Embed Size (px)
Citation preview
Guía de soluciones paraSymantec™ EndpointProtection y SymantecNetwork Access Control
Guía de soluciones para Symantec™ EndpointProtection y Symantec Network Access Control
El software que se describe en este manual se suministra con contrato de licencia y sólopuede utilizarse según los términos de dicho acuerdo.
Versión de la documentación 11.00.02.00.00
Aviso legalCopyright © 2008 Symantec Corporation. Todos los derechos reservados.
Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound,Confidence Online, Digital Immune System, Norton y TruScan son marcas comerciales omarcas registradas de Symantec Corporation o de sus afiliados en los EE. UU. y en otrospaíses. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios.
Este producto de Symantec puede contener software de otros fabricantes para el cualSymantec está obligado a reconocer a estos terceros (“Programas de terceros”). Algunos delos Programas de terceros están disponibles bajo licencias de código abierto o de softwarelibre. El Acuerdo de licencia que acompaña el Software no altera los derechos u obligacionesque pueden establecerse en esas licencias de código abierto o software libre. Consulte elapéndice de avisos legales de terceros de esta documentación o el archivo Léame TPIP queacompaña este producto de Symantec para obtener más información sobre los Programasde terceros.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringensu uso, copia, distribución y descompilación o ingeniería inversa. Está prohibido reproducircualquier parte de este documento de cualquier forma y mediante cualquier medio sinautorización previa por escrito de Symantec Corporation y de los responsables de concedersus licencias, de haberlos.
LA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y NO SE OFRECE NINGÚN TIPO DEGARANTÍA EN RELACIÓN CON CONDICIONES EXPRESAS O IMPLÍCITAS,REPRESENTACIONES Y GARANTÍAS, INCLUSO GARANTÍAS IMPLÍCITAS DECOMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIÓN DEDERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIÓN CARECE DE VALIDEZLEGAL. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE DAÑOS INCIDENTALESO INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DEESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁSUJETA A CAMBIOS SIN PREVIO AVISO.
El Software y la Documentación con licencia se consideran programas informáticoscomerciales según lo definido en la sección 12.212 de la normativa de adquisiciones de laAdministración Federal de los EE. UU. (FAR) y conforme a derechos restringidos según lodefinido en la sección 52.227-19 de la FAR sobre derechos restringidos de los programasinformáticos comerciales, y en la sección 227.7202 de la normativa de adquisiciones de laDefensa de la Administración Federal de los EE. UU. (DFARS), sobre los derechos de losprogramas informáticos comerciales y la documentación de programas informáticos
comerciales, según corresponda, y cualquier normativa siguiente. Cualquier uso,modificación, versión de reproducción, rendimiento, visualización o divulgación del Softwarey de la Documentación con licencia por parte del Gobierno de los EE. UU. se realizaráexclusivamente de acuerdo con los términos de este acuerdo.
Symantec Corporation20330 Stevens Creek Blvd.Cupertino, CA 95014
http://www.symantec.com.mx
Soluciones de Servicio y SoporteSymantec tiene como objetivo ofrecer el mejor servicio en todo el mundo. Nuestrameta es ofrecerle ayuda profesional para la utilización de nuestro software yservicios, cualquiera que sea el lugar del mundo en que se encuentre.
Las soluciones de Soporte técnico y Servicio al cliente varían según el país.
Si tiene alguna pregunta respecto a los servicios que se describen a continuación,consulte la sección "Para contactar el Servicio y Soporte mundial" al final de estecapítulo.
Registro y licenciasSi el producto que está implementando requiere ser registrado y/o una clave delicencia, la manera más rápida y fácil de registrar su servicio es acceder a nuestrositio de registro y programas de licenciamiento en www.symantec.com/certificate.También puede ir a http://www.symantec.com/techsupp/ent/enterprise.html,seleccionar el producto que desea registrar y desde la página principal del producto,seleccionar el vínculo Registro y licencias.
Si ha adquirido una suscripción de soporte, tiene derecho a recibir asistenciatécnica de Symantec por teléfono y por Internet. Cuando se ponga en contactocon el servicio de soporte por primera vez, tenga a mano el número de licenciaque aparece en su Certificado de licencia o el Id de contacto que se genera alregistrar el soporte, para que el personal pueda comprobar su autorización desoporte. Si no ha adquirido una suscripción de soporte, póngase en contacto consu distribuidor o con el Servicio de Atención al Cliente de Symantec para obtenerinformación sobre cómo adquirir soporte técnico de Symantec.
Actualizaciones de seguridadPara obtener la información más reciente sobre las últimas amenazas de seguridady de virus, vaya al sitio Web de Symantec Security Response (antes conocido comoSARC) en:
http://www.symantec.com/region/mx/avcenter/.
Este sitio contiene extensa información sobre amenazas de seguridad y de virus,así como las últimas definiciones de virus. Las definiciones también puedendescargarse utilizando la función LiveUpdate de su producto.
Renovación de la suscripción de actualizaciones antivirusLa adquisición del servicio de mantenimiento de su producto le da derecho adescargar definiciones de virus gratuitas durante el plazo de validez de su acuerdode mantenimiento. Si su acuerdo de mantenimiento ha caducado, póngase en
contacto con su distribuidor o con el Servicio de Atención al Cliente de Symantecpara obtener información sobre la renovación del acuerdo.
Los sitios Web de Symantec:Página principal de Symantec (por idioma):
■ Alemán:http://www.symantec.de
■ Español:http://www.symantec.com/region/es
■ Francés:http://www.symantec.fr
■ Inglés:http://www.symantec.com
■ Italiano:http://www.symantec.it
■ Neerlandés:http://www.symantec.nl
■ Portugués:http://www.symantec.com/br
Symantec Security Response:
■ http://securityresponse.symantec.com
Página de Servicio y Soporte Empresarial de Symantec:
■ http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Boletines de noticias de productos:
■ EE.UU., Pacífico Asiático / inglés:http://www.symantec.com/techsupp/bulletin/index.html
■ Europa, Oriente Medio y África / inglés:http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemán:http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francés:http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina / inglés:http://www.symantec.com/techsupp/bulletin/index.html
Soporte TécnicoNuestro grupo de soporte técnico global, por ser parte integrante de SymantecSecurity Response, mantiene centros de soporte en todas partes del mundo. Nuestropapel principal es responder a preguntas específicas sobrecaracterísticas/funciones de los productos, instalaciones y configuración, ademásde elaborar el contenido de nuestra Base de conocimientos accesible por Internet.Trabajamos en colaboración con las otras áreas funcionales de Symantec pararesponder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingenieríade productos, así como con nuestros Centros de Investigación de Seguridad parasuministrar Servicios de alerta y actualizaciones de definiciones de virus cuandohay ataques de virus y alertas de seguridad. Nuestros servicios más importantesincluyen:
■ Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionarla amplitud de servicio necesaria para una organización de cualquier tamaño.
■ Componentes de soporte telefónico y de Web que le proporcionan respuestasrápidas y la información más reciente.
■ Actualizaciones de producto que proporcionan protección automática yactualizada de software.
■ Actualizaciones de contenido para definiciones de virus y firmas de seguridadque le garantizan el más alto nivel de protección.
■ Soporte global de los expertos de Symantec Security Response, disponible las24 horas del día, 7 días por semana, en todo el mundo, en varios idiomas.
■ Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol deAdministrador de cuentas técnico que suministran respuestas mejoradas ysoporte de seguridad proactivo.
Consulte nuestro sitio Web para obtener información actualizada sobre losprogramas de soporte.
Para contactarnos
Los clientes que tienen un acuerdo de soporte válido pueden ponerse en contactocon el equipo de Soporte Técnico por teléfono, a través de la Web en la direcciónURL a continuación o utilizando los sitios de soporte regionales que se indicanmás adelante en este documento.
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Cuando se ponga en contacto con el personal de Soporte Técnico, asegúrese detener a mano la siguiente información:
■ Número de versión del producto
■ Información del hardware
■ Memoria disponible, espacio en disco, información sobre el NIC (tarjeta interfazde red)
■ Sistema operativo
■ Versión y nivel de parche
■ Topología de la red
■ Router, gateway y dirección IP
■ Descripción del problema
■ Mensajes de error/archivos de registro
■ Soluciones intentadas antes de ponerse en contacto con Symantec
■ Cambios recientes en la configuración del software y/o cambios en la red
Servicio de Atención al Cliente de SymantecEl Centro de Servicio de Atención al Cliente de Symantec puede prestarle ayudaen asuntos no técnicos, tales como:
■ Información general sobre productos (características, idiomas disponibles,distribuidores en su área, etc.).
■ Solución de problemas básicos, tales como comprobar el número de versióndel producto.
■ Información más reciente sobre actualizaciones y nuevas versiones deproductos.
■ Cómo actualizar su producto.
■ Cómo registrar su producto y/o licencias.
■ Información sobre los programas de licenciamiento de Symantec.
■ Información sobre seguros de actualización y contratos de mantenimiento.
■ Reemplazo de CD y manuales.
■ Actualización de su registro de producto para reflejar un cambio de nombre odirección.
■ Consejos sobre las opciones de soporte técnico de Symantec.
El sitio Web de Servicio y Soporte de Symantec ofrece extensa información deservicio al cliente. Esta información también se puede obtener llamando al Centrode Servicio al cliente de Symantec. Consulte la sección "Para contactar el Servicio
y Soporte mundial", que aparece al final de este capítulo, para obtener el númeroy las direcciones Web del Servicio al cliente de su área.
Para contactar el Servicio y Soporte mundial
En Europa, Oriente Medio, África y América Latina.
Sitios Web de Servicio y Soporte de Symantec
■ Alemán:www.symantec.de/desupport/
■ Español:www.symantec.com/region/mx/techsupp/
■ Francés:www.symantec.fr/frsupport/
■ Inglés:www.symantec.com/eusupport/
■ Italiano:www.symantec.it/itsupport/
■ Neerlandés:www.symantec.nl/nlsupport/
■ Portugués:www.symantec.com/region/br/techsupp/
■ Dirección FTP de Symantec:ftp.symantec.com (para descargar notas técnicasy los últimos parches)
Visite el Servicio y Soporte de Symantec en la Web para obtener informacióntécnica y no técnica sobre su producto.
Symantec Security Response :
■ http://www.symantec.com/region/mx/avcenter/
Boletines de noticias de productos:
■ EE.UU. / inglés:http://www.symantec.com/techsupp/bulletin/index.html
■ Europa, Oriente Medio, África y América Latina / inglés:http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemán:http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francés:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina / inglés:http://www.symantec.com/techsupp/bulletin/index.html
Servicio de Atención al Cliente de Symantec
Proporciona información y consejos no técnicos por teléfono en los siguientesidiomas: inglés, alemán, francés, italiano y español.
■ Alemania+ (49) 69 6641 0315
■ Austria+ (43) 1 50 137 5030
■ Bélgica+ (32) 2 2750173
■ Dinamarca+ (45) 35 44 57 04
■ España+ (34) 91 7456467
■ Finlandia+ (358) 9 22 906003
■ Francia+ (33) 1 70 20 00 00
■ Holanda+ (31) 20 5040698
■ Irlanda+ (353) 1 811 8093
■ Italia+ (39) 02 48270040
■ Luxemburgo+ (352) 29 84 79 50 30
■ Noruega+ (47) 23 05 33 05
■ Sudáfrica+ (27) 11 797 6639
■ Suecia+ (46) 8 579 29007
■ Suiza+ (41) 2 23110001
■ RU+ (44) 20 7744 0367
■ Otros países+ (353) 1 811 8093 (sólo en inglés)
Servicio de Atención al Cliente de Symantec – Dirección postal
■ Symantec LtdCustomer Service CentreEuropa, Oriente Medio y África (EMEA)PO Box 5689Dublín 15Irlanda
En América Latina
Symantec proporciona Soporte técnico y Servicio de Atención al Cliente en todoel mundo. Los servicios varían según los países e incluyen socios internacionales,representantes de Symantec en las zonas en que Symantec no tiene una oficina.Para más información, póngase en contacto con la oficina de Servicio y SoporteSymantec de su región.
Argentina
■ Pte. Roque Saenz Peña 832 - Piso 6C1035AAQ,Ciudad de Buenos AiresArgentinaCentral telefónica: +54 (11) 5811-3225Sitio Web: http://www.service.symantec.com/mxSoporte Gold: 0800-333-0306
Venezuela
■ Avenida Francisco de Miranda. Centro LidoTorre D. Piso 4, Oficina 40Urbanización el Rosal1050, Caracas D.F.Dong Cheng DistrictVenezuela
Central telefónica: +58 (212) 905-6327Sitio Web: http://www.service.symantec.com/mxSoporte Gold: 0800-1-00-2543
Colombia
■ Carrera 18# 86A-14Oficina 407,Bogota D.C.ColombiaCentral telefónica: +57 (1) 638-6192Sitio Web: http://www.service.symantec.com/mxSoporte Gold: 980-915-5241
Brasil
■ Symantec BrasilMarket Place TowerAv. Dr. Chucri Zaidan, 92012° andarSão Paulo - SPCEP: 04583-904Brasil, SACentral telefónica: +55 (11) 5189-6300Fax: +55 (11) 5189-6210Sitio Web: http://www.service.symantec.com/brSoporte Gold: 000814-550-4172
Chile
■ Alfredo Barros Errazuriz 1954Oficina 1403Providencia,Santiago de ChileChileCentral telefónica: +56 (2) 378-7480Sitio Web: http://www.service.symantec.com/mxSoporte Gold: 0800-333-0306
México
■ Boulevard Adolfo Ruiz Cortines 3642 Piso 8,Colonia Jardines del Pedregal,01900, Mexico D.F.MéxicoCentral telefónica: +52 (55) 5481-2600
Sitio Web: http://www.service.symantec.com/mxSoporte Gold: 001880-232-4615
Resto de América Latina
■ 9155 South Dadeland Blvd.Suite 1100,Miami, FL 33156U.S.ASitio Web: http://www.service.symantec.com/mxSoporte Gold:Costa Rica: 800-242-9445Panama: 800-234-4856Puerto Rico: 800-232-4615
En el Pacífico Asiático
Symantec proporciona Soporte técnico y Servicio de Atención al Cliente en todoel mundo. Los servicios varían según los países e incluyen socios internacionales,representantes de Symantec en las zonas en que Symantec no tiene una oficina.Para más información, póngase en contacto con la oficina de Servicio y SoporteSymantec de su región.
Oficinas de Servicio y Soporte
AUSTRALIA
■ Symantec AustraliaLevel 2, 1 Julius AvenueNorth Ryde, NSW 2113AustraliaCentral telefónica: +61 2 8879 1000Fax: +61 2 8879 1001Sitio Web: http://service.symantec.comSoporte Gold: 1800 805 834 [email protected]. contratos de soporte: 1800 808 089 [email protected]
CHINA
■ Symantec ChinaUnit 1-4, Level 11,Tower E3, The Towers, Oriental PlazaNo.1 East Chang An Ave.,Dong Cheng DistrictBeijing 100738China P.R.C.
Central telefónica: +86 10 8518 3338Soporte Técnico: +86 10 8518 6923Fax: +86 10 8518 6928Sitio Web: http://www.symantec.com.cn
HONG KONG
■ Symantec Hong KongCentral PlazaSuite #300630th Floor, 18 Harbour RoadWanchaiHong KongCentral telefónica: +852 2528 6206Soporte Técnico: +852 2528 6206Fax: +852 2526 2646Sitio Web: http://www.symantec.com.hk
INDIA
■ Symantec IndiaSuite #801Senteck CentrakoMMTC BuildingBandra Kurla ComplexBandra (East)Mumbai 400051, IndiaCentral telefónica: +91 22 652 0658Soporte Técnico: +91 22 652 0671Fax: +91 22 657 0669Sitio Web: http://www.symantec.com/india
COREA
■ Symantec Korea15,16th FloorDukmyung B/D170-9 Samsung-DongKangNam-GuSeoul 135-741Corea del SurCentral telefónica: +822 3420 8600Soporte Técnico: +822 3452 1610Fax: +822 3420 8650
Sitio Web: http://www.symantec.co.kr
MALASIA
■ Symantec Corporation (Malaysia) Sdn Bhd31-3A Jalan SS23/15Taman S.E.A.47400 Petaling JayaSelangor Darul EhsanMalasiaCentral telefónica: +603 7805 4910Soporte Técnico: +603 7804 9280Correo electrónico empresarial: [email protected]º empresarial gratuito: +1800 805 104Sitio Web: http://www.symantec.com.my
NUEVA ZELANDA
■ Symantec New ZealandLevel 5, University of Otago Building385 Queen StreetAuckland Central 1001Nueva ZelandaCentral telefónica: +64 9 375 4100Fax: +64 9 375 4101Sitio Web de support: http://service.symantec.co.nzSoporte Gold: 0800 174 045 [email protected]. contratos de soporte: 0800 445 450 [email protected]
SINGAPUR
■ Symantec Singapore6 Battery Road#22-01/02/03Singapur 049909Central telefónica: 1800 470 0730Fax: +65 6239 2001Soporte Técnico: 1800 720 7898Sitio Web: http://www.symantec.com.sg
TAIWÁN
■ Symantec Taiwan2F-7, No.188 Sec.5Nanjing E. Rd.,105 TaipeiTaiwánCentral telefónica: +886 2 8761 5800Soporte corporativo: +886 2 8761 5800Fax: +886 2 2742 2838Soporte Gold: 0800 174 045 [email protected] Web: http://www.symantec.com.tw
Se ha hecho todo lo posible para que la información contenida en este documentoesté libre de errores. Sin embargo, dicha información puede estar sujeta amodificaciones. Symantec Corporation se reserva el derecho de realizar dichasmodificaciones sin previo aviso.
