OfficeScanTM - Trend Micro

Para empresas grandes y medianas

Manual del administrador

OfficeScanTM

Seguridad de punto final

Protección en Internet

Seguridad de Internet

Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documentoy en los productos que en él se describen sin previo aviso. Antes de instalar y empezar autilizar el software, consulte los archivos Léame, las notas de la versión y la últimaversión de la correspondiente información para el usuario, documentación queencontrará disponibles en el sitio Web de Trend Micro, en:

http://docs.trendmicro.com/es-es/enterprise/officescan.aspx

Trend Micro, el logotipo en forma de pelota de Trend Micro, OfficeScan, ControlManager, Damage Cleanup Services, eManager, InterScan, Network VirusWall,ScanMail, ServerProtect y TrendLabs son marcas comerciales o marcas comercialesregistradas de Trend Micro Incorporated. El resto de nombres de productos o empresaspueden ser marcas comerciales o marcas comerciales registradas de sus respectivospropietarios.

Copyright © 2013 Trend Micro Incorporated. Reservados todos los derechos.

Nº de documento: OSEM105883_130313

Fecha de publicación: Julio 2013

Versión del documento: 1.0

Nombre del producto y versión: OfficeScan™ 10.6 Service Pack 3

Protegