminada que actualmente se aplica solamente al grupo. Es posible, sin embargo, crear una nueva poltica y aplicarla a su grupo. Para configurar una poltica antivirus y contra software espa predeterminada

1 2

En la consola, en el panel izquierdo, haga clic en Clientes. Bajo Mi_Grupo, en la ficha Polticas, bajo Polticas, al costado de Poltica antivirus y contra software espa [compartida], haga clic en Tareas > Editar poltica. En el cuadro de dilogo Editar poltica, haga clic en Convertir en no compartida. En el panel Antivirus y proteccin contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, verifique que Habilitar Auto-Protect para el sistema de archivos est marcado y que el icono de bloqueo est en el modo desbloqueado (para la prueba). Generalmente, esta configuracin debe estar bloqueada, pero para los propsitos de prueba iniciales, djela desbloqueada. Bloquear una opcin impide que los usuarios modifiquen una configuracin.

3 4 5

44

Instalacin por primera vez Configurar y probar Symantec Endpoint Protection

6 7

En la ficha Acciones, bajo Deteccin, haga clic en Virus no de macro. Bajo Acciones para: Virus no de macro, examine la secuencia de acciones predeterminada que ocurrirn cuando se detecta un virus no de macro. La primera accin es intentar limpiar el virus. Si no es posible limpiarlo, el virus se pone en cuarentena.

8

En la ficha Notificaciones, examine el mensaje que aparece en los equipos cliente cuando se detecta un virus o un riesgo de seguridad. Es posible modificar este mensaje ms tarde si es necesario.

9

En el panel izquierdo, haga clic en Anlisis definidos por el administrador. a las 8 P.M. y despus haga clic en Editar.

10 En la ficha Anlisis, bajo Nombre, haga clic en Anlisis completo cada viernes 11 Familiarcese con las opciones de las diversas fichas y modifquelas si esnecesario. Inicialmente, se recomienda siempre realizar anlisis completos. Despus de que se ejecuten anlisis completos, los anlisis rpidos y Auto-Protect son eficaces para asegurar los equipos cliente.

12 Cuando comprenda las opciones del anlisis, haga clic en Aceptar. 13 En el panel de la izquierda, presione Cuarentena. 14 En el panel Cuarentena, bajo Opciones adicionales, haga clic en Opciones delimpieza.

15 En el cuadro de dilogo Opciones de limpieza, revise las opciones para depurararchivos reparados y en cuarentena. Familiarcese con esta configuracin si desea modificarla en el futuro.

16 Haga clic en Aceptar.

Probar las funciones antivirusEs necesario experimentar con la deteccin antivirus en un entorno de prueba controlado a fin de familiarizarse con las alertas y las entradas de registro. Antes de probar la deteccin antivirus, descargue el ltimo archivo Eicar.com de prueba de antivirus en un soporte transportable, tal como una memoria flash. Puede descargar Eicar.com de la siguiente URL: http://www.eicar.org

Instalacin por primera vez Configurar y probar Symantec Endpoint Protection

45

Probar Auto-ProtectAuto-Protect es el proceso en tiempo real de Symantec que examina cada archivo que se ejecuta o al que accede un usuario a fin de evaluar si es un virus o un riesgo de seguridad. Auto-Protect determina si los archivos son virus o riesgos de seguridad usando las definiciones que usted descarga de Symantec. Es posible ver cmo Auto-Protect funciona usando un virus benigno llamado Eicar. Estn disponibles varias versiones en la URL siguiente: http://www.eicar.org. Para probar Auto-Protect

1

En un equipo cliente, en la esquina inferior derecha, haga clic con el botn secundario en el escudo de Symantec Endpoint Protection y haga clic en Deshabilitar Auto-Protect. Si no ha descargado eicar.com, vaya a http://www.eicar.org y busque y descargue eicar.com en el equipo cliente. En la esquina inferior derecha, haga clic con el botn secundario en el escudo de Symantec Endpoint Protection y haga clic en Habilitar Auto-Protect. Haga doble clic en eicar.com.

2 3 4

5

Lea los detalles en las indicaciones del mensaje y familiarcese con ellos.

Administrar amenazas detectadasDespus de que Symantec Endpoint Protection detecta y asla eicar.com, enva la informacin a Symantec Endpoint Protection Manager. Es posible entonces ver la actividad que ocurri desde la pgina principal en la Consola de Symantec Endpoint Protection Manager. Esta tarea es una tarea primaria que usted realiza en un entorno de produccin. Cuando los clientes detectan amenazas verdaderas,

46

Instalacin por primera vez Configurar y probar Symantec Endpoint Protection

usted primero ver detalles sobre la amenaza. A continuacin, deber decidir si Auto-Protect atena la amenaza y dejar en blanco el estado. Para administrar amenazas detectadas

1

En la consola, haga clic en Pgina principal.