Soluciones de Servicio y Soporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Capítulo 1 Introducción de soluciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Acerca de las soluciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Sección 1 Mejores prácticas para administrarclientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Capítulo 2 Solucionar problemas de comunicación con elservidor de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Acerca de los problemas de comunicación .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Acerca de comprobar la comunicación entre el cliente y el
servidor de administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Acerca de comprobar la comunicación entre el servidor de
administración y la consola o la base de datos ... . . . . . . . . . . . . . . . . . . . . . 27Ver el estado del cliente en la consola de administración .... . . . . . . . . . . . . . . . . . 30Acerca del icono de estado del cliente en el cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Ver el número de serie de políticas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Acerca de realizar una actualización de políticas manual para
comprobar el número de serie de políticas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Usar el comando ping para probar la conectividad con el servidor de
administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Usar un navegador para probar la conectividad con el servidor de
administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Usar el comando telnet para probar la conectividad con el servidor
de administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Comprobar los registros de la bandeja de entrada en el servidor de
administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Comprobar los registros de IIS en el servidor de administración .... . . . . . . . . 35Acerca de comprobar el registro de depuración en el equipo
cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Verificar la conexión con la base de datos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Configurar los derechos para IIS ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Contenido
Capítulo 3 Solucionar problemas cuando un cliente noactualiza el contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Acerca de solucionar problemas de actualización de contenido enclientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Acerca de los tipos de contenido para Symantec EndpointProtection .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Acerca de determinar cómo configurar un cliente para recibir elcontenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Acerca de la conectividad de red y clientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Acerca de comprobar el estado de conexión del cliente ... . . . . . . . . . . . . . . . . . . . . . 46Cerciorarse de que el cliente pueda comunicarse con su proveedor de
contenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Acerca de determinar si un cliente está recibiendo actualizaciones
de contenido desde el servidor de administración .... . . . . . . . . . . . . . . . . . . . . . 48Acerca de comparar el contenido en el cliente con el contenido en el
servidor de administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Comparar la memoria caché del contenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Usar la consola de administración para comparar versiones de
contenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Ver las últimas descargas de LiveUpdate del servidor de
administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Comprobar la configuración de LiveUpdate en el servidor de
administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Comprobar la configuración de la política de contenido de
LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Acerca de comprobar la política de configuración de LiveUpdate ... . . . . . . . . 53Ejecutar una sesión manual de LiveUpdate desde la consola de
administración .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Qué hacer si aún tiene problemas después de verificar la conectividad
y la configuración de LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Ver el registro de LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Acerca de ver el registro de depuración del cliente ... . . . . . . . . . . . . . . . . . . . . . 55Crear un registro de sylink .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Acerca de usar la herramienta DebugView .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Capítulo 4 Configurar y administrar clientes móviles y clientesremotos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Acerca de clientes móviles y clientes remotos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Configurar los grupos y las ubicaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Acerca de las situaciones comunes de clientes móviles y clientes
remotos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Contenido18
Acerca de los criterios del reconocimiento de la ubicación .... . . . . . . . . . . . . . . . 62Configurar condiciones de reconocimiento de la ubicación de la
Situación uno .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Configurar condiciones de reconocimiento de la ubicación de la
situación dos .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Consolidar sus políticas de seguridad para los clientes remotos ... . . . . . . . . . 67
Acerca de la configuración de las mejores prácticas para laspolíticas de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Acerca de la configuración de las mejores prácticas para unapolítica antivirus y contra software espía ... . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Acerca de la configuración de las mejores prácticas para unapolítica de LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Acerca de la configuración de las mejores prácticas para unapolítica de control de aplicaciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Acerca de las notificaciones del cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Personalizar la configuración de administración del registro del
cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Administrar el balanceo de carga y el uso móvil ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Supervisar clientes remotos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Capítulo 5 Organizar Symantec Endpoint Protection:servidores, sitios y proveedores deactualizaciones de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Acerca de la topología de la administración de Symantec EndpointProtection .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Factores de organización que se deben considerar ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Decidir crear un sitio o varios sitios ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Decidir cómo actualizar el contenido .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Acerca de la alta disponibilidad y la conmutación por error ... . . . . . . . . . . . . . . . 79Acerca del balanceo de carga y el uso móvil ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Sección 2 Mejores prácticas para la seguridadgeneral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Capítulo 6 Administrar análisis de amenazas proactivosTruScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Acerca de administrar los análisis de amenazas proactivosTruScan .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Acerca de administrar excepciones ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Supervisar los eventos de análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
19Contenido
Crear excepciones para los procesos detectados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Ajustar la configuración del análisis ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Contenido20
Introducción de soluciones
En este capítulo se incluyen los temas siguientes:
■ Acerca de las soluciones
Acerca de las solucionesSymantec Endpoint Protection y Symantec Network Access Control son conjuntoscompletos de software que están diseñados para solucionar problemas de seguridadde la red. Proporcionan protección contra amenazas para empresas de todos lostamaños, desde la más pequeña hasta la más grande. Están diseñados para serflexibles y altamente manejables, y para proporcionar un número elevado deopciones de configuración. Por lo tanto, hay muchos factores que influyen sobrela mejor forma de configurar y utilizar el software.
Es posible utilizar soluciones para ayudarlo a administrar un entorno seguro parala red de su organización. Cada solución ofrece un conjunto de situaciones o unadiscusión sobre las mejores prácticas que puede utilizar. La solución depende devarios factores, tales como los tipos y los números de puntos finales, de personaldisponible del soporte técnico y de número de sitios. Por ejemplo, las solucionespueden ayudarlo a resolver los problemas que afectan la comunicación con losequipos cliente y la seguridad de éstos.
Para obtener más información sobre las soluciones disponibles en artículos y FAQde la base de conocimientos, consulte el sitio Web del soporte técnico de Symantecen la siguiente URL:
www.symantec.com/techsupp/
Antes de que implemente una solución, es necesario leer la Guía de instalaciónpara Symantec Endpoint Protection y Symantec Network Access Control y la GuíadeadministraciónparaSymantecEndpoint Protection ySymantecNetworkAccessControl e instalar el software en un entorno de prueba. Las soluciones estándiseñadas para el administrador del sistema que instala y mantiene los productos.
1Capítulo
Introducción de solucionesAcerca de las soluciones
22
Mejores prácticas paraadministrar clientes
■ Solucionar problemas de comunicación con el servidor de administración
■ Solucionar problemas cuando un cliente no actualiza el contenido
■ Configurar y administrar clientes móviles y clientes remotos
■ Organizar Symantec Endpoint Protection: servidores, sitios y proveedores deactualizaciones de grupo
1Sección
24
Solucionar problemas decomunicación con elservidor de administración
En este capítulo se incluyen los temas siguientes:
■ Acerca de los problemas de comunicación
■ Ver el estado del cliente en la consola de administración
■ Acerca del icono de estado del cliente en el cliente
■ Ver el número de serie de políticas
■ Acerca de realizar una actualización de políticas manual para comprobar elnúmero de serie de políticas
■ Usar el comando ping para probar la conectividad con el servidor deadministración
■ Usar un navegador para probar la conectividad con el servidor deadministración
■ Usar el comando telnet para probar la conectividad con el servidor deadministración
■ Comprobar los registros de la bandeja de entrada en el servidor deadministración
■ Comprobar los registros de IIS en el servidor de administración
■ Acerca de comprobar el registro de depuración en el equipo cliente
■ Verificar la conexión con la base de datos
2Capítulo
■ Configurar los derechos para IIS
Acerca de los problemas de comunicaciónPuede ser necesario comprobar la comunicación entre el servidor de administracióny otros componentes por varios motivos. Por ejemplo, el cliente puede no recibirlas actualizaciones de políticas o de contenido, o no se pueden configurar losderechos apropiados para IIS. Estos componentes incluyen el cliente, la consolay la base de datos.
Acerca de comprobar la comunicación entre el cliente y el servidor deadministración
Si tiene problemas con la comunicación entre el cliente y el servidor, primeroasegúrese de que no haya ningún problema de red. Se debe además comprobar laconectividad de red antes de contactar con el soporte técnico de Symantec.
Es posible probar la comunicación entre el cliente y el servidor de administraciónde varias maneras.
La Tabla 2-1 describe las medidas que es posible tomar para comprobar lacomunicación entre el equipo cliente y el servidor de administración.
Tabla 2-1 Comprobar la comunicación entre el cliente y el servidor deadministración
DescripciónQué comprobar
Es posible comprobar el icono de estado en el cliente y enla consola de administración.
Compruebe el icono de estadodel cliente.
El número de serie debe coincidir si el cliente puedecomunicarse con el servidor y recibir actualizaciones depolíticas regulares.
Es posible realizar una actualización de políticas manual ydespués comparar los números de serie de políticas.
Compruebe el número deserie de políticas en el clientey en la consola deadministración.
Solucionar problemas de comunicación con el servidor de administraciónAcerca de los problemas de comunicación
26
DescripciónQué comprobar
Es posible emitir varios comandos en el cliente para probarla conectividad con el servidor de administración.
Puede realizar las siguientes pruebas:
■ Establezca una comunicación ping con el servidor deadministración desde el equipo cliente.
■ Establezca una comunicación telnet con el servidor deadministración desde el equipo cliente.
■ Utilice un navegador Web en el equipo cliente paraconectarse al servidor de administración.
Pruebe la conectividad entreel cliente y el servidor deadministración.
Es necesario verificar que no haya problemas de red; paraello compruebe los puntos siguientes:
■ Pruebe la conectividad entre el cliente y el servidor deadministración primero. Si el equipo cliente no puedeestablecer una comunicación ping o telnet con el servidorde administración, es necesario verificar el servicio DNSpara el cliente.
■ Compruebe la ruta de encaminamiento del cliente.
■ Compruebe que el servidor de administración no tengaproblemas de red.
■ Compruebe que el firewall de Symantec EndpointProtection (o cualquier firewall de otro fabricante) nocause ningún problema de red.
Compruebe la existencia decualquier problema de red.
Es posible comprobar los registros de IIS en el servidor deadministración. Los registros pueden ayudarlo a determinarsi el cliente puede comunicarse con el servidor IIS en elequipo del servidor de administración.
Compruebe los registros deIIS en el servidor deadministración.
Es posible utilizar el registro de depuración en el clientepara determinar si el cliente tiene problemas decomunicación.
Compruebe los registros dedepuración en el cliente.
Acerca de comprobar la comunicación entre el servidor deadministración y la consola o la base de datos
Si tiene un problema de conexión con la consola o la base de datos, es posible veruno de los siguientes síntomas:
■ El servicio del servidor de administración (semsrv) se detiene.
■ El servicio del servidor de administración no permanece en estado iniciado.
■ Las páginas Inicio, Supervisión e Informes muestran un error de HTTP.
27Solucionar problemas de comunicación con el servidor de administraciónAcerca de los problemas de comunicación
■ Las páginas Inicio, Supervisión e Informes están en blanco.
■ Las páginas Inicio, Supervisión e Informes muestran una barra de progresoque carga continuamente, sin que se visualice ningún contenido.
■ Aparece un mensaje que indica que hay demasiados usuarios conectados.
Todos estos problemas muestran el error Java -1 en el registro de eventos deWindows. Para encontrar la causa específica para el error Java -1, revise el registroscm-server. El registro scm-server está situado típicamente en la ubicaciónsiguiente:
C:\Archivos de programa\Symantec\Symantec Endpoint ProtectionManager\tomcat\logs\scm-server-0.log
En la Tabla 2-2, se describen las acciones que es posible tomar en respuesta a loserrores de comunicación con la consola o la base de datos.
Tabla 2-2 Comprobar la comunicación con la consola o la base de datos
DescripciónQué comprobar
Es posible verificar que el servidor de administración y labase de datos se comuniquen correctamente.
Ver "Verificar la conexión con la base de datos"en la página 36.
Pruebe la conectividad entrela base de datos y el servidorde administración.
Es posible que sea necesario ajustar el tamaño del montónapropiado para el sistema operativo del servidor deadministración. Si no es posible iniciar sesión en la consolaremota del servidor de administración o si se muestra unmensaje de falta de memoria en el registro smc-server, puedeser necesario aumentar el tamaño del montón. El tamaño delmontón predeterminado para Symantec Endpoint ProtectionManager es 256 MB.
Para obtener más información sobre los requisitos delsistema, consulte la Guía de instalación para SymantecEndpoint Protection y Symantec Network Access Control.
Compruebe que el tamañodel montón del servidor deadministración sea correcto.
Es posible comprobar si el servidor de administración ejecutavarios paquetes de software que utilizan diferentes versionesde PHP. PHP comprueba la existencia de un archivo deconfiguración global (php.ini). Si hay varios archivos deconfiguración, es necesario forzar a cada producto a utilizarsu propio intérprete. Cuando cada producto utiliza la versióncorrecta de PHP asociada a él, el servidor de administraciónfunciona correctamente.
Compruebe que el servidorde administración no estáejecutando varias versionesde PHP.
Solucionar problemas de comunicación con el servidor de administraciónAcerca de los problemas de comunicación
28
DescripciónQué comprobar
Es posible comprobar que no haya más de diez conexionessimultáneas con el cliente. Puede haber demasiadasconexiones si el servidor de administración muestra losmensajes de error siguientes:
■ Demasiados usuarios conectados.
■ No se pueden establecer más conexiones a
este equipo remoto en este momento ya que
se alcanzó el máximo de conexiones que el
equipo puede aceptar.
El acuerdo de licencia de usuario final de Microsoft (EULA)indica el número de conexiones que se permite. Windows XPProfessional Edition y Windows 2000 Professional Editionestán limitados a un máximo de diez conexiones simultáneas.
Es posible aumentar el número de conexiones mediante unade las siguientes acciones:
■ Instale el servidor de administración en una versióndiferente de Windows, como Windows Server 2003.
■ Pase el cliente al modo de obtención y aumente elintervalo en el cual el cliente descarga la política deseguridad.
En el modo de obtención, el servidor de administraciónmantiene la conexión con el cliente. En el modo deobtención, el servidor de administración no mantiene laconexión. Cuanto más largo es el intervalo del modo deobtención, más conexiones simultáneas puede haber enel servidor de administración.
Compruebe el número deconexiones simultáneas alcliente.
Es posible verificar si el cliente y el servidor deadministración cumplen los requisitos del sistema mínimoso recomendados.
Para obtener más información, consulte laGuíade instalaciónpara Symantec Endpoint Protection y Symantec NetworkAccess Control.
Compruebe los requisitosdel sistema.
Es posible verificar que Internet Information Services (IIS)está configurado con los derechos apropiados. Si IIS seconfigura incorrectamente, el servidor de administraciónmuestra un error de HTTP o páginas en blanco en las páginasInicio, Supervisión o Informes.
Ver "Configurar los derechos para IIS" en la página 38.
Compruebe que los derechosapropiados estánconfigurados para IIS.
29Solucionar problemas de comunicación con el servidor de administraciónAcerca de los problemas de comunicación
Ver el estado del cliente en la consola deadministración
Es posible comprobar el icono de estado del cliente en la consola de administracióny en el cliente directamente para determinar el estado del cliente.
La Tabla 2-3 muestra los diversos iconos que pueden aparecer en la consola deadministración para el estado del cliente.
Tabla 2-3 Iconos de estado del cliente en la consola de administración
DescripciónIcono
Este icono indica el estado siguiente:
■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager.
■ El cliente está en modo de equipo.
Este icono indica el estado siguiente:
■ El cliente no puede comunicarse con Symantec Endpoint ProtectionManager.
■ El cliente está en modo de equipo.
■ El cliente se pudo haber agregado desde la consola y puede no tenerningún software de cliente de Symantec instalado.
Este icono indica el estado siguiente:
■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager.
■ El cliente está en modo de equipo.
■ El cliente es un detector no administrado.
Este icono indica el estado siguiente:
■ El cliente no puede comunicarse con Symantec Endpoint ProtectionManager.
■ El cliente está en modo de equipo.
■ El cliente es un detector no administrado.
Este icono indica el estado siguiente:
■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager.
■ El cliente está en modo de usuario.
Solucionar problemas de comunicación con el servidor de administraciónVer el estado del cliente en la consola de administración
30
DescripciónIcono
Este icono indica el estado siguiente:
■ El cliente no puede comunicarse con Symantec Endpoint ProtectionManager.
■ El cliente está en modo de usuario.
■ El cliente se pudo haber agregado desde la consola y puede no tenerningún software de cliente de Symantec instalado.
Este icono indica el estado siguiente:
■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager en otro sitio.
■ El cliente está en modo de equipo.
Este icono indica el estado siguiente:
■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager en otro sitio.
■ El cliente está en modo de equipo.
■ El cliente es un detector no administrado.
Este icono indica el estado siguiente:
■ El cliente puede comunicarse con Symantec Endpoint ProtectionManager en otro sitio.
■ El cliente está en modo de equipo.
Ver el estado del cliente en la consola de administración
1 En la consola de administración, en la página Clientes, bajo Ver clientes,seleccione el grupo al que pertenece el cliente.
2 Mire la ficha Clientes.
El nombre del cliente debe aparecer en la lista al lado de un icono que muestrael estado del cliente.
Acerca del icono de estado del cliente en el clienteEs posible encontrar el icono de estado del cliente en el área de notificación en elequipo cliente. El icono aparece como un escudo amarillo con un punto verdecuando el cliente puede comunicarse con el servidor de administración. Para elcliente de Symantec Network Access Control, el icono aparece como una llaveamarilla.
31Solucionar problemas de comunicación con el servidor de administraciónAcerca del icono de estado del cliente en el cliente
Para obtener más información sobre los iconos de estado del cliente, consulte laGuía del cliente para Symantec Endpoint Protection y Symantec Network AccessControl.
Ver el número de serie de políticasEs necesario comprobar el número de serie de políticas en el cliente para ver sicoincide con el número de serie que aparece en la consola de administración. Siel cliente se comunica con el servidor de administración y recibe actualizacionesde políticas regulares, los números de serie deben coincidir.
Si los números de serie de políticas no coinciden, es posible intentar actualizarmanualmente las políticas en el equipo cliente y comprobar los registros de lasolución de problemas.
Ver el número de serie de políticas en la consola de administración
1 En el servidor de administración, en la consola, haga clic en Clientes.
2 Bajo Ver clientes, seleccione el grupo relevante y después haga clic en Detalles.
El número de serie de políticas y la fecha de políticas aparecen en la parteinferior de la lista de detalles.
Ver el número de serie de políticas en el cliente
1 En el equipo cliente, en el cliente, en el menú Ayuda y asistencia técnica, hagaclic en Solución de problemas.
2 En la ficha Administración, busque el número de serie de políticas.
El número de serie debe coincidir con el número de serie de la política que elservidor de administración transfiere al cliente.
Acerca de realizar una actualización de políticasmanual para comprobar el número de serie depolíticas
Es posible realizar una actualización de políticas manual para comprobar si elcliente recibe la última actualización de políticas. Si el cliente no recibe laactualización, puede haber un problema con la comunicación entre el cliente y elservidor.
Es posible intentar una actualización de políticas manual mediante una de lassiguientes acciones:
Solucionar problemas de comunicación con el servidor de administraciónVer el número de serie de políticas
32
■ En el menú Ayuda y asistencia técnica del cliente, en el cuadro de diálogoSolución de problemas, bajo Perfil de la política, puede hacer clic en Actualizar.Es posible utilizar este método si desea realizar una actualización manual enun cliente determinado.
■ Para los clientes que se configuran para el modo de obtención, el servidor deadministración descarga las políticas al cliente en intervalos regulares (latido).Es posible modificar los intervalos de latidos para descargar políticas al grupode equipos cliente más rápido. Después de los intervalos de latidos, puedecomprobar si los números de serie de políticas coinciden. (Para los clientesque se configuran para el modo de transferencia, los clientes reciben cualquieractualización de políticas de forma inmediata).
Una vez que ejecute una actualización de políticas manual, asegúrese de que elnúmero de serie de políticas que aparece en el cliente coincida con el número deserie que aparece en la consola de administración.
Usar el comandoping para probar la conectividad conel servidor de administración
Es posible intentar establecer una comunicación ping con el servidor deadministración desde el equipo cliente para probar la conectividad.
Usar el comandoping para probar la conectividad con el servidor de administración
1 En el cliente, abra una línea de comandos.
2 Escriba el comando ping. Por ejemplo:
ping nombre
donde nombre es el nombre del equipo del servidor de administración. Esposible utilizar la dirección IP del servidor en lugar del nombre del equipo.En cualquier caso, el comando debe devolver la dirección IP correcta delservidor.
Si el comando ping no devuelve la dirección correcta, verifique el servicioDNS para el cliente y compruebe su ruta de encaminamiento.
Usar un navegador para probar la conectividad conel servidor de administración
Es posible utilizar un navegador Web para probar la conectividad con el servidorde administración.
33Solucionar problemas de comunicación con el servidor de administraciónUsar el comando ping para probar la conectividad con el servidor de administración
Usar un navegador para probar la conectividad con el servidor de administración
1 En el equipo cliente, abra un navegador Web, como Internet Explorer.
2 En la línea de comandos del navegador, escriba un comando que sea similara cualquiera de los comandos siguientes:
http://dirección IP del servidor de administración/reporting/index.php
Si aparece la página Web de inicio de sesión de informes, el cliente puedecomunicarse con el servidor de administración.
http://nombre del servidor de administración:9090
Si aparece la página de la consola de Symantec Endpoint Protection Manager,el cliente puede comunicarse con el servidor de administración.
3 Si no aparece una página Web, compruebe la existencia de cualquier problemade red. Verifique el servicio DNS para el cliente y compruebe su ruta deencaminamiento.
Usar el comando telnet para probar la conectividadcon el servidor de administración
Es posible utilizar el comando telnet para probar la conectividad con el servidorIIS en el servidor de administración. Si el cliente puede establecer unacomunicación telnet con el puerto HTTP o HTTPS del servidor de administración,el cliente y el servidor pueden comunicarse. El puerto HTTP predeterminado es80; el puerto HTTPS predeterminado es 443.
Nota: Es posible que deba ajustar sus normas de firewall de modo que el equipocliente pueda establecer una comunicación telnet con el servidor de administración.
Para obtener más información sobre el firewall, consulte laGuíadeadministraciónpara Symantec Endpoint Protection y Symantec Network Access Control.
Usar el comando telnet para probar la conectividad conel servidor de administración
1 En el equipo cliente, cerciórese de que el servicio telnet esté habilitado einiciado.
2 Abra una línea de comandos y escriba el comando telnet. Por ejemplo:
telnet dirección ip:80
donde dirección ip es la dirección IP del servidor de administración.
Si la conexión telnet falla, verifique el servicio DNS del cliente y compruebesu ruta de encaminamiento.
Solucionar problemas de comunicación con el servidor de administraciónUsar el comando telnet para probar la conectividad con el servidor de administración
34
Comprobar los registros de la bandeja de entrada enel servidor de administración
Es posible utilizar una clave de registro para generar registros sobre la actividaden la bandeja de entrada del servidor de administración.
Cuando se modifica la clave de registro, el servidor de administración genera losregistros (ersecreg.log y exsecars.log). Es posible ver estos registros para solucionarproblemas con la comunicación entre el cliente y el servidor. Es posible encontrarlos registros en el directorio de registros de la bandeja de entrada en el servidorde administración.
Comprobar los registros de la bandeja de entrada en el servidor de administración
◆ En el servidor de administración, bajoHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SEPM, establezca el valor de Nivel de depuración en 3.
Típicamente, la bandeja de entrada aparece en la ubicación siguiente en elequipo del servidor de administración:
\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\data\
inbox\log
Es posible abrir los registros con una aplicación de texto como el Bloc denotas.
Comprobar los registros de IIS en el servidor deadministración
Es posible comprobar los registros de IIS en el servidor de administración. Losregistros muestran los comandos GET y POST cuando el cliente y el servidor secomunican.
Comprobar los registros de IIS en el servidor de administración
1 En el servidor de administración, vaya al directorio de los archivos de registrode IIS. Una ruta típica al directorio es:
\WINDOWS\system32\LogFiles\W3SVC1
2 Abra el archivo de registro más reciente con una aplicación de texto como elBloc de notas. Por ejemplo, el nombre de archivo del registro puede serex070924.log.
3 Revise los mensajes de registro.
El archivo debe incluir tanto mensajes GET como POST.
35Solucionar problemas de comunicación con el servidor de administraciónComprobar los registros de la bandeja de entrada en el servidor de administración
Acerca de comprobar el registro de depuración en elequipo cliente
Es posible comprobar el registro de depuración en el cliente. Si el cliente tieneproblemas de comunicación con el servidor de administración, los mensajes deestado sobre el problema de conexión aparecen en el registro.
Es posible comprobar el registro de depuración mediante los métodos siguientes:
■ En el cliente, en el menú Ayuda y asistencia técnica, en el cuadro de diálogoSolución de problemas, puede hacer clic en Editar configuración del registrode depuración y escribir un nombre para el registro. Después puede hacer clicen Ver registro.
■ Es posible utilizar el registro para activar la depuración en el cliente.Es posible encontrar la clave de registro en la ubicación siguiente:HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC\smc_debuglog_on
Verificar la conexión con la base de datosEl servidor de administración y la base de datos pueden no comunicarsecorrectamente. Se debe verificar que la base de datos se esté ejecutando y despuésprobar la conexión entre el servidor y la base de datos.
Si el servidor de administración ejecuta la base de datos Sybase integrada, realicelos pasos siguientes:
■ Verifique que el servicio de Base de datos integrada de Symantec se ejecute yque el proceso dbsrv9.exe esté escuchando en el puerto TCP 2638.
■ Pruebe la conexión ODBC.
Si el servidor de administración ejecuta la base de datos SQL remota, realice lasacciones siguientes:
■ Verifique que se haya especificado una instancia con nombre cuando se instalóy configuró Symantec Endpoint Protection Manager.
■ Verifique que SQL Server se esté ejecutando y esté configurado correctamente.
■ Verifique que la conexión de red entre Symantec Endpoint Protection Managery la base de datos SQL sea correcta.
■ Pruebe la conexión ODBC.
Solucionar problemas de comunicación con el servidor de administraciónAcerca de comprobar el registro de depuración en el equipo cliente
36
Para verificar la comunicación con la base de datos integrada
1 En el servidor de administración, haga clic en Inicio > Panel de control >Herramientas administrativas.
2 En el cuadro de diálogo Herramientas administrativas, haga doble clic enOrígenes de datos (ODBC).
3 En el cuadro de diálogo Administrador de orígenes de datos ODBC, haga clicen DSN de sistema.
4 En la ficha DSN de sistema, haga doble clic enSymantecEndpointSecurityDSN.
5 En la ficha ODBC, verifique que en la lista desplegable Nombre del origen dedatos se muestre SymantecEndpointSecurityDSN y escriba una descripciónopcional.
6 Haga clic en Inicio de sesión.
7 En la ficha Inicio de sesión, en el cuadro de texto Id. de usuario, escriba dba.
8 En el cuadro de texto Contraseña, escriba la contraseña para la base de datos.
Esta contraseña es la que se escribió para la base de datos al instalar el servidorde administración.
9 Haga clic en Base de datos.
10 En la ficha Base de datos, en el cuadro de texto de Nombre del servidor, escriba<\\nombredeservidor\nombredeinstancia>.
Si utiliza la versión en inglés de Symantec Endpoint Protection Manager,escriba la opción predeterminada, sem5. Si no, deje en blanco el cuadro detexto Nombre del servidor.
11 En la ficha ODBC, haga clic en Probar conexión y verifique que la prueba serealiza correctamente.
12 Haga clic en Aceptar.
13 Haga clic en Aceptar.
Para verificar la comunicación a la base de datos SQL
1 En el servidor de administración, haga clic en Inicio > Panel de control >Herramientas administrativas.
2 En el cuadro de diálogo Herramientas administrativas, haga doble clic enOrígenes de datos (ODBC).
3 En el cuadro de diálogo Administrador de orígenes de datos ODBC, haga clicen DSN de sistema.
37Solucionar problemas de comunicación con el servidor de administraciónVerificar la conexión con la base de datos
4 En la ficha DSN de sistema, haga doble clic enSymantecEndpointSecurityDSN.
5 En la lista desplegable Servidor, verifique que estén seleccionados el servidory la instancia correctos.
6 Haga clic en Siguiente.
7 Para Id. de inicio de sesión, escriba sa.
8 En el cuadro de texto Contraseña, escriba la contraseña para la base de datos.
Esta contraseña es la que se escribió para la base de datos al instalar el servidorde administración.
9 Haga clic en Siguiente y asegúrese de que sem5 esté seleccionado para la basede datos predeterminada.
10 Haga clic en Siguiente.
11 Haga clic en Finalizar.
12 Haga clic en Probar origen de datos y busque el resultado que indica:
PRUEBAS COMPLETADAS CORRECTAMENTE
Configurar los derechos para IISLos mensajes de error de HTTP indican típicamente un problema con laconfiguración de Internet Information Services (IIS). Para diagnosticar el problema,compruebe los registros IIS a fin de obtener el código de error completo.
Ver "Comprobar los registros de IIS en el servidor de administración"en la página 35.
Es posible verificar los puntos siguientes para ver si IIS está configuradocorrectamente:
■ Verifique que la identidad de DefaultAppPool esté configurada en Servicio dered.
■ Verifique que los derechos de usuario sean correctos.
■ Verifique que la configuración de la autenticación y el control de acceso seacorrecta.
■ Verifique que la opción de comunicaciones seguras no esté seleccionada.Verifique esta opción solamente si SSL no se implementa.
Si realiza cualquier cambio en las opciones siguientes, reinicie IIS cuando hayaterminado cualquiera de las siguientes tareas.
Solucionar problemas de comunicación con el servidor de administraciónConfigurar los derechos para IIS
38
Para verificar que la identidad de DefaultAppPool esté configurada en Servicio dered
1 En el servidor de administración, haga clic en Inicio > Programas >Herramientas administrativas > Administrador de Internet InformationServices (IIS).
2 Expanda el nombre de servidor y después expanda Grupos de aplicaciones.
3 Haga clic con el botón secundario en DefaultAppPool y haga clic enPropiedades.
4 En la ficha Identidad, verifique que la opción Predefinida esté seleccionaday se visualice Servicio de red.
5 Haga clic en Aceptar.
Para verificar que los derechos de usuario sean correctos
1 En el servidor de administración, abra una línea de comandos y escriba:
gpedit.msc
2 En el Editor de objetos de directiva de grupo, expanda Configuración delequipo > Configuración de Windows > Configuración de seguridad >Directivas locales.
3 Haga clic en Asignación de derechos de usuario.
4 En el panel derecho, haga doble clic en Ajustarlascuotasdelamemoriaparaun proceso.
5 En la ficha Configuración de seguridad local, verifique que SERVICIO DE REDesté incluido.
Si el botón Agregar usuario o grupo está deshabilitado, un objeto de directivade grupo (GPO) de dominio pudo haber bloqueado esta política. Es posibleque sea necesario evaluar los GPO del dominio para desbloquearlo.
6 Haga clic en Aceptar.
Para verificar que la configuración de la autenticación y el control de acceso seacorrecta.
1 En el servidor de administración, haga clic en Inicio > Herramientasadministrativas > Administrador de Internet Information Services (IIS).
2 Expanda el nombre de servidor y después expanda Sitios Web.
3 Haga clic con el botón secundario en Sitio Web predeterminado y haga clicen Propiedades.
4 En la ficha Seguridad de directorios, bajo Autenticación y control de acceso,haga clic en Editar.
39Solucionar problemas de comunicación con el servidor de administraciónConfigurar los derechos para IIS
5 Verifique que Habilitar el acceso anónimo esté activado.
6 Verifique que el nombre de usuario y la contraseña sean correctos.
7 Bajo Acceso autenticado, verifique que la configuración sea correcta.
8 Haga clic en Aceptar.
9 Haga clic en Aceptar.
Para verificar que la opción de comunicaciones seguras no esté seleccionada
1 En el servidor de administración, haga clic en Inicio > Herramientasadministrativas > Administrador de Internet Information Services (IIS).
2 Haga clic con el botón secundario en Sitio Web predeterminado y haga clicen Propiedades.
3 En la ficha Seguridad de directorios, bajo Comunicaciones seguras, haga clicen Editar.
4 Verifique que Requerir canal seguro (SSL) no esté activado.
5 Haga clic en Aceptar.
6 Haga clic en Aceptar.
Solucionar problemas de comunicación con el servidor de administraciónConfigurar los derechos para IIS
40
Solucionar problemascuando un cliente noactualiza el contenido
En este capítulo se incluyen los temas siguientes:
■ Acerca de solucionar problemas de actualización de contenido en clientes
■ Acerca de los tipos de contenido para Symantec Endpoint Protection
■ Acerca de determinar cómo configurar un cliente para recibir el contenido
■ Acerca de la conectividad de red y clientes
■ Acerca de comprobar el estado de conexión del cliente
■ Cerciorarse de que el cliente pueda comunicarse con su proveedor de contenido
■ Acerca de determinar si un cliente está recibiendo actualizaciones de contenidodesde el servidor de administración
■ Acerca de comparar el contenido en el cliente con el contenido en el servidorde administración
■ Comparar la memoria caché del contenido
■ Usar la consola de administración para comparar versiones de contenido
■ Ver las últimas descargas de LiveUpdate del servidor de administración
■ Comprobar la configuración de LiveUpdate en el servidor de administración
■ Comprobar la configuración de la política de contenido de LiveUpdate
■ Acerca de comprobar la política de configuración de LiveUpdate
3Capítulo
■ Ejecutar una sesión manual de LiveUpdate desde la consola de administración
■ Qué hacer si aún tiene problemas después de verificar la conectividad y laconfiguración de LiveUpdate
Acerca de solucionar problemas de actualización decontenido en clientes
LiveUpdate es el nombre de la tecnología que busca y distribuye actualizacionesde definiciones y contenido a los equipos cliente de Symantec Endpoint Protection.
El cliente puede recibir actualizaciones de contenido a través de varios proveedoresde contenido de LiveUpdate diferentes. Estos proveedores incluyen el propioservidor de administración, un proveedor de actualizaciones de grupo, un servidorinterno de LiveUpdate, Symantec LiveUpdate o una herramienta de administraciónde otro fabricante.
Si sospecha que un cliente no recibe actualizaciones de contenido, es posiblerealizar varias acciones de solución de problemas.
La Tabla 3-1 describe las acciones de solución de problemas y dónde encontrar lainformación sobre cómo realizar esas acciones.
Tabla 3-1 Acciones de la solución de problemas
Dónde encontrar la informaciónAcción
Ver "Acerca de determinar cómo configurarun cliente para recibir el contenido"en la página 44.
Determinar cómo configurar el cliente pararecibir el contenido.
Ver "Acerca de comprobar el estado deconexión del cliente" en la página 46.
Activar el estado de conexión del cliente.
Ver "Cerciorarse de que el cliente puedacomunicarse con su proveedor de contenido"en la página 47.
Asegurarse de que el cliente puedaestablecer una comunicación ping con suproveedor de contenido o de que el clientese conecte a Internet.
Ver "Acerca de determinar si un cliente estárecibiendo actualizaciones de contenido desdeel servidor de administración"en la página 48.
Determinar si un cliente está recibiendoactualizaciones desde el servidor deadministración.
Ver "Comprobar la configuración deLiveUpdate en el servidor de administración"en la página 51.
Comprobar la configuración de LiveUpdateen el servidor de administración.
Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de solucionar problemas de actualización de contenido en clientes
42
Dónde encontrar la informaciónAcción
Ver "Acerca de comprobar la política deconfiguración de LiveUpdate" en la página 53.
Ver "Comprobar la configuración de la políticade contenido de LiveUpdate" en la página 52.
Comprobar la configuración de política deLiveUpdate del cliente.
Ver "Ejecutar una sesión manual deLiveUpdate desde la consola deadministración" en la página 53.
Ejecutar una sesión manual de LiveUpdatedesde la consola de administración para versi el cliente recibe el contenido actualizado.
Ver "Qué hacer si aún tiene problemasdespués de verificar la conectividad y laconfiguración de LiveUpdate" en la página 54.
Si aún tiene problemas, compruebe losregistros de LiveUpdate en el cliente y enel servidor de administración. Tambiénpuede utilizar una herramienta dedepuración.