2

En la columna Virus de la fila Bloqueado, haga clic en el nmero.

Instalacin por primera vez Configurar y probar Symantec Endpoint Protection

47

3 4 5

En la ventana Informes: Equipos infectados y en riesgo, familiarcese con la informacin obtenida y cierre la ventana. Haga clic en Supervisin. En la ficha Registros, en el men desplegable Tipo de registro, haga clic en Estado del equipo y despus haga clic en Ver registro.

6 7

Para visualizar informacin sobre la infeccin, haga clic en Detalles. Para borrar el estado Infectado, haga clic en Borrar estado infectado.

Configurar el icono de estado de la seguridadLa pgina principal muestra el estado de la seguridad de sus equipos cliente. Los dos estados posibles son Bueno y Malo. Es posible controlar cuando el estado es Bueno y Malo configurando las preferencias del umbral del estado de seguridad. Para configurar el icono de estado de la seguridad

1 2 3 4 5

En la consola, haga clic en Pgina principal. Bajo Estado de seguridad, haga clic en Ms detalles. En el cuadro de dilogo Estado de seguridad, revise las funciones que activan los estados Bueno y Malo. En la esquina superior derecha, haga clic en X. Bajo Estado de seguridad, haga clic en Preferencias.

48

Instalacin por primera vez Configurar y probar Symantec Network Access Control

6

En el cuadro de dilogo Preferencias, en la ficha Estado de seguridad, revise las activaciones y el umbral del estado de seguridad que es posible configurar. Todos los umbrales se establecen de forma predeterminada en diez por ciento.

7

Para ver detalles del estado de la seguridad, haga clic en Ayuda. Para activar el estado Malo, deshabilite Auto-Protect en uno de sus clientes de prueba.

8 9

Haga clic en Aceptar. Para revisar el estado de la seguridad de sus clientes administrados en cualquier momento, en la pgina principal, haga clic en el icono de estado.

Configurar y probar Symantec Network Access ControlSymantec Network Access Control admite dos polticas solamente: LiveUpdate e Integridad del host. La poltica de integridad del host, sin embargo, proporciona las funciones clave de Symantec Network Access Control. Nota: En esta seccin, se asume que usted compr e instal Symantec Network Access Control.

Crear una poltica de integridad del hostLa poltica de integridad del host es la base de Symantec Network Access Control. La poltica creada para esta prueba es slo con fines de demostracin. La poltica detecta la existencia de un sistema operativo y, cuando se detecta, genera un evento de ERROR. Normalmente, los eventos de ERROR se generaran por otros motivos. Nota: Si compr e instal Symantec Network Access Control y Symantec Endpoint Protection, puede crear polticas de firewall para los equipos cliente que no pasan la comprobacin de integridad del host. Si ejecuta Symantec Enforcer con Symantec Network Access Control, es posible restringir los clientes que no pasan la comprobacin de integridad del host a segmentos de la red especficos. Este aislamiento impide la autenticacin del cliente y el acceso al dominio. Para crear una poltica de integridad del host

1 2

En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic para seleccionar Integridad del host.

Instalacin por primera vez Configurar y probar Symantec Network Access Control

49

3

En el panel derecho, si una poltica de integridad del host est destacada en amarillo, haga clic en el espacio en blanco debajo de la poltica para dejarla sin seleccionar. Bajo Tareas, haga clic en Agregar una poltica de integridad del host. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Haga clic en Requisitos. En el panel Requisitos, marque Comprobar siempre la integridad del host y despus haga clic en Agregar. En el cuadro de dilogo Nuevo requisito, en el men desplegable Tipo, haga clic en Requisito personalizado y despus haga clic en Aceptar. En la ventana Requisito personalizado, en el cuadro Nombre, escriba un nombre para el Requisito personalizado. Insertar instrucciones a continuacin y despus haga clic en Agregar > IF .. THEN.

4 5 6 7 8 9

10 Bajo Script del requisito personalizado, haga clic con el botn secundario en

11 En el panel derecho, en el men desplegable Seleccione una condicin, hagaclic en Utilidad: El sistema operativo es.

12 Bajo Comprobar versin de Windows, active uno o ms sistemas operativosque ejecuten sus equipos cliente.

13 Bajo Script del requisito personalizado, haga clic con el botn secundario enTHEN //Insertar instrucciones aqu y despus haga clic en Agregar > Funcin > Utilidad: Mostrar cuadro de dilogo del mensaje.

14 En Leyenda del cuadro de mensaje, escriba un nombre que aparecer en elttulo del mensaje.

15 En el cuadro Texto del cuadro de mensaje, escriba el texto que usted quisieramostrar en el mensaje.

16 Para ver informacin sobre la configuracin para los iconos y los botones quees posible integrar con el mensaje, haga clic en Ayuda.