Acerca de los tipos de contenido para SymantecEndpoint Protection
Symantec Endpoint Protection utiliza varios tipos de contenido diferentes.
La Tabla 3-2 describe los tipos de contenido.
Tabla 3-2 Tipos de contenido
DescripciónTipo de contenido
Estas definiciones protegen contra ataques de virus y desoftware espía.
Definiciones de antivirus yde software espía
Estas firmas admiten el motor del antivirus y la proteccióncontra software espía, y se utilizan para descomprimir yleer los datos que se almacenan en varios formatos.
Firmas del descompresor
Estas firmas protegen el equipo de amenazas de ataque dedía cero.
Firmas heurísticas delanálisis de amenazasproactivo TruScan™
Estas listas de aplicaciones son las aplicaciones comercialeslegítimas que han generado falsos positivos en el pasado.
Lista de aplicacionescomerciales del análisis deamenazas proactivo TruScan
Estas firmas protegen el equipo de amenazas de red yadmiten los motores de prevención de intrusiones y dedetección.
Firmas de prevención deintrusiones
43Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de los tipos de contenido para Symantec Endpoint Protection
DescripciónTipo de contenido
Estas firmas controlan el flujo de envíos a Symantec SecurityResponse.
Firmas de control de envíos
Acerca dedeterminar cómoconfigurar un cliente pararecibir el contenido
Los clientes pueden recibir contenido a través de varios métodos diferentes.
Es posible determinar cómo configurar un cliente para recibir contenido de lassiguientes maneras:
■ Ver la configuración del servidor en la política de LiveUpdate del cliente en laconsola de administración.
■ Examinar las claves del registro de LiveUpdate en el cliente.
Nota: Para obtener más información sobre cómo es posible ver la configuracióndel servidor en la política de LiveUpdate del cliente, consulte la Guía deadministración para Symantec Endpoint Protection y Symantec Network AccessControl.
En el cliente, mire en el registro bajoHKEY_LOCAL_MACHINE\Software\Symantec\Symantec EndpointProtection\LiveUpdate.
Compruebe la configuración para las claves siguientes:
■ UseLiveUpdateServerSi esta clave se configura en 1, el cliente utiliza un servidor interno deLiveUpdate o Symantec LiveUpdate directamente.
■ UseManagementServerSi esta clave se configura en 1, el cliente utiliza el servidor de administración.
■ UseMasterClientSi esta clave se configura en 1, el cliente utiliza un proveedor de actualizacionesde grupo.
Si todavía no ha configurado clientes para recibir el contenido, sería recomendableque considere los requisitos de su red de seguridad.
Ver "Decidir cómo actualizar el contenido" en la página 77.
Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de determinar cómo configurar un cliente para recibir el contenido
44
Acerca de la conectividad de red y clientesSi un cliente no recibe actualizaciones de contenido, se debe primero comprobarsi hay problemas de conectividad. Los clientes pueden recibir contenido a travésde varios métodos diferentes. Es necesario asegurarse de que el cliente no tengaproblemas de conectividad que impidan actualizaciones de contenido.
Ver "Acerca de comprobar la comunicación entre el cliente y el servidor deadministración" en la página 26.
Tabla 3-3 Flujo de trabajo para solucionar problemas de conectividad
Qué comprobarCómo el cliente recibe el contenido
Compruebe el punto siguiente:
■ Conectividad entre el cliente y el servidorde administración.
Symantec Endpoint Protection Manager
Compruebe los puntos siguientes:
■ Conectividad entre el cliente y el proveedorde actualizaciones de grupo.
■ Conectividad entre el proveedor deactualizaciones de grupo y el servidor deadministración.
Proveedor de actualizaciones de grupo
Compruebe los puntos siguientes:
■ Conectividad entre el cliente y el servidorinterno de LiveUpdate.
■ Conectividad entre el servidor interno deLiveUpdate y Symantec LiveUpdate.
Servidor interno de LiveUpdate
Compruebe los puntos siguientes:
■ Asegúrese de que el cliente pueda acceder aInternet.
■ Compruebe la programación de LiveUpdateen la política del cliente.
Directamente a Symantec LiveUpdate
Consulte la documentación para el usuario y laGuía de instalación para Symantec EndpointProtection y Symantec Network Access Controlde su distribuidor. Usar una herramienta deadministración de otro fabricante necesitaestructuras de directorios específicas. Contacteel soporte técnico de Symantec si tieneproblemas.
Herramientas de administración de otrofabricante, tales como Microsoft SMS oIBM Tivoli
45Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de la conectividad de red y clientes
Acercade comprobar el estadode conexióndel clientePara recibir actualizaciones, el cliente debe conectarse a su proveedor de contenido.Es necesario comprobar que el cliente se conecte a su servidor de administración.En la consola de administración, en la página Clientes, bajo Ver clientes, seleccioneel grupo al que pertenece el cliente. Mire la ficha Clientes.
Las dos afirmaciones siguientes deben ser verdaderas:
■ El cliente aparece en la lista.
■ El icono al lado del nombre del cliente muestra un punto verde.
En algunos casos, el icono del cliente puede no aparecer con un punto verde, peroel cliente aún tiene conectividad al servidor de administración.
Ver "Acerca de comprobar la comunicación entre el cliente y el servidor deadministración" en la página 26.
Típicamente, si el cliente pierde conectividad con su servidor de administración,no puede recibir actualizaciones. En ciertas configuraciones, el cliente puederecibir actualizaciones de Symantec LiveUpdate o de un servidor interno deLiveUpdate.
En el equipo cliente es posible también verificar la conectividad y las fechasactuales de las definiciones del contenido.
Es posible comprobar los puntos siguientes en el equipo cliente:
■ En el área de notificación, en el equipo cliente, debe haber un icono amarillodel escudo con un punto verde.
■ En la ventana principal del cliente, aparecen las fechas actuales de la definicióndel contenido.
Además de problemas de conectividad, hay otras situaciones que pueden impedirque el cliente reciba actualizaciones. Éstas incluyen las situaciones siguientes:
■ El servidor o el equipo cliente no contiene el certificado raíz del grupo deservidores.
■ La configuración del firewall de Windows interfiere con la comunicación.
■ La configuración del firewall del cliente interfiere con la comunicación.
Para obtener más información sobre el certificado raíz del grupo de servidores ola configuración del firewall, consulte la Guía de administración para SymantecEndpoint Protection y Symantec Network Access Control.
Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de comprobar el estado de conexión del cliente
46
Cerciorarse de que el cliente pueda comunicarse consu proveedor de contenido
Debe asegurarse de que el cliente pueda comunicarse con su proveedor decontenido.
Si el cliente utiliza un proveedor de actualizaciones de grupo, asegúrese de queel proveedor de actualizaciones de grupo pueda comunicarse con el servidor deadministración.
Si el cliente obtiene el contenido directamente desde Symantec LiveUpdate,asegúrese de que el cliente pueda acceder a Internet.
Si utiliza un servidor interno de LiveUpdate, cerciórese de que lo que sigue seaverdad:
■ El servidor de administración tiene conectividad con el servidor interno deLiveUpdate.
■ El servidor interno de LiveUpdate tiene conectividad con Symantec LiveUpdate.
Para obtener más información sobre los servidores internos de LiveUpdate,consulte la Guía de administración de LiveUpdate.
Si el cliente no puede establecer una comunicación ping con el servidor deadministración, compruebe la existencia de cualquier problema de red. Verifiqueel servicio DNS para el cliente y compruebe su ruta de encaminamiento.
Ver "Acerca de comprobar la comunicación entre el cliente y el servidor deadministración" en la página 26.
Asegúrese de que el cliente pueda comunicarse con un servidor de administracióno con un proveedor de actualizaciones de grupo.
◆ En el cliente, abra una línea de comandos y establezca una comunicación pingcon el servidor de administración o con el proveedor de actualizaciones degrupo. Por ejemplo, escriba:
ping nombre
donde nombre es el nombre del equipo del servidor de administración o delproveedor de actualizaciones de grupo. El comando debe devolver la direcciónIP correcta al proveedor de actualizaciones de grupo o al servidor.
47Solucionar problemas cuando un cliente no actualiza el contenidoCerciorarse de que el cliente pueda comunicarse con su proveedor de contenido
Acerca de determinar si un cliente está recibiendoactualizaciones de contenido desde el servidor deadministración
Es posible comprobar qué equipos pueden no estar recibiendo actualmenteactualizaciones desde el servidor de administración.
Es posible realizar las siguientes comprobaciones:
■ Ejecutar el informe rápido de estado del equipo Equipos no registrados en elservidor para ver el estado de conexión. Puede configurar y ejecutar una versiónpersonalizada de este informe para ver los equipos en un grupo o sitiodeterminado. Los clientes no pueden recibir contenido si pierden conectividadcon el servidor de administración (a menos que estén configurados para extraeractualizaciones de Symantec LiveUpdate).
■ Vea el registro de Estado del equipo, que contiene la dirección IP y la hora dela última comprobación del equipo cliente. Además muestra la última fechade las definiciones.
La única manera de estar seguro de si los clientes están recibiendo actualizacioneses comprobar la versión del contenido en el servidor de administración. Se debeentonces compararla con la versión en el cliente.
Ver "Acerca de comparar el contenido en el cliente con el contenido en el servidorde administración" en la página 48.
Acerca de comparar el contenido en el cliente con elcontenido en el servidor de administración
Es posible comparar la versión de contenido en el cliente con la versión en elservidor de administración de las siguientes maneras:
■ Compruebe la memoria caché del contenido en el equipo cliente y compárelacon la memoria caché del contenido en el servidor de administración. Es posibleutilizar este método si desea comprobar el contenido en algunos clientes.Ver "Comparar la memoria caché del contenido" en la página 49.
■ En la consola de administración, ejecute los informes para comprobar lasversiones del contenido en los clientes. En Informes, bajo Informes rápidos,es posible seleccionar el tipo de informe Estado del equipo. A continuaciónejecute los informes Distribución de definiciones de virus y Versiones decontenido de protección. A continuación compruebe las descargas de
Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de determinar si un cliente está recibiendo actualizaciones de contenido desde el servidor de administración
48
LiveUpdate de estado en el servidor de administración. Utilice este método sidesea comprobar el contenido en varios clientes.Ver "Usar la consola de administración para comparar versiones de contenido"en la página 50.
Si el contenido en el cliente no coincide con el contenido en el servidor deadministración, es necesario comprobar la conectividad del cliente con la red. Sedebe además comprobar la comunicación del cliente con el servidor deadministración.
Comparar la memoria caché del contenidoEs posible comprobar la memoria caché del contenido en el equipo cliente ycompararla con el contenido en el servidor de administración.
Si el cliente recibe actualizaciones de contenido desde el servidor deadministración, las subcarpetas se crean en el cliente en la carpeta del producto.Las subcarpetas tienen fechas tales como 70827034. Los nombres de la subcarpetadeben ser iguales en el cliente y en el servidor si el cliente está recibiendoactualizaciones desde el servidor de administración.
Nota: Si el cliente recibe el contenido directamente de LiveUpdate, el contenidono se almacena en la memoria caché en la ubicación de carpeta del producto.
Comparar la memoria caché del contenido
1 En el equipo cliente, navegue a la carpeta siguiente:
\Archivos de programa\Symantec\Symantec EndpointProtection\ContentCache
2 En el servidor de administración, navegue a la carpeta del contenido. Por logeneral, es posible encontrar la carpeta en la ubicación siguiente:
\Archivos de programa\Symantec\Symantec Endpoint ProtectionManager\Inetpub\contenido
3 Compare las carpetas en la memoria caché del cliente con el contenido de lascarpetas en el servidor de administración. A continuación compare lassubcarpetas. Las carpetas deben coincidir si el cliente está recibiendo elcontenido del servidor de administración.
En el directorio de contenido del servidor de administración, es posible verel archivo ContentInfo.txt, que describe el nombre de los tipos de contenidoy las carpetas.
49Solucionar problemas cuando un cliente no actualiza el contenidoComparar la memoria caché del contenido
Usar la consola de administración para compararversiones de contenido
Es posible ver la información sobre el último contenido en el cliente ejecutandoinformes en la consola de administración. Es posible ejecutar el informeDistribución de definiciones de virus de Estado del equipo para ver las versionesde definiciones de virus en los clientes. Para otro contenido, es posible ejecutarel informe Versiones de contenido de protección de Estado del equipo. Estosinformes muestran las últimas versiones de contenido que se ejecutan en susclientes.
Para obtener más información sobre los informes, consulte la Guía deadministración para Symantec Endpoint Protection y Symantec Network AccessControl.
En la consola de administración, es posible ver el último contenido mediante lacomprobación de las últimas descargas de LiveUpdate. Es posible comparar larevisión que aparece en el cuadro de diálogo Mostrar descargas de LiveUpdatecon las versiones de contenido que aparecen en el informe.
Ver "Ver las últimas descargas de LiveUpdate del servidor de administración"en la página 51.
Usar la consola de administración para comparar versiones de contenido
1 En la consola de administración, en la página Informes, haga clic en Informesrápidos.
2 En la ficha Informes rápidos, en la lista desplegable Tipo de informe, hagaclic en Estado del equipo.
3 En la lista desplegable Seleccione un informe, haga clic en Distribución dedefiniciones de virus.
4 Seleccione cualquier configuración del filtro que se desee y después haga clicen Crear informe.
Mantenga el informe abierto.
5 En la consola de administración, navegue a la página Administrador yseleccione el sitio.
6 Bajo Tareas, haga clic en Mostrar descargas de LiveUpdate.
7 Compare la revisión de las definiciones del antivirus y del software espía conla revisión que aparece en el informe. Si el cliente está recibiendoactualizaciones, las revisiones deben coincidir.
Solucionar problemas cuando un cliente no actualiza el contenidoUsar la consola de administración para comparar versiones de contenido
50
Ver las últimas descargas de LiveUpdate del servidorde administración
Los clientes pueden no recibir el contenido de LiveUpdate si el servidor deadministración no recibe actualizaciones. El servidor de administración recibeactualizaciones directamente desde Symantec LiveUpdate (el métodopredeterminado) o desde un servidor interno de LiveUpdate que extrae el contenidodesde Symantec LiveUpdate.
En la consola de administración, es posible ver las descargas más recientes deLiveUpdate del servidor de administración.
El servidor recibe actualizaciones de Symantec LiveUpdate en ciertos intervalos.El intervalo predeterminado es cada cuatro horas. Es posible configurar laprogramación de la descarga mediante el cuadro de diálogo Propiedades del sitioen la ficha Administrador en la consola de administración.
Si el contenido que aparece en la lista en el servidor es anterior a lo esperado,compruebe el registro de LiveUpdate.
Ver "Ver el registro de LiveUpdate" en la página 54.
Se debe además comprobar la conexión a Symantec LiveUpdate o al servidorinterno de LiveUpdate.
Una vez que vea las últimas descargas de LiveUpdate, es posible comparar elcontenido con el contenido en los clientes.
Ver "Usar la consola de administración para comparar versiones de contenido"en la página 50.
Ver las últimas descargas de LiveUpdate del servidor de administración
1 En la consola de administración, en la página Administrador, haga clic enServidores.
2 Bajo Ver servidores, seleccione el sitio al cual el cliente pertenece.
3 Bajo Tareas, haga clic en Mostrar descargas de LiveUpdate.
Comprobar la configuración de LiveUpdate en elservidor de administración
La configuración de LiveUpdate para el sitio al cual el cliente pertenece debecoincidir con las configuraciones de la política de contenido de LiveUpdate delcliente.
51Solucionar problemas cuando un cliente no actualiza el contenidoVer las últimas descargas de LiveUpdate del servidor de administración
Comprobar la configuración de LiveUpdate en el servidor de administración
1 En la consola de administración, en la página Administrador, haga clic enServidores.
2 Bajo Ver servidores, seleccione el sitio al cual el cliente pertenece.
3 Bajo Tareas, haga clic en Editar propiedades del sitio.
4 En la ficha LiveUpdate, bajo Tipos de contenido para descargar, cercióresede que la lista de contenido coincida con la lista en la política de contenidode LiveUpdate.
Comprobar la configuración de la política decontenido de LiveUpdate
Asegúrese de que la configuración siguiente corresponde:
■ Los tipos de contenido que se especifican en el cuadro de diálogo Propiedadesdel sitio en la consola de administración.
■ Los tipos de contenido que se especifican en la política de LiveUpdate que elcliente utiliza.
Un cliente no recibe una actualización de contenido si las afirmaciones siguientesson verdaderas:
■ El tipo de contenido no se selecciona en el cuadro de diálogo Propiedades delsitio.
■ El tipo de contenido se selecciona en la política de LiveUpdate.
Típicamente, la política de contenido de LiveUpdate se debe configurar parautilizar el último contenido disponible. Si la política se configura para utilizar unarevisión específica, el contenido no se actualiza con ninguna otra revisión.
Comprobar la configuración de la política de contenido de LiveUpdate
1 En la consola de administración, haga clic en Políticas.
2 Bajo Ver políticas, haga clic en LiveUpdate.
3 En la ficha Contenido de LiveUpdate, seleccione la política que el clienteutiliza.
4 Bajo Tareas, haga clic en Editar la política.
5 En la página Definiciones de seguridad, compruebe lo siguiente:
■ Los tipos de contenido seleccionados deben coincidir con los tipos decontenido que usted especificó en el cuadro de diálogo Propiedades delsitio.
Solucionar problemas cuando un cliente no actualiza el contenidoComprobar la configuración de la política de contenido de LiveUpdate
52
■ Típicamente, es necesario seleccionar la opción Usarelúltimodisponiblepara cada tipo de contenido.En cambio, si hay una revisión seleccionada, el cliente recibe solamenteesa versión de contenido.
Acerca de comprobar la política de configuración deLiveUpdate
Es necesario comprobar las opciones de la política de configuración de LiveUpdatepara asegurarse de que no causen problemas con las actualizaciones.
La Tabla 3-4 describe las opciones de política de configuración de LiveUpdate.
Tabla 3-4 Opciones de la política de configuración de LiveUpdate
Qué considerarConfiguración depolíticas
Esta configuración debe ser activada de modo que los clientespuedan utilizar el servidor de administración para recibiractualizaciones de contenido. Si desactiva esta configuración,los clientes no pueden obtener actualizaciones de SymantecEndpoint Protection Manager.
Usar el servidor deadministraciónpredeterminado
Si habilita esta opción, es necesario utilizar la política deconfiguración de LiveUpdate para configurar una programación.Si no configura una programación, el cliente puede obtener elcontenido solamente desde una sesión manual de LiveUpdate.
Usar un servidor deLiveUpdate
Ejecutar una sesión manual de LiveUpdate desde laconsola de administración
Es posible ejecutar una sesión manual de LiveUpdate desde el servidor deadministración. Es posible utilizar el comando Actualizar contenido de la fichaClientes o es posible utilizar los registros en la página de supervisión.
Para obtener más información sobre cómo ejecutar una sesión manual deLiveUpdate, consulte laGuíadeadministraciónparaSymantecEndpointProtectiony Symantec Network Access Control.
Cuando se ejecuta una sesión manual de LiveUpdate, el cliente recibe el contenidodesde Symantec LiveUpdate; no recibe el contenido desde el servidor deadministración.
53Solucionar problemas cuando un cliente no actualiza el contenidoAcerca de comprobar la política de configuración de LiveUpdate
Nota:Una vez que ejecute una sesión manual de LiveUpdate, es necesario esperarhasta dos minutos. El cliente de Symantec Endpoint Protection realiza análisisde validación de contenido. Después de dos minutos, es posible comprobar si elcomando actualizó correctamente el cliente. Observe que la consola deadministración se actualiza automáticamente.
Es posible también ejecutar una sesión manual de LiveUpdate directamente desdeel cliente si la política de LiveUpdate permite que el cliente ejecute una sesiónmanual.
Para obtener más información, consulte laGuíadel clienteparaSymantecEndpointProtection y Symantec Network Access Control.
Ejecutar una sesión manual de LiveUpdate desde la consola de administración
1 En la consola de administración, en la página Clientes, bajo Ver clientes, hagaclic con el botón secundario en el cliente o grupo.
2 Realice una de las acciones siguientes:
■ Haga clic en Ejecutar comando en los clientes > Actualizar contenido.
■ Haga clic en Ejecutar comando en el grupo > Actualizar contenido.
3 En el cuadro de mensaje Actualizar contenido, haga clic en Sí.
4 En el cuadro de mensaje, haga clic en Aceptar.
Quéhacer si aún tieneproblemasdespuésde verificarla conectividad y la configuración de LiveUpdate
Es necesario consultar el registro de LiveUpdate en el servidor de administracióny el cliente. Es posible también crear un registro de las comunicaciones de sylinkentre el cliente y el servidor de administración. Es posible utilizar una aplicaciónde texto, como el Bloc de notas, para abrir los archivos de registro. Es posibletambién utilizar una herramienta de shareware, como DebugView, para mirar losmensajes de salida de depuración.
Ver el registro de LiveUpdateEs posible ver el registro de LiveUpdate en el cliente y el servidor deadministración.
Solucionar problemas cuando un cliente no actualiza el contenidoQué hacer si aún tiene problemas después de verificar la conectividad y la configuración de LiveUpdate
54
Ver el registro de LiveUpdate
1 En el equipo cliente o el servidor de administración, localice el registro en eldirectorio LiveUpdate.
Por ejemplo, vaya a la ubicación siguiente:
\Documents and Settings\All Users\ApplicationData\Symantec\LiveUpdate\Log.LiveUpdate
2 Busque el siguiente mensaje en el registro:
Progress Update: DOWNLOAD_FILE_START: URL: <url>/zip
La URL debe coincidir con la dirección prevista del servidor de LiveUpdate.
Si el cliente o el servidor de administración no se conectó con el servidor deLiveUpdate, se ve un error similar al siguiente:
Progress Update: HOST_SELECTION_ERROR:
Los mensajes además aparecen sobre los motivos posibles del error.
Acerca de ver el registro de depuración del clienteBusque el registro de depuración en el cliente. Es posible buscar el registro dedepuración de las maneras siguientes:
■ En el cliente, en el menú Ayuda y asistencia técnica, en el cuadro de diálogoSolución de problemas, puede hacer clic en Editar configuración del registrode depuración y escribir un nombre para el registro. Después puede hacer clicen Ver registro.
■ Es posible también utilizar la siguiente clave de registro para activar ladepuración en el cliente:HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC\smc_debuglog_on
Crear un registro de sylinkEl cliente y el servidor de administración utilizan Sylink.xml para comunicarse.Es posible vaciar todos los mensajes de comunicación de sylink a un archivo deregistro en el equipo cliente.
55Solucionar problemas cuando un cliente no actualiza el contenidoQué hacer si aún tiene problemas después de verificar la conectividad y la configuración de LiveUpdate
Crear un registro de sylink
1 En el equipo cliente, en el registro, bajoHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC\SYLINK\SyLink, agregue un valor de cadena que se llameDumpSylink.
2 Es necesario especificar la ubicación para el archivo de volcado (comoc:\sylink.log).
Es posible entonces ver el archivo Sylink.log en el equipo cliente.
Acerca de usar la herramienta DebugViewDebugView es una herramienta de shareware que es posible utilizar para ver lascadenas que se escriben en una secuencia de salida de depuración en el cliente.El archivo LiveUpdate binario, Sescu.exe, administra las actualizaciones decontenido, pero no escribe su propio archivo de registro. Es posible ver los mensajesde salida de depuración mediante la herramienta DebugView.
Cuando se ejecuta la herramienta, busque los siguientes mensajes:
■ QueryContentSeqData
■ ApplyContent
Si estos mensajes aparecen en el resultado, el cliente recibe el contenido desdeun servidor de administración, un proveedor de actualizaciones de grupo o unaherramienta de administración de otro fabricante.
Es posible descargar la herramienta de la siguiente URL:
http://www.microsoft.com/technet/sysinternals/utilities/debugview.mspx
Solucionar problemas cuando un cliente no actualiza el contenidoQué hacer si aún tiene problemas después de verificar la conectividad y la configuración de LiveUpdate
56
Configurar y administrarclientes móviles y clientesremotos
En este capítulo se incluyen los temas siguientes:
■ Acerca de clientes móviles y clientes remotos
■ Configurar los grupos y las ubicaciones
■ Acerca de las situaciones comunes de clientes móviles y clientes remotos
■ Acerca de los criterios del reconocimiento de la ubicación
■ Consolidar sus políticas de seguridad para los clientes remotos
■ Acerca de las notificaciones del cliente
■ Personalizar la configuración de administración del registro del cliente
■ Administrar el balanceo de carga y el uso móvil
■ Supervisar clientes remotos
Acerca de clientes móviles y clientes remotosLos trabajadores de hoy ya no están atados a una sola ubicación, porque losempleados trabajan cada vez más remotamente o en ubicaciones varias. Estasituación ha creado un tipo de cliente que es distinto a otros clientes en su red.Un cliente móvil se define como un cliente que se traslada físicamente de unaubicación a otra. Los empleados que viajan durante su trabajo típicamente utilizanestos equipos cliente. Tales equipos cliente se conectan a la red intermitentemente
4Capítulo
y están a menudo en un estado desconocido. Sus usuarios inician sesióntípicamente a través de una red privada virtual (VPN). Los clientes remotos sedefinen como clientes que se conectan siempre desde la misma ubicación, perono están situados físicamente dentro de la red corporativa. Los ejemplos típicosde clientes remotos son los empleados que trabajan desde sus hogares e iniciansesión a través de la VPN. Ambos tipos de clientes están sujetos a riesgos similaresy se deben tratar del mismo modo.
Los clientes móviles y los clientes remotos están en más peligro que los clientesque residen siempre dentro de su red corporativa. Los clientes móviles y los clientesremotos están fuera de la seguridad de sus defensas corporativas. Laadministración de estos clientes pone una carga adicional en los administradorespara mantener la seguridad de la red y de sus datos.
Es posible que tenga clientes móviles y clientes remotos en su red por un númerode diferentes motivos y puede ser que exhiban diferentes modelos del uso. Porejemplo, es posible tener algunos equipos internos que se muevan periódicamentefuera de su entorno corporativo. Es posible tener algún personal de ventas cuyosequipos nunca estén dentro de la red. Es posible tener algunos equipos clienteque necesiten conectarse a su red, pero están totalmente fuera de su controladministrativo. Por ejemplo, es posible permitir que clientes, contratistas,distribuidores o partners comerciales tengan un acceso limitado a su red. Es posibletener empleados que se conectan a la red corporativa usando sus propios equipospersonales.
Algunos usuarios móviles y usuarios remotos pueden tener una actitud menosrigurosa hacia la navegación de Internet de lo que sería deseable y, por lo tanto,exhiben un comportamiento de mayor riesgo. Los usuarios móviles y los usuariosremotos que no trabajan directamente para su negocio pueden no tener tantoconocimiento sobre la seguridad del equipo como sus empleados. Por ejemplo,puede ser que sea más probable que abran mensajes de correo electrónico oarchivos adjuntos de orígenes desconocidos mientras están en su red. Es probableque utilicen contraseñas débiles. Es más probable que los usuarios móviles y losusuarios remotos realicen cambios no autorizados o personalicen sus equipos.Por ejemplo, puede ser más probable que descarguen y utilicen una aplicaciónque no esté autorizada para uso corporativo. Los usuarios móviles y los usuariosremotos pueden estar tan concentrados en hacer su trabajo lo más rápidamenteposible que no piensan en la seguridad del equipo.
Porque se recomienda tratar clientes remotos y clientes móviles del mismo modo,nos referimos a ambos tipos de clientes como clientes remotos.
Configurar y administrar clientes móviles y clientes remotosAcerca de clientes móviles y clientes remotos
58
Configurar los grupos y las ubicacionesUna vez que determine los tipos de clientes remotos que tiene, sería recomendableque tome en consideración qué restricciones de seguridad aplicar. ¿Se debenaplicar las mismas restricciones a todos sus clientes remotos? La respuesta a estapregunta determina cuántos grupos y ubicaciones es necesario crear de modo quese puedan administrar lo más fácilmente posible. Ciertas opciones de seguridadde Symantec Endpoint Protection se asignan sobre una base de grupo y algunasson específicas de la ubicación. Se recomienda permitir el reconocimiento de laubicación para administrar clientes remotos.
La estructura de organización jerárquica de Symantec Endpoint Protection sebasa en grupos, usuarios y equipos. Se agregan ubicaciones dentro de un grupocuando es necesario personalizar cualquier configuración que sea específica dela ubicación.
La condición que se utiliza para definir una ubicación se puede basar en un númerode criterios, incluidos los puntos siguientes:
■ Direcciones IP
■ Direcciones del servidor WINS
■ Direcciones del servidor DHCP
■ Direcciones del servidor DNS
■ Conexiones de red
■ Módulos de plataforma de confianza
■ Otros criterios
Si se propone utilizar el tipo de conexión de red para identificar una ubicación,es necesario saber qué tipo es. Por ejemplo, la conexión de red puede ser unaconexión con Symantec Endpoint Protection Manager, una conexión de accesotelefónico o a una clase determinada de servidor VPN.
Cuando se crea una ubicación, se aplica al grupo que usted creó y a cualquiersubgrupo que herede de ese grupo. Se recomienda crear ubicaciones que cualquiercliente pueda utilizar en el nivel de grupo global. Se deben crear ubicacionesespecíficas de un grupo determinado en el nivel del subgrupo.
Cuanto más pequeño es el número de grupos y ubicaciones que usted cree, mássimple es administrar sus políticas de seguridad y configuración. El número dediferentes configuraciones de seguridad, configuraciones relacionadas conregistros, configuraciones de comunicaciones y de políticas que se quieran tenerdetermina cuántos grupos y ubicaciones se necesitan.
59Configurar y administrar clientes móviles y clientes remotosConfigurar los grupos y las ubicaciones
Algunas de las opciones de configuración que es posible personalizar para susclientes remotos son independientes de la ubicación. Estas opciones son heredadasdel grupo principal o se configuran independientemente para un grupo. Si creaun solo grupo para contener a todos los clientes remotos, después estaconfiguración independiente de la ubicación es igual para todos esos clientes.
La configuración siguiente es independiente de la ubicación:
■ Firma de prevenciones personalizadas contra intrusiones
■ Configuración de bloqueo del sistema
■ Configuración de la supervisión de la aplicación de red
■ Configuración de la política de contenidos de LiveUpdate
■ Configuración de registros del cliente
■ Configuración de las comunicaciones del servidor-cliente
■ Configuración relacionada con la seguridad general, incluidos reconocimientode la ubicación y protección contra intervenciones
Para personalizar cualquiera de estas configuraciones independientes de laubicación; por ejemplo, cómo se manejan los registros de los clientes, es necesariocrear grupos separados.
Para obtener información sobre cómo configurar grupos, consulte la Guía deadministración para Symantec Endpoint Protection y Symantec Network AccessControl.
Para obtener información sobre las opciones, consulte la ayuda contextual de laconsola.
Nota: Para personalizar la configuración para cualquier grupo con excepción delgrupo global, se debe además desactivar la herencia.
Algunas de las opciones de configuración que puede ser recomendable personalizarpara sus clientes remotos son específicas de la ubicación.
Las opciones siguientes son específicas de las ubicaciones:
■ El modo de control en el que los clientes ejecutan.
■ La lista de servidores de administración que los clientes utilizan.
■ El modo de descarga en el que los clientes ejecutan.
■ Si desea una lista de todas las aplicaciones que se ejecutan en los clientes quese recopilarán y se enviarán al servidor de administración.
■ Los intervalos de latidos que los clientes utilizan para las descargas.
Configurar y administrar clientes móviles y clientes remotosConfigurar los grupos y las ubicaciones
60
Como práctica recomendada, no es necesario permitir que los usuarios desactivenlas protecciones siguientes:
■ Auto-Protect
■ Análisis de amenazas proactivos TruScan
■ Protección contra intervenciones
■ Las normas de firewall que se han creado
Para obtener información sobre cómo configurar ubicaciones, consulte la GuíadeadministraciónparaSymantecEndpoint Protection ySymantecNetworkAccessControl.
Para obtener información sobre las opciones que es posible utilizar para configurarubicaciones, consulte la ayuda contextual de la consola.
Acercade las situaciones comunesde clientesmóvilesy clientes remotos
Si tiene clientes remotos, en el caso más simple, es una práctica común utilizarel grupo global y tres ubicaciones. Ésta es la situación uno.
Para administrar la seguridad de los clientes en esta situación, es posible crearlas ubicaciones siguientes bajo grupo global para utilizar:
■ Clientes de oficina que inician sesión en la oficina.
■ Clientes remotos que inician sesión en la red corporativa remotamente a travésde una VPN.
■ Clientes remotos que inician sesión en Internet remotamente, pero no a travésde una VPN.
Dado que la ubicación remota sin la conexión VPN es la menos segura, serecomienda siempre hacer que esta ubicación sea la ubicación predeterminada.
Nota: Si desactiva la herencia del grupo global y a continuación se agregan grupos,los grupos agregados no heredan las ubicaciones que se configuran para el grupoglobal.
En la situación dos, se utilizan las mismas dos ubicaciones remotas anteriores,pero se agregan dos ubicaciones de oficina, para un total de cuatro ubicaciones.Se tendrían las siguientes ubicaciones de oficina en la situación dos:
■ Clientes en la oficina que inician sesión a través de una conexión Ethernet.
61Configurar y administrar clientes móviles y clientes remotosAcerca de las situaciones comunes de clientes móviles y clientes remotos
■ Clientes en la oficina que inician sesión a través de una conexión inalámbrica.
Simplifica la administración para dejar a todos los clientes bajo el modo Controlde servidores predeterminado. Si desea un control granular sobre lo que puedeny no pueden hacer sus usuarios, un administrador experimentado puede utilizarun Control mixto. Una configuración de control mixto da al usuario final un ciertocontrol sobre las configuraciones de seguridad, pero es posible anular sus cambios,si es necesario. El control de clientes permite a los usuarios una latitud más ampliasobre lo que pueden hacer; lo que constituye un mayor riesgo a la seguridad de lared.
Sugerimos que se utilice el control de clientes solamente en las situacionessiguientes:
■ Si sus usuarios están bien informados sobre la seguridad del equipo.
■ Si tiene una razón de peso para utilizarla.
Acerca de los criterios del reconocimiento de laubicación
El reconocimiento de la ubicación ayuda a proteger su red. Con un reconocimientode la ubicación, establece criterios (condiciones) para activar un conmutador enuna nueva ubicación con diferente configuración de seguridad siempre que secumplan las condiciones. Las mejores políticas de seguridad que se deben aplicartípicamente dependen de dónde el cliente se encuentra cuando se conecta a la red.Cuando el reconocimiento de la ubicación está activo, se asegura de que se asignela política de seguridad más estricta a un cliente cuando es necesario. Serecomienda permitir el reconocimiento de la ubicación cuando se administranclientes remotos.
En la consola es posible agregar un grupo de condiciones a la ubicación de cadagrupo que selecciona automáticamente la política de seguridad correcta para unentorno de usuario. Estas condiciones se basan en información como laconfiguración de red del equipo desde el cual fue iniciada la solicitud de accesode red. Una dirección IP, una dirección MAC o la dirección de un servidor dedirectorios pueden también funcionar como condición.
Para obtener información sobre cómo habilitar y utilizar el reconocimiento de laubicación, consulte laGuíadeadministraciónparaSymantecEndpoint Protectiony Symantec Network Access Control.
Configurar y administrar clientes móviles y clientes remotosAcerca de los criterios del reconocimiento de la ubicación
62
Configurar condiciones de reconocimiento de la ubicación de laSituación uno
Las sugerencias siguientes representan las mejores prácticas para la Situaciónuno.
Configurar la ubicación de oficina para los clientes situados en la oficina
1 En la página Clientes, seleccione el grupo para el cual desee agregar unaubicación.
2 Bajo Tareas, haga clic en Agregar ubicación.
3 En el Asistente para agregar ubicaciones, haga clic en Siguiente.
4 Escriba un nombre para la ubicación y opcionalmente, agregue una descripciónde ella y después haga clic en Siguiente.
5 En el cuadro de lista, haga clic en Elclientepuedeconectarseconelservidorde administración en la lista y después haga clic en Siguiente.