17 En el panel izquierdo, bajo Script del requisito personalizado, haga clic enAprobado.

18 En el panel derecho, bajo Arrojar lo siguiente como resultado del requisito,marque Error y despus haga clic en Aceptar.

19 En la ventana Integridad del host, haga clic en Aceptar. 20 En la indicacin Asignar poltica, haga clic en S.

50

Instalacin por primera vez Configurar y probar Symantec Network Access Control

21 En el cuadro de dilogo Poltica de integridad del host, marque el grupo o losgrupos a los cuales se aplicar la poltica y que contengan los equipos cliente de prueba. A continuacin, haga clic en Asignar.

22 En la indicacin Asignar poltica de integridad del host, haga clic en S.

Probar una poltica de integridad del hostEs posible probar una poltica de integridad del host desde la Consola de Symantec Endpoint Protection Manager. Nota: Es posible tambin ejecutar comprobaciones de integridad del host desde el cliente. Para probar una poltica de integridad del host

1 2 3 4 5

En la consola, haga clic en Clientes. En el panel derecho, haga clic en la ficha Clientes. En el panel izquierdo, bajo Ver, haga clic para resaltar el grupo que contiene los equipos cliente a los cuales usted aplic la poltica de integridad del host. Bajo Tareas, haga clic en Ejecutar comando en el grupo > Actualizar. Inicie sesin en un equipo cliente que ejecute Symantec Network Access Control y observe el cuadro de mensaje que aparece. Si la norma activ un error en la prueba, el cuadro de mensaje aparece. Despus de la prueba, deshabilite o elimine la poltica de prueba.

Captulo

3

Planificar la instalacin de produccinEn este captulo se incluyen los temas siguientes:

Acerca de la planificacin de la instalacin y la arquitectura de red Requisitos de sistema y de red Acerca de los firewalls de escritorio y los puertos de comunicacin Habilitar y modificar firewalls de Windows Preparar equipos con Windows XP/Vista para la implementacin remota Preparar equipos para la instalacin Reinicios del equipo obligatorios

Acerca de la planificacin de la instalacin y la arquitectura de redLa primera decisin que debe tomar cuando usted planea una instalacin de produccin es seleccionar la base de datos que se utilizar. Es posible optar por utilizar una base de datos integrada que puede instalarse desde el CD de instalacin. Es posible tambin optar por utilizar una instancia de Microsoft SQL Server 2000/2005. Es necesario comprar e instalar Microsoft SQL Server antes de instalar Symantec Endpoint Protection Manager. La base de datos integrada Sybase es la ms fcil de instalar y de configurar y admite hasta 1000 clientes. El rendimiento comienza a degradarse a medida que se agregan clientes adicionales. La Figura 3-1 ilustra el ejemplo ms simple de esta configuracin.

52

Planificar la instalacin de produccin Acerca de la planificacin de la instalacin y la arquitectura de red

Figura 3-1

Implementacin pequea

Symantec Security Response

Internet

Router

Firewall

Conmutador/Hub

Cliente A

Cliente B

Cliente C Symantec Endpoint Security Manager con base de datos integrada

Para admitir ms de 1000 clientes, debera considerar comprar e instalar Microsoft SQL Server. Cada instancia de Symantec Endpoint Protection Manager que utiliza Microsoft SQL Server puede admitir hasta 50 000 clientes. Si es necesario admitir ms de 50 000 clientes, deber instalar otra instancia de Symantec Endpoint Protection Manager y una base de datos de Microsoft SQL Server. La Figura 3-2 presenta un ejemplo de esta configuracin.

Planificar la instalacin de produccin Acerca de la planificacin de la instalacin y la arquitectura de red

53

Figura 3-2

Implementacin grandeSymantec Security Response

Internet

Router

Firewall

Red troncal empresarial

Symantec Endpoint Security Manager Microsoft SQL Server

Symantec Endpoint Security Manager Microsoft SQL Server

Nota: Este diagrama muestra los componentes en diversas subredes y tiene propsitos slo ilustrativos. Las instancias de Symantec Endpoint Protection Manager y los servidores de bases de datos pueden estar en las mismas subredes. Si decide utilizar una instancia de Microsoft SQL Server 2000/2005, tiene que tomar una decisin adicional. Puede instalar Symantec Endpoint Protection

54

Planificar la instalacin de produccin Acerca de la planificacin de la instalacin y la arquitectura de red

Manager en el equipo que ejecuta Microsoft SQL Server, o puede instalarlo en un equipo que no ejecute Microsoft SQL Server. Utilizar Microsoft SQL Server tambin proporciona flexibilidad adicional para instalar instancias adicionales de Symantec