6 Haga clic en Finalizar.
7 Bajo Tareas, haga clic en Administrar ubicaciones y después seleccione laubicación que usted creó.
8 Haga clic en Agregar y después en Criterios con relación Y.
9 En el cuadro de diálogo Especificar criterios de ubicación, en la lista Tipo,haga clic en Tipo de conexión de red.
10 Haga clic en Si el equipo cliente no utiliza el tipo de conexión de redespecificado a continuación.
11 En el cuadro de lista inferior, seleccione el nombre del cliente VPN que suorganización utiliza y después haga clic en Aceptar.
12 Haga clic en Aceptar para salir del cuadro de diálogo Administrar ubicaciones.
Configurar la ubicación remota para los clientes que inician sesión a través de unaVPN
1 En la página Clientes, seleccione el grupo para el cual desee agregar unaubicación.
2 Bajo Tareas, haga clic en Agregar ubicación.
3 En el Asistente para agregar ubicaciones, haga clic en Siguiente.
4 Escriba un nombre para la ubicación y opcionalmente, agregue una descripciónde ella y después haga clic en Siguiente.
5 En el cuadro de lista, haga clic en Tipo de conexión de red.
63Configurar y administrar clientes móviles y clientes remotosAcerca de los criterios del reconocimiento de la ubicación
6 En el cuadro de lista Tipo de conexión, seleccione el nombre del cliente VPNque su organización utiliza y después haga clic en Siguiente.
7 Haga clic en Finalizar.
8 Haga clic en Aceptar.
Configurar la ubicación remota para los clientes que no inician sesión a través deuna VPN
1 En la página Clientes, seleccione el grupo para el cual desee agregar unaubicación.
2 Bajo Tareas, haga clic en Agregar ubicación.
3 En el Asistente para agregar ubicaciones, haga clic en Siguiente.
4 Escriba un nombre para la ubicación y, opcionalmente, agregue unadescripción de ella y después haga clic en Siguiente.
5 En el cuadro de lista, deje No hay ninguna condición específica y acontinuación haga clic en Siguiente.
Usando esta configuración, las políticas de esta ubicación, que deben ser lasmás terminantes y seguras, se utilizan como políticas predeterminadas de laubicación.
6 Haga clic en Finalizar.
Configurar condiciones de reconocimiento de la ubicación de lasituación dos
En la situación dos, se utilizan las mismas dos ubicaciones remotas con las mismascondiciones que usted utilizó para la Situación uno. En vez de una sola ubicaciónde oficina, se utilizan dos ubicaciones de oficina, una para los clientes Ethernet yuna para los clientes de conexión inalámbrica.
Ver "Configurar condiciones de reconocimiento de la ubicación de la Situaciónuno" en la página 63.
Nota: Es posible tener algunos clientes que utilicen conexiones de Ethernet en laoficina mientras otros clientes en la oficina utilizan conexiones inalámbricas. Poreste motivo, usted configura la última condición en el procedimiento para losclientes inalámbricos en la oficina. Esta condición le permite crear una norma depolíticas de firewall de la ubicación de Ethernet para bloquear todo el tráficoinalámbrico cuando ambas clases de conexiones se utilizan simultáneamente.
Configurar y administrar clientes móviles y clientes remotosAcerca de los criterios del reconocimiento de la ubicación
64
Configurar la ubicación de oficina para los clientes que han iniciado sesión a travésde una conexión Ethernet
1 En la página Clientes, seleccione el grupo para el cual desee agregar unaubicación.
2 Bajo Tareas, haga clic en Agregar ubicación.
3 En el Asistente para agregar ubicaciones, haga clic en Siguiente.
4 Escriba un nombre para la ubicación y, opcionalmente, agregue unadescripción de ella y después haga clic en Siguiente.
5 En el cuadro de lista, seleccione El cliente puede conectarse con el servidorde administración y después haga clic en Siguiente.
6 Haga clic en Finalizar.
7 Haga clic en Aceptar.
8 Bajo Tareas, haga clic en Administrar ubicaciones y después seleccione laubicación que usted creó.
9 Haga clic en Agregar y después seleccione Criterios con relación Y.
10 En el cuadro de diálogo Especificar criterios de ubicación, en la lista Tipo,haga clic en Tipo de conexión de red.
11 Haga clic en Si el equipo cliente no utiliza el tipo de conexión de redespecificado a continuación.
12 En el cuadro de lista inferior, seleccione el nombre del cliente VPN que suorganización utiliza y después haga clic en Aceptar.
13 Haga clic en Agregar y después en Criterios con relación Y.
14 En el cuadro de diálogo Especificar criterios de ubicación, en la lista Tipo,haga clic en Tipo de conexión de red.
15 Haga clic en Sielequipoclienteutilizaeltipodeconexiónderedespecificadoa continuación.
16 En el cuadro de lista inferior, seleccione Ethernet y después haga clic enAceptar.
17 Haga clic en Aceptar para salir del cuadro de diálogo Administrar ubicaciones.
Configurar la ubicación de oficina para los clientes que han iniciado sesión a travésde una conexión inalámbrica
1 En la página Clientes, seleccione el grupo para el cual desee agregar unaubicación.
2 Bajo Tareas, haga clic en Agregar ubicación.
65Configurar y administrar clientes móviles y clientes remotosAcerca de los criterios del reconocimiento de la ubicación
3 En el Asistente para agregar ubicaciones, haga clic en Siguiente.
4 Escriba un nombre para la ubicación y, opcionalmente, agregue unadescripción de ella y después haga clic en Siguiente.
5 En el cuadro de lista, haga clic en Elclientepuedeconectarseconelservidorde administración y después en Siguiente.
6 Haga clic en Finalizar.
7 Haga clic en Aceptar.
8 Bajo Tareas, haga clic en Administrar ubicaciones y después seleccione laubicación que usted creó.
9 Haga clic en Agregar y después en Criterios con relación Y.
10 En el cuadro de diálogo Especificar criterios de ubicación, en la lista Tipo,haga clic en Tipo de conexión de red.
11 Haga clic en Si el equipo cliente no utiliza el tipo de conexión de redespecificado a continuación.
12 En el cuadro de lista inferior, seleccione el nombre del cliente VPN que suorganización utiliza y después haga clic en Aceptar.
13 Haga clic en Agregar y después en Criterios con relación Y.
14 En el cuadro de diálogo Especificar criterios de ubicación, en la lista Tipo,haga clic en Tipo de conexión de red.
15 Haga clic en Si el equipo cliente no utiliza el tipo de conexión de redespecificado a continuación.
16 En el cuadro de lista inferior, haga clic en Ethernet y después en Aceptar.
17 Haga clic en Agregar y después en Criterios con relación Y.
18 En el cuadro de diálogo Especificar criterios de ubicación, en la lista Tipo,haga clic en Tipo de conexión de red.
19 Haga clic en Sielequipoclienteutilizaeltipodeconexiónderedespecificadoa continuación.
20 En el cuadro de lista inferior, haga clic en Inalámbrica y después en Aceptar.
21 Haga clic en Aceptar para salir del cuadro de diálogo Administrar ubicaciones.
Configurar y administrar clientes móviles y clientes remotosAcerca de los criterios del reconocimiento de la ubicación
66
Consolidar suspolíticas de seguridadpara los clientesremotos
Cuando se administran usuarios remotos, se toma la forma de alguna de lassiguientes de posiciones:
■ Deje las políticas predeterminadas aplicadas, de modo que usted no impidaque los usuarios remotos utilicen sus equipos.
■ Consolide sus políticas de seguridad predeterminadas para proporcionar másprotección para su red, incluso si restringe lo que pueden hacer los usuariosremotos.
En la mayoría de las situaciones, se recomienda consolidar sus políticas deseguridad para los clientes remotos.
Las políticas se pueden crear como compartidas o no compartidas, y asignar agrupos o a ubicaciones. Una política compartida es una que se aplica a cualquiergrupo y ubicación, y puede ser heredada. Una política no compartida es una quese aplica solamente a una ubicación específica en un grupo. Típicamente, serecomienda crear políticas compartidas porque hace más fácil modificar laspolíticas en varios grupos y ubicaciones. Pero, cuando se necesitan políticas únicasy específicas de la ubicación, se necesita crearlas como políticas no compartidaso convertirlas a las políticas no compartidas.
Acerca de la configuración de las mejores prácticas para las políticasde firewall
Se recomienda para una política de firewall asignar las políticas de seguridad másestrictas a los clientes que inician sesión remotamente sin usar VPN. Laconfiguración siguiente se recomienda como mejor práctica para la política defirewall para la ubicación remota donde los usuarios inician sesión sin VPN:
■ Es posible habilitar la protección de NetBIOS en la configuración del tráficode la política.
Nota:No habilite la protección de NetBIOS para la ubicación en donde un clienteremoto ha iniciado sesión en la red corporativa a través de una VPN. Estanorma es apropiada solamente cuando clientes remotos se conectan a Internet,no a la red corporativa.
■ Para aumentar la seguridad, es posible también bloquear todo el tráfico localTCP en los puertos 135, 139 y 445 de NetBIOS.
67Configurar y administrar clientes móviles y clientes remotosConsolidar sus políticas de seguridad para los clientes remotos
La configuración siguiente se recomienda como mejor práctica para la política defirewall para la ubicación remota donde los usuarios inician sesión a través deuna VPN:
■ Deje como están todas las normas que bloquean el tráfico en todos losadaptadores. No modifique esas normas.
■ Deje como está la norma que permite el tráfico VPN en todos los adaptadores.No modifique esa norma.
■ Para todas las normas que utilicen la acción Permitir, modifique la columnaAdaptador de todos los adaptadores al nombre del adaptador VPN que se utiliza.
■ Habilite la norma que bloquea el resto del tráfico.
Nota: Es necesario realizar los tres últimos cambios si desea evitar la posibilidadde túnel dividido a través de la VPN.
Como mejor práctica para las políticas de firewall para las ubicaciones de la oficinaen donde los usuarios inician sesión a través de una conexión Ethernet o unaconexión inalámbrica, utilice sus políticas de firewall predeterminadas. Para laconexión inalámbrica, asegúrese de que la norma para permitir EAPOL inalámbricoesté habilitada. 802.1x utiliza Protocolo de autenticación extensible sobre LAN(EAPOL) para la autenticación de conexión.
Acerca de la configuración de las mejores prácticas para una políticaantivirus y contra software espía
La siguiente configuración de análisis de amenazas proactivo TruScan serecomienda como mejor práctica para su política antivirus y contra software espíapara la ubicación remota donde los usuarios inician sesión sin una VPN:
■ Configure el nivel de sensibilidad del análisis de amenazas proactivo de TruScanpara los caballos de Troya y los gusanos a un alto nivel de sensibilidad.
■ Configure las medidas que se toman cuando los caballos de Troya o los gusanosse detectan en Cuarentena o Finalizar.
■ Configure el nivel de sensibilidad para los registradores de pulsaciones en Alto.
■ Configure la medida que se toma cuando se detectan registradores depulsaciones en Cuarentena o Finalizar.
■ Si establece acciones para finalizar, modifique la configuración denotificaciones para notificar a los usuarios antes de que se detengan losprocesos y los servicios.
Configurar y administrar clientes móviles y clientes remotosConsolidar sus políticas de seguridad para los clientes remotos
68
■ Si no ejecuta típicamente un análisis de amenazas proactivo siempre que seinicie una nueva aplicación, es necesario ejecutar un análisis en ambasubicaciones remotas.
Ver "Acerca de administrar los análisis de amenazas proactivos TruScan"en la página 83.
Acerca de la configuración de las mejores prácticas para una políticade LiveUpdate
Si mantiene un control estricto sobre el contenido y las actualizaciones de productode Symantec para sus clientes, sería recomendable evaluar la posibilidad demodificar su política de LiveUpdate para los clientes remotos.
Para la ubicación remota en donde los usuarios inician sesión sin una VPN,sugerimos las mejores prácticas siguientes:
■ Modifique la configuración de la política de LiveUpdate para utilizar el servidorpredeterminado de Symantec LiveUpdate. Esta configuración permite que losclientes remotos se actualicen siempre que se conectan a Internet.
■ Modifique la configuración de frecuencia de la programación de LiveUpdatea una hora para hacer que sea más probable que los clientes actualicen suprotección cuando se conectan a Internet.
Para el resto de las ubicaciones, se recomienda utilizar Symantec EndpointProtection Manager para distribuir actualizaciones del software y del contenidodel producto. Un paquete de actualización distribuido a través de la consola deadministración es incremental, en lugar de un paquete completo. Los paquetesde actualización son más pequeños que los paquetes que se descargan directamentedel servidor de Symantec LiveUpdate.
Acerca de la configuración de las mejores prácticas para una políticade control de aplicaciones
Es posible también crear una política de control de aplicaciones para bloquearciertas aplicaciones o crear una que permita solamente ciertas aplicaciones. Siasigna una política de control de aplicaciones que bloquee o permita, es posibleefectuar un control más estricto sobre sus clientes móviles.
Acerca de las notificaciones del clientePara sus clientes remotos que no inician sesión sobre VPN, se recomienda activarlas notificaciones de los clientes para las situaciones siguientes:
69Configurar y administrar clientes móviles y clientes remotosAcerca de las notificaciones del cliente
■ Detecciones de intrusionesEs posible activar estas notificaciones mediante la opción específica de laubicación Control del servidor o Control mixto en la configuración de loscontroles de la interfaz de usuario del cliente.
■ Riesgos del antivirus y del software espíaEs posible activar estas notificaciones en la política antivirus y contra softwareespía.
Activar notificaciones ayuda a asegurarse de que los usuarios remotos seanconscientes de cuando ocurre un problema de seguridad.
Personalizar la configuración de administración delregistro del cliente
Es posible personalizar algunas de las opciones de configuración de administracióndel registro para los clientes remotos, especialmente si los clientes se desconectanpor muchos días. Es posible hacer uno o más de los cambios siguientes para reducirel uso del ancho de banda y la carga en sus servidores de administración:
■ Modifique la configuración del registro de clientes de modo que los clientesno carguen sus registros al servidor de administración.
■ Modifique la configuración del registro de clientes para cargar solamente losregistros de seguridad de los clientes.
■ Modifique la configuración del registro de clientes para conservar los registrospor un período más largo.
■ En su política antivirus y contra software espía específica de la ubicación, filtrelos eventos del registro para cargar solamente algunos eventos importantes.Puede ser recomendable ver solamente la información de la actualización dela definición, por ejemplo, o solamente los errores de la reparación del efectosecundario.
■ Si desea ver datos del evento del antivirus y del software espía de los registrosde estos clientes, modifique el tiempo de retención del registro a un períodomás largo.
Nota: Algunas opciones de configuración del registro del cliente son específicasdel grupo y algunas se configuran en la política antivirus y contra software espía,que se puede aplicar a una ubicación. Si desea que toda la configuración del registrodel cliente y del registro del cliente de oficina se diferencien, es necesario utilizarlos grupos en vez de las ubicaciones para administrar clientes remotos.
Configurar y administrar clientes móviles y clientes remotosPersonalizar la configuración de administración del registro del cliente
70
Administrar el balanceo de carga y el uso móvilSi tiene varios sitios, es posible utilizar DNS junto con una lista personalizada delservidor de administración para sus clientes remotos.
Es posible tomar las medidas siguientes para configurar su red para los clientesde uso móvil y para balancear la carga en sus servidores:
■ Configure sus servidores DNS según sea necesario para los centros de suorganización. Asegúrese de utilizar el mismo nombre de dominio en todos losservidores DNS. Cada servidor DNS debe ser configurado con la dirección IPdel servidor de administración más cercano.
■ Utilice Symantec Endpoint Protection Manager para construir una listapersonalizada del servidor de administración para sus clientes remotos. Estalista debe contener el nombre de dominio completo de sus servidores DNScomo su única entrada. Asigne esta lista al grupo que contiene sus ubicaciones.
Para obtener información sobre cómo crear y asignar una lista de servidores deadministración, consulte la Guía de administración para Symantec EndpointProtection y Symantec Network Access Control.
Supervisar clientes remotosLas notificaciones y los registros son esenciales para mantener un entorno seguro.Generalmente, es necesario supervisar sus clientes remotos de la misma maneraque se supervisa a sus otros clientes. Es necesario comprobar siempre si susprotecciones están actualizadas y si su red no está actualmente bajo ataque. Si sured está bajo ataque, deberá descubrir quién está detrás del ataque y cómo atacaron.
Incluso si se restringen algunos de los datos de registro de los clientes que losclientes móviles cargan, puede comprobar lo siguiente:
■ En la página principal, vea la Distribución de definiciones de virus y las Firmasde prevención de intrusiones, para ver el contenido actualizado.
■ En la página principal, vea el Resumen del estado, para ver si las proteccionesestán apagadas en los equipos.
■ En la página principal, vea los Riesgos por hora, los Ataques por hora y lasInfecciones por hora para ver si su red está bajo ataque.
■ Si la red está bajo ataque, en la ficha Resumen de supervisión, vea el resumende la protección contra amenazas de red, que muestra los principales destinosy orígenes de ataques.
Los datos en la página principal en las siguientes pantallas representan solamentea los clientes que se conectaron en las últimas 12 horas o 24 horas:
71Configurar y administrar clientes móviles y clientes remotosAdministrar el balanceo de carga y el uso móvil
■ Distribución de definiciones de virus
■ Firmas de prevención de intrusiones
■ Resumen del estado
Su configuración de preferencia de página principal determina el período para elcual Symantec Endpoint Protection Manager visualiza datos. Si tiene muchosclientes que estén frecuentemente desconectados, su mejor opción de supervisiónes ir a los registros y a los informes. En los registros y los informes, filtre los datospara incluir a clientes desconectados.
Configurar y administrar clientes móviles y clientes remotosSupervisar clientes remotos
72
Organizar SymantecEndpoint Protection:servidores, sitios yproveedores deactualizaciones de grupo
En este capítulo se incluyen los temas siguientes:
■ Acerca de la topología de la administración de Symantec Endpoint Protection
■ Factores de organización que se deben considerar
■ Decidir crear un sitio o varios sitios
■ Decidir cómo actualizar el contenido
■ Acerca de la alta disponibilidad y la conmutación por error
■ Acerca del balanceo de carga y el uso móvil
Acerca de la topología de la administración deSymantec Endpoint Protection
Un sitio es la unidad primaria de organización en la topología de la administraciónde Symantec Endpoint Protection. Un sitio incluye una base de datos, uno o másservidores de administración y clientes. La información del sitio puede serreproducida en varios sitios mediante los servidores de administración.
5Capítulo
Un servidor de administración ejecuta el software de Symantec Endpoint Protectionque se utiliza para administrar clientes, manejar políticas y supervisar e informarsobre la seguridad del punto final. La interfaz del servidor de administración esla consola de Symantec Endpoint Protection Manager. La consola se instala conel servidor de administración. Puede además ser instalada y ser utilizadaremotamente en cualquier equipo con conexión de red al servidor deadministración.
Es posible instalar la base de datos Sybase integrada de Symantec EndpointProtection, que es compatible con hasta 1000 clientes, o es posible utilizar unabase de datos externa de MS-SQL. Una base de datos externa de MS-SQL puedeadmitir datos para muchos clientes más. Es posible colocar sus servidores deadministración y servidores de bases de datos en diferentes ubicaciones. Esnecesario ser consciente, sin embargo, de que esta situación puede causarproblemas de rendimiento en algunas situaciones. Debe asegurarse de que setenga suficiente ancho de banda para admitir esta situación. Además, el servidorde administración y la base de datos deben estar conectados a través de una LAN,no una WAN.
Utilice las siguientes instrucciones de tamaño como recomendación:
■ Instalar la menor cantidad de sitios que sea posible, hasta un máximo de 20sitios.
■ Conectar hasta diez servidores de administración a una base de datos.
■ Conectar hasta 50 000 clientes a un servidor de administración.
Recomendamos que no exceda estas instrucciones en circunstancias típicas.
Si tiene un servidor de administración y más de 45 000 a 50 000 clientes, pero nodesea instalar otro servidor, o no puede hacerlo, la estrategia siguiente puedeayudar. La estrategia es agregar los servidores internos de LiveUpdate y losproveedores de actualizaciones de grupo para manejar las actualizaciones decontenido. Esta estrategia puede ayudar a aumentar el número de clientes que unservidor de administración pueda administrar.
Ver "Decidir cómo actualizar el contenido" en la página 77.
Nota: Todas estas sugerencias se presentan solamente como instruccionesgenerales. Se deben modificar como sea necesario para satisfacer las necesidadesde su organización.
Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoAcerca de la topología de la administración de Symantec Endpoint Protection
74
Factores de organización que se deben considerarSu arquitectura de red es lo más importante que debería tomar en consideraciónal diseñar su estructura de administración de Symantec Endpoint Protection. Losfactores específicos siguientes afectan al número de sitios, servidores deadministración y servidores o equipos de actualización de contenido que esnecesario utilizar:
■ El número de clientes en su organización.
■ El número de ubicaciones geográficas en su organización y el tipo de vínculosde comunicaciones entre ellos.
■ El número de divisiones funcionales o de grupos administrativos en suorganización.
■ El número de centros de datos en su organización.
■ Con qué frecuencia desea actualizar el contenido de seguridad.
■ Cuántos datos de registro de clientes es necesario conservar, cuánto tiempose necesita conservarlos y dónde deben ser almacenados.
■ Cualquier administración corporativa miscelánea y consideraciones deadministración de la seguridad de TI que son exclusivas de su organización
Decidir crear un sitio o varios sitiosUna pequeña empresa se define aquí como una que tiene menos de 100 clientes.Una empresa mediana tiene menos de 1000 clientes, y una empresa grande es unaorganización que contiene más de 1000 clientes.
La mayoría de las empresas de tamaño pequeño y mediano necesita solamenteun sitio para la administración central de su seguridad de red. Puesto que haysolamente una base de datos, todos los datos están centralmente localizados ydisponibles. Incluso una empresa grande con una sola ubicación geográfica ymenos de 45-50 000 clientes necesita típicamente solamente un sitio. Si necesitala funcionalidad de conmutación por error para su servidor de administración, esposible instalar dos o más servidores de administración. Para manejar clientesadicionales, lo único que es necesario agregar son más servidores deadministración.
Si también es necesario tener conmutación por error o alta disponibilidad parasu base de datos, es necesario agrupar sus bases de datos en clústeres.
Las empresas que son demasiado complejas para administrar centralmente puedenutilizar una arquitectura de administración distribuida con varios sitios. Esconveniente agregar un segundo sitio por un número de motivos. Un motivo
75Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoFactores de organización que se deben considerar
común es que se tenga un vínculo WAN lento entre dos ubicaciones físicas y sedesee reducir al mínimo el tráfico a través del vínculo. Si configura un segundositio con su propio servidor de administración, se evita todo el tráficoservidor-cliente de Symantec Endpoint Protection a través de ese vínculo lento.Otro motivo para agregar un segundo sitio es que tiene más de una ubicación delcentro de datos en su organización. Se recomienda configurar un sitio de SymantecEndpoint Protection para cada centro de datos. Un motivo adicional para agregarvarios sitios es si es necesario tener alta disponibilidad verdadera para su red deseguridad y datos relacionados con la seguridad.
Se recomienda no instalar más de 20 sitios de Symantec Endpoint Protection.
Los diseños siguientes son comunes en entornos de varios sitios:
■ Diseño distribuidoCon dos sitios o pocos sitios, cada sitio reproduce los grupos y las políticas,pero los registros y el contenido no se reproducen. En este modelo, losadministradores utilizan la consola para conectarse a un administrador en elsitio remoto para ver los informes para ese sitio. Recomendamos este diseñocuando no tiene una necesidad crítica de acceder a datos remotos.
■ Diseño centralizado del registroEn este diseño, todos los registros se remiten de los otros sitios a un sitiocentral. El sitio central actúa como el repositorio para los registros del restode los sitios. Recomendamos este diseño cuando se necesita la elaboración deinformes centralizada.Un cliente típico almacena aproximadamente un máximo de 800 KB de entradaspor día en la base de datos si todos los registros se cargan en el servidor deadministración. Este número de entradas asciende a 288 MB por cliente poraño. Para reducir esta cantidad, considere remitir solamente algunos registrosa sus servidores de administración, centrados en eventos de incidentes deseguridad. Los registros de los clientes completos permanecen disponibles enel cliente cuando usted los necesita para depurar problemas o para los exámenesforenses. En organizaciones grandes, sería recomendable que tome enconsideración la cantidad de espacio de almacenamiento antes de que decidaremitir grandes datos de tráfico desde los firewalls de los clientes.
■ Diseño de alta disponibilidadSi es necesario tener conmutación por error o alta disponibilidad para su redde seguridad, es necesario instalar varios sitios y además agrupar sus basesde datos en clústeres.
Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoDecidir crear un sitio o varios sitios
76
Decidir cómo actualizar el contenidoEl método predeterminado para el contenido y las actualizaciones del productoes que el servidor de administración obtenga actualizaciones desde el servidor deSymantec LiveUpdate. Después de que el servidor de administración obtenga lasactualizaciones, proporciona esas actualizaciones a sus clientes administrados.Este método frecuentemente se utiliza en organizaciones pequeñas o de tamañomediano.
Como alternativa, algunas empresas grandes utilizan uno o más servidores internosde LiveUpdate como puntos locales de distribución de la actualización paraaumentar el rendimiento.
Nota:El tamaño diario de actualización promedio para las definiciones de antivirusy de software espía está entre 70 KB y 150 KB de datos. Si los clientes de un sitiopueden descargar una actualización promedio en el plazo de una hora en el anchode banda disponible, usted probablemente no necesita un servidor interno deLiveUpdate.
Utilizar un servidor interno de LiveUpdate tiene las ventajas siguientes:
■ Si tiene más de un producto de Symantec, es posible utilizar un servidor internode LiveUpdate para actualizar centralmente todos sus productos de Symantec.
■ Puede aumentar el rendimiento reduciendo el tráfico a través de vínculos WAN.Solamente un servidor tiene que conectarse al servidor de SymantecLiveUpdate.
■ Proporciona control estricto sobre las versiones de las definiciones y elcontenido que se distribuye.
■ Puede reducir el número de sitios que se necesitan instalar y configurar.
■ Le permite conservar muchas diferentes versiones de definiciones y contenido.
Este método necesita que se instale una instancia de Administrador de LiveUpdateen un servidor local. Observe que Administrador de LiveUpdate no se debe instalaren el mismo equipo que un servidor de administración o en el servidor de base dedatos central.
Es posible configurar un servidor de Administrador de LiveUpdate para comprobarcontinuamente el servidor de LiveUpdate de Symantec en busca de nuevasdefiniciones y contenidos. Es posible configurar los servidores de administraciónen su red para comprobar los servidores internos de LiveUpdate en un intervalodeterminado. Cuando se utiliza un servidor interno de LiveUpdate, cuanto másfrecuentemente se actualiza, más pequeña es la carga útil de la actualización.
77Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoDecidir cómo actualizar el contenido
Para obtener información sobre cómo configurar un servidor interno deLiveUpdate, consulte la Guía de administración de LiveUpdate.
Además de utilizar un servidor o un servidor de administración interno deLiveUpdate, las empresas pueden querer considerar el uso de Proveedores deactualizaciones de grupo (GUP). Un GUP es un cliente que toma actualizacionesdel contenido del servidor de administración, almacena en la caché local y lasdistribuye a un grupo de otros clientes. Un GUP puede distribuir definiciones deantivirus y de software espía, firmas IPS y actualizaciones del motor de análisis.No almacena en la caché de la actualización de software. Cualquier cliente puedeactuar como GUP para un grupo de clientes, pero un GUP no debe servir a más de100 clientes. Si un GUP llega a estar no disponible, los clientes pueden descargarautomáticamente el contenido del servidor de administración. Cualquier escritorioo equipo portátil puede actuar como GUP. Sin embargo, se recomienda utilizarun equipo permanentemente disponible que tenga una dirección IP fija, como unservidor de archivos local.
Un GUP reduce la cantidad de tráfico que tiene que pasar a través del vínculo decomunicaciones del servidor de administración al cliente. El servidor descargasus actualizaciones solamente al GUP, que entonces pasa las actualizaciones a losotros clientes en su grupo.
Es conveniente considerar usar GUP para distribuir las actualizaciones decontenido por los siguientes motivos:
■ Tiene ubicaciones con pocos clientes como para garantizar la instalación deun sitio separado con su propia base de datos y servidor de administración.
■ Su arquitectura de red es tan compleja que puede necesitar más de 20 sitios.En esta situación, es posible utilizar GUP para ayudar a reducir el número desitios necesarios para la administración.
Observe que un GUP tiene las limitaciones siguientes:
■ Un GUP debe actualizar generalmente a no más de 100 clientes. Sin embargo,es posible supervisar el rendimiento para ver si su entorno es suficiente comopara permitir que un GUP proporcione servicio a más de 100 clientes.
■ Un GUP actualiza solamente las definiciones y el contenido; no descargaactualizaciones del producto.
■ Un GUP mantiene una memoria caché de hasta 100 archivos. Cualquier archivoque los clientes no hayan solicitado en los últimos siete días puede ser depurado.El GUP comprueba la existencia de archivos elegibles y los depura una vez porminuto.Si su memoria caché contiene 100 entradas, un GUP no intenta descargar másarchivos hasta que uno de los archivos se depure. Cuando ocurre esta situación,
Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoDecidir cómo actualizar el contenido
78
un GUP no sirve los archivos de la actualización y los clientes deben obtenerel contenido directamente del servidor de administración.
Para obtener información sobre el uso de GUP, consulte laGuíadeadministraciónpara Symantec Endpoint Protection y Symantec Network Access Control.
Acerca de la alta disponibilidad y la conmutación porerror
Para lograr la alta disponibilidad para Symantec Endpoint Protection, la base dedatos y el servidor de administración deben ser constantemente accesibles. Siutiliza una base de datos externa, se recomienda utilizar clústeres de altadisponibilidad para su base de datos o bases de datos. Si utiliza una base de datosintegrada, no hay manera de proporcionar alta disponibilidad verdadera para labase de datos.
Symantec Endpoint Protection, sin embargo, admite la configuración de replicaciónpara las bases de datos integradas y de Microsoft SQL Server. Las configuracionesde replicación a través de sitios se utilizan para la redundancia. Todos los datosa partir de una base de datos se reproducen periódicamente en otra base de datos.Si una base de datos falla, aún es posible administrar y controlar todos los clientesporque la segunda base de datos contiene la misma información de los clientes.
Cuando se seleccionan los elementos que desea replicar, es posible elegir registrosy paquetes. Los paquetes también incluyen actualizaciones de definiciones devirus, componentes de cliente y software de cliente. El tamaño de los paquetes ylas actualizaciones puede llegar a varios gigabytes de información si usted descargaactualizaciones en idiomas varios. Tenga en cuenta la cantidad de datos que ustedreplica cuando se seleccionan estas opciones, junto con el consumo de ancho debanda. Un paquete de cliente generalmente tiene 55-65 MB de tamaño cuandoestá comprimido.
Para proporcionar conmutación por error del servidor de administración, esnecesario configurar por lo menos dos servidores de administración para cadasitio y utilizar listas de servidores de administración.
Una lista de servidores de administración es una lista prioritaria de servidores deadministración que se asigna a un grupo de equipos cliente. Es posible instalarmás servidores de administración que son obligatorios para manejar sus clientespara proteger contra el error de un servidor de administración individual.
También es posible que desee considerar la conmutación por error para lasactualizaciones de contenido, si se propone utilizar los servidores locales. Todoslos componentes que ejecutan LiveUpdate pueden además utilizar una listaprioritaria de orígenes de la actualización. Sus servidores de administración
79Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoAcerca de la alta disponibilidad y la conmutación por error
pueden utilizar un servidor local de LiveUpdate y una conmutación por error alos servidores de LiveUpdate en otras ubicaciones físicas.
Nota: Utilizar servidores internos de LiveUpdate, GUP y replicación del sitio noproporciona alta disponibilidad verdadera, conmutación por error, recuperacióndespués de un desastre o funciones verdaderas del balanceo de carga.
Acerca del balanceo de carga y el uso móvilNo es necesario configurar varios sitios para intentar balancear la carga del clientede Symantec Endpoint Protection. Se recomienda agregar los servidores deadministración a un sitio y utilizar la función de la lista de servidores deadministración para distribuir automáticamente la carga entre ellos. En una listapersonalizada del servidor de administración, asignan cada servidor a un nivelde prioridad. Un cliente que viene en la red selecciona un servidor de prioridadpara conectarse al azar. Si el primer servidor que intenta no está disponible y hayotros servidores de prioridad en la lista, intenta aleatoriamente conectarse a otro.Si ningún servidor de prioridad está disponible, el cliente intenta conectarse auno de los dos servidores de prioridad en la lista. Este método de distribuir lasconexiones de los clientes distribuye aleatoriamente la carga del cliente entre susservidores de administración.
Las siguientes opciones están disponibles para el balanceo de carga y el uso móvil:
■ Para proporcionar el balanceo de carga y el uso móvil, active el DNS y pongaun nombre de dominio como la única entrada en una lista personalizada delservidor de administración.
■ Para proporcionar el balanceo de carga y el uso móvil, active la función dereconocimiento de la ubicación de Symantec Endpoint Protection y utilice unalista personalizada del servidor de administración para cada ubicación. Creepor lo menos una ubicación para cada uno de sus sitios.
■ Utilice un dispositivo de hardware que proporcione conmutación por error obalanceo de carga. Muchos de estos dispositivos además ofrecen un programade instalación para uso móvil.
Organizar Symantec Endpoint Protection: servidores, sitios y proveedores de actualizaciones de grupoAcerca del balanceo de carga y el uso móvil
80
Mejores prácticas para laseguridad general
■ Administrar análisis de amenazas proactivos TruScan
2Sección
82
Administrar análisis deamenazas proactivosTruScan
En este capítulo se incluyen los temas siguientes:
■ Acerca de administrar los análisis de amenazas proactivos TruScan
■ Supervisar los eventos de análisis
■ Crear excepciones para los procesos detectados
■ Ajustar la configuración del análisis
Acerca de administrar los análisis de amenazasproactivos TruScan
Es posible administrar los análisis de amenazas proactivos TruScan usando dosdiferentes enfoques de implementación. Cada enfoque ofrece ventajas que serelacionan con su tamaño de red, las funciones de seguridad y la carga de trabajoque el personal de soporte técnico enfrenta.
Los dos enfoques de implementación incluyen:
■ Usar la configuración predeterminada de Symantec.La configuración predeterminada de Symantec proporciona un alto nivel deprotección y necesita un bajo grado de administración. Cuando instale SymantecEndpoint Protection Manager por primera vez, utilice las configuracionespredeterminadas.
■ Ajustar las opciones predeterminadas.
6Capítulo
Utilice las opciones predeterminadas de Symantec durante las primeras dosa cuatro semanas una vez que configure el servidor de administración. Despuésdel período de adaptación inicial durante el cual se familiarizará con latecnología, puede necesitar más control. Si utiliza este enfoque, ajuste la acciónde detección y el nivel de sensibilidad usted mismo.
Con cualquier enfoque, es posible que sea necesario administrar los eventos paradeterminar qué procesos detectados deben ejecutarse en los equipos cliente.
Acerca de administrar excepcionesIndependientemente de si se utiliza la configuración predeterminada de Symantec,es posible que sea necesario administrar las excepciones para las aplicacionesmaliciosas, las aplicaciones legítimas o ambas. Incluso cuando el motor de análisisutiliza las opciones predeterminadas, el motor registra de vez en cuando procesoslegítimos en vez de omitirlos. Es necesario crear excepciones para los procesoslegítimos de modo que un análisis los omita. Si configura las opcionespredeterminadas, es necesario crear excepciones de modo que el motor de análisisponga en cuarentena o termine las aplicaciones maliciosas y omita las aplicacioneslegítimas.
Si utiliza la configuración predeterminada de Symantec, utilice los pasos siguientes:
■ Supervise los eventos de análisis.Utilice el registro del análisis de amenazas proactivo TruScan para determinarqué procesos son legítimos.Ver "Supervisar los eventos de análisis" en la página 85.
■ Cree las excepciones para los procesos legítimos detectados en una política deexcepciones centralizada.Una vez que determine cuáles son los procesos legítimos, agréguelos a unapolítica de excepciones centralizada y modifique la acción de detección a Omitir.La próxima vez que el motor de análisis se ejecute, omitirá estos procesos.Ver "Crear excepciones para los procesos detectados" en la página 87.
Si no utiliza la configuración predeterminada de Symantec, utilice los pasossiguientes:
■ Ajuste la acción y el nivel de sensibilidad para los caballos de Troya, gusanosy registradores de pulsaciones.Ver "Ajustar la configuración del análisis" en la página 89.
■ Supervise los eventos de análisis.Utilice el registro del análisis de amenazas proactivo TruScan para determinarqué procesos detectados son legítimos y qué procesos detectados son riesgosde seguridad. Una vez que modifique una configuración de análisis, es necesariover el registro del análisis de amenazas proactivo TruScan. El registro le
Administrar análisis de amenazas proactivos TruScanAcerca de administrar los análisis de amenazas proactivos TruScan
84
muestra cómo el cambio afectó el número de procesos legítimos y riesgos deseguridad.Ver "Supervisar los eventos de análisis" en la página 85.
■ Cree las excepciones para los procesos legítimos detectados y los riesgos deseguridad en una política de excepciones centralizada.Una vez que identifique los procesos legítimos y los riesgos de seguridad,agréguelos a una política de excepciones centralizada. A medida que se creauna política de excepciones centralizada con una lista de los procesos legítimos,la cantidad de procesos legítimos registrados como riesgos potenciales por elmotor de análisis disminuye.Ver "Crear excepciones para los procesos detectados" en la página 87.
Supervisar los eventos de análisisEl cliente recopila y carga los resultados de detección del análisis al servidor deadministración. Los resultados se guardan en el registro del análisis de amenazasproactivo TruScan. Para determinar qué procesos son legítimos y cuáles sonriesgos de seguridad, observe las columnas siguientes en el registro:
El tipo de evento y la acción que el cliente ha tomado sobre elproceso, como limpiarlo o registrarlo. Busque los tipos de eventosiguientes:
■ Un posible proceso legítimo se enumera como evento de Riesgopotencial detectado.
■ Un probable riesgo de seguridad se enumera como evento deRiesgo de seguridad detectado.
Evento
El nombre del proceso.Aplicación
El tipo de software malicioso, como caballo de Troya, gusano,registrador de pulsaciones o aplicación comercial.
Tipo de aplicación
El nombre de la ruta de donde se ejecutó el proceso.Archivo o ruta deacceso
La columna Evento indica de forma inmediata si un proceso detectado es un riesgode seguridad o un posible proceso legítimo. Sin embargo, un riesgo potencial quese encuentra puede ser un proceso legítimo o no serlo, y un riesgo de seguridadque se encuentra puede ser un proceso malicioso o no serlo. Por lo tanto, esnecesario consultar las columnas Tipo de aplicación y Archivo o ruta de accesopara obtener más información. Por ejemplo, es posible que reconozca el nombrede aplicación de una aplicación legítima que otro fabricante ha desarrollado.
Ver "Crear excepciones para los procesos detectados" en la página 87.
85Administrar análisis de amenazas proactivos TruScanSupervisar los eventos de análisis
Supervisar los eventos de análisis
1 En la consola, haga clic en Supervisión > Registros.
2 En la ficha Registros, en la lista desplegable Tipo de registro, haga clic enAnálisis de amenazas proactivo TruScan.
3 Seleccione el período del cuadro de lista Intervalo de tiempo más cercano ala última modificación de una configuración del análisis.
4 Haga clic en Opciones avanzadas.
5 En la lista desplegable Tipodeevento, seleccione uno de los siguientes eventosde registro:
■ Para ver todos los procesos detectados, asegúrese de que Todos estéseleccionado.
■ Para ver los procesos que se han evaluado como riesgos de seguridad, hagaclic en Riesgo de seguridad detectado.
■ Para ver los procesos que se han evaluado y se han registrado como riesgospotenciales, haga clic en Riesgo potencial detectado.
6 Haga clic en Ver registro.
Administrar análisis de amenazas proactivos TruScanSupervisar los eventos de análisis
86
7 Una vez que identifique las aplicaciones legítimas y los riesgos de seguridad,cree una excepción para ellas en una política de excepciones centralizada.
Es posible crear la excepción directamente desde el panel Análisis de amenazasproactivo TruScan.
Crear excepciones para los procesos detectadosLas excepciones del análisis de amenazas proactivo TruScan especifican unarespuesta diferente de la que un análisis utilizaría normalmente cuando detectaun proceso. Si un análisis detecta un proceso que coincide con una excepción, elmotor realiza la acción que la excepción define. Por ejemplo, si el análisis registrauna aplicación legítima que se llama procesoválido.exe, es posible crear unaexcepción de modo que el análisis omita procesoválido.exe.
Cuando se agregan excepciones para los procesos detectados, las excepciones seagregan a una política de excepciones centralizada para un grupo específico o unaubicación dentro de un grupo. Es posible primero crear un grupo que utilice unapolítica de excepciones centralizada específica. Por ejemplo, para que los equiposcliente del grupo A ejecuten una aplicación personalizada que el análisis pudohaber puesto en cuarentena, es posible crear una excepción para omitir laaplicación. A continuación, es posible asignar la política de excepcionescentralizada con esta excepción al grupo A. Cada vez que los usuarios del grupoA ejecutan la aplicación, el motor de análisis la omite.
Si no utiliza la configuración predeterminada, es posible configurar la acción paralos caballos de Troya, los gusanos y los registradores de pulsaciones en Registrar,en la política antivirus y contra software espía. A continuación, es posible utilizarlas instrucciones siguientes para crear excepciones:
■ Para los riesgos de seguridad, se modifica la acción a Cuarentena o a Finalizar.Puede también poner en cuarentena un proceso que puede no ser maliciosopero que no desea que los usuarios ejecuten.
■ Para los procesos legítimos, se modifica la acción a Omitir.Puede también permitir registradores de pulsaciones comerciales determinados.
■ Para los riesgos desconocidos, usted no crea una excepción porque es necesarioque el motor de análisis continúe registrando el evento. Si aún no puededeterminar si un riesgo desconocido es malicioso o legítimo, es posiblecontinuar registrando y observando el proceso. Es posible realizar unseguimiento de la frecuencia con la que el cliente detecta este proceso. Sieventualmente detecta que el proceso es legítimo, es posible crear unaexcepción y modificar la acción a Omitir.
87Administrar análisis de amenazas proactivos TruScanCrear excepciones para los procesos detectados
Nota:Es posible crear excepciones solamente para los procesos que no se incluyenen la lista blanca definida por Symantec de procesos y aplicaciones conocidos.
Para obtener más información sobre cómo agregar procesos a una política deexcepciones centralizada, consulte la Guía de administración para SymantecEndpoint Protection y Symantec Network Access Control.
Crear excepciones para los procesos detectados
1 En el panel Registros del análisis de amenazas proactivo TruScan, seleccioneuno o más eventos para los cuales desee crear una excepción centralizada.
Ver "Supervisar los eventos de análisis" en la página 85.
2 En la lista desplegable Acción, asegúrese de que esté seleccionada Agregarproceso a la política de excepciones centralizada.
3 Haga clic en Iniciar.
4 En el cuadro de diálogo Agregar excepción centralizada de proceso, en la listadesplegable Respuesta, seleccione una de las siguientes acciones para elproceso.
■ Para un proceso legítimo, haga clic en Omitir.
■ Para un riesgo de seguridad, seleccione Cuarentena o Finalizar.
Administrar análisis de amenazas proactivos TruScanCrear excepciones para los procesos detectados
88
5 Seleccione las políticas de excepciones centralizadas que incluirán estaexcepción.
6 Haga clic en Aceptar.
Ajustar la configuración del análisisSi utiliza la configuración predeterminada de Symantec para administrar lasdetecciones, el software de cliente determina la acción y el nivel de sensibilidad.El motor de análisis que se ejecuta en el equipo cliente automáticamente pone encuarentena los riesgos de seguridad y registra riesgos potenciales y riesgosdesconocidos.
Si no utiliza la configuración predeterminada de Symantec, es posible configurarsolamente una acción de respuesta para las detecciones, independientemente desi son riesgos. Por ejemplo, un análisis puede poner en cuarentena todos losprocesos detectados o registrar todos los procesos detectados, pero no ambos. Seajusta la configuración del análisis en la política antivirus y contra software espía.
La Tabla 6-1 describe las instrucciones que se utilizan para ajustar la acción dedetección, la sensibilidad y, opcionalmente, la frecuencia del análisis.
Tabla 6-1 Opciones de análisis
DescripciónOpción
Como mejor práctica, cuando comience a administrar los análisis usted mismo,configure la acción a Registrar. Esto significa que ni los riesgos de seguridadni los procesos legítimos utilizan la acción que usted desea, en última instancia.Necesita que los análisis pongan en cuarentena o terminen los riesgos deseguridad y omitan los procesos legítimos.
Por lo tanto, es necesario crear excepciones para todas estas detecciones. Lasexcepciones definen el proceso y la acción que se toma cuando un análisisdetecta un proceso especificado.
Ver "Crear excepciones para los procesos detectados" en la página 87.
Nota: Cuando se configura inicialmente Symantec Endpoint ProtectionManager, las aplicaciones comerciales utilizan la acción de respuesta Registrar.Con esta acción, es posible ver muchas detecciones de aplicaciones comercialesen el registro del análisis de amenazas proactivo TruScan, lo que puede resultarabrumador para los usuarios. Por lo tanto, es posible deshabilitar la funciónMostrar un mensaje cuando se produzca una detección en la fichaNotificaciones.
Ver "Supervisar los eventos de análisis" en la página 85.
Acción
89Administrar análisis de amenazas proactivos TruScanAjustar la configuración del análisis
DescripciónOpción
Sensibilidad
Administrar análisis de amenazas proactivos TruScanAjustar la configuración del análisis
90
DescripciónOpción
Cuando ajuste por primera vez el nivel de sensibilidad para caballos de Troyay gusanos, configure el nivel de sensibilidad a 10. Cuando el nivel desensibilidad es bajo, los análisis detectan menos procesos que con un nivel desensibilidad superior. El índice de procesos legítimos que se registran comoriesgos potenciales es bajo. Una vez que ejecute el nivel de sensibilidad en 10por algunos días y supervise el registro para detectar cualquier aplicaciónlegítima, es posible elevar el nivel de sensibilidad a 20. Durante un período de60 a 90 días, es posible aumentar gradualmente el nivel de sensibilidad enincrementos de 10 unidades hasta 100. Para la protección máxima, deje elnivel de sensibilidad en 100.
Usando este enfoque de adaptación gradual, no se abruma a los usuarios enlos equipos cliente con notificaciones de detección tan pronto como seimplemente el cliente. En cambio, es posible asignar un tiempo para supervisarel aumento en las notificaciones en cada nivel. Es posible también deshabilitarlas notificaciones de detección.
Para los registradores de pulsaciones, inicie el nivel de sensibilidad en Bajo.
A medida que aumenta el nivel de sensibilidad, se detectan más procesos,maliciosos y legítimos. El nivel de sensibilidad no afecta notablemente el índicede procesos legítimos registrados. Un alto nivel de sensibilidad significa queun análisis marca una alta cantidad de procesos que son riesgos de seguridad,además de procesos legítimos. Pero la relación entre los procesos legítimos ylos procesos maliciosos permanece casi constante, a pesar del nivel desensibilidad. Además, el nivel de sensibilidad no indica el nivel de certezaasociado con una detección. Por ejemplo, un análisis puede detectar un procesoen el nivel de sensibilidad 10 y detectar otro proceso en el nivel de sensibilidad90. Pero el nivel de sensibilidad no significa que un proceso sea una mayoramenaza que el otro.
Una vez que modifique el nivel de sensibilidad de los análisis, utilice el registrodel análisis de amenazas proactivo TruScan para determinar si el nivel desensibilidad es demasiado bajo o demasiado alto. Si el cliente registrademasiados procesos legítimos como riesgos de seguridad, es posible configurarun nivel de sensibilidad más bajo hasta que se tenga tiempo para crear lasexcepciones centralizadas para los procesos legítimos.
Ver "Supervisar los eventos de análisis" en la página 85.
Una vez que haya configurado el nivel de sensibilidad correcto, busque losprocesos legítimos y agréguelos a una política de excepciones centralizada. Acontinuación, aumente la sensibilidad.
Ver "Crear excepciones para los procesos detectados" en la página 87.
Nota: Una vez que haya agregado todas las excepciones a una política deexcepciones centralizada, es probable que cualquier nueva detección sea unriesgo de seguridad. Para mayor seguridad, es posible modificar la acción de
91Administrar análisis de amenazas proactivos TruScanAjustar la configuración del análisis
DescripciónOpción
respuesta para todos los procesos de nuevo a Cuarentena o a Finalizar. Continúesupervisando el registro del análisis de amenazas proactivo TruScan en casode que el análisis detecte y ponga en cuarentena nuevas aplicaciones legítimas.
La frecuencia predeterminada para los análisis es de una hora. Si el rendimientode los equipos cliente llega a ser demasiado lento, disminuya la frecuencia delanálisis.
Frecuenciadelanálisis
Ajustar la configuración del análisis
1 En la consola, haga clic en Políticas>Antivirusyproteccióncontrasoftwareespía y después abra una política antivirus y contra software espía existente.
2 En la página Política antivirus y contra software espía, haga clic en Análisisde amenazas proactivo TruScan.
3 En la ficha Detalles del análisis, bajo Análisis, asegúrese de activar AnalizarenbuscadecaballosdeTroyaygusanos y Analizarenbuscaderegistradoresde pulsaciones.
4 Para cualquier tipo de riesgo, desactive Usar los valores definidos porSymantec.
5 Para cualquier tipo de riesgo, configure la acción a Registrar.
6 Realice una de las acciones siguientes:
Administrar análisis de amenazas proactivos TruScanAjustar la configuración del análisis
92
■ Para los registradores de pulsaciones, haga clic en Bajo.
■ Para los caballos de Troya y los gusanos, mueva el control deslizante haciala derecha hasta la segunda marca, que es 10.
7 Opcionalmente, en la ficha Frecuencia del análisis, bajo Frecuencia del análisis,haga clic en Con una frecuencia personalizada de análisis y especifique unintervalo de tiempo.
8 Haga clic en Aceptar.
93Administrar análisis de amenazas proactivos TruScanAjustar la configuración del análisis
Administrar análisis de amenazas proactivos TruScanAjustar la configuración del análisis
94
Aactualizaciones. Ver actualizaciones de contenidoactualizaciones de contenido
conectividad de red 45determinar cómo configurar un cliente para
recibir 44solucionar problemas 42
administrar los análisis de amenazas proactivosTruScan 83
análisis. Ver TruScananálisis de amenazas proactivo. Ver Análisis de
amenazas proactivo TruScananálisis de amenazas proactivo TruScan
administrar excepciones 84, 87ajustar la configuración 89elegir un enfoque de administración 83supervisar eventos de análisis 85
Bbalanceo de carga y uso móvil 71, 80bases de datos
disponibilidad 79externas 73integradas 73
Ccaballos de Troya, gusanos y registradores de
pulsacionesajustar la configuración 89
clientes móvilesdefinición 57
clientes remotosdefinición 57supervisar 71
comunicaciónproblemas con el servidor de administración 26problemas con el servidor y la consola o la base
de datos 27problemas entre el cliente y el servidor 26
conectividadcomunicación entre el cliente y el servidor 26con IIS 38ejecutar una actualización de políticas
manual 32establecer una comunicación ping para
probar 33usar el comando telnet para probar 34usar un navegador para probar 33verificar la comunicación con la base de datos 36
conexión del clientecomprobar estado 46icono de estado 30
conmutación por error 79contenido
comparar en el cliente y en el servidor 48comparar versiones 50determinar cómo un cliente recibe 44determinar que un cliente no recibe 48tipos de 43
Ddefiniciones
actualización 77depurar registros. Ver registros
herramienta DebugView 56disponibilidad
para las bases de datos y los servidores deadministración 79
Eexcepciones centralizadas
para análisis de amenazas proactivos 87
Ggrupos
configurar clientes remotos 59
Hherencia 60–61
Índice
Iicono de estado 30, 46. Ver conexión del cliente
LLiveUpdate
comprobar la configuración en el servidor deadministración 51
comprobar la política de configuración 53comprobar la política de contenido 52ejecutar una sesión manual 53servidor interno 77ver últimas descargas del servidor de
administración 51
Mmemoria caché del contenido 49
Nnotificaciones
análisis de amenazas proactivo TruScan 91clientes remotos 69
número de serie. Ver número de serie de políticasnúmero de serie de políticas
ver en el cliente 32
Oopciones de configuración
análisis de amenazas proactivo 89específicas de una ubicación 60independiente de la ubicación 60
Ppolíticas
actualizar para clientes remotos 67–69configuración de LiveUpdate 53contenido de LiveUpdate 52
proveedor de actualizaciones de grupo 78proveedor de contenido
cerciorarse de que el cliente pueda comunicarsecon 47
Rreconocimiento de la ubicación
configurar clientes remotos 59, 62registros
cliente 70, 76
comprobar los registros de depuración en elcliente 36
comprobar los registros de la bandeja deentrada 35
crear un registro de sylink 55IIS 35ver el registro de LiveUpdate 54ver los registros de depuración en el cliente 55ver para los análisis de amenazas proactivos 85
replicación 79
Sservidor
LiveUpdate interno 77servidor de administración 73sitios
crear uno o varios 75definidos 73
Ttopología
administración 73
Uuso móvil y balanceo de carga 71, 80
Índice96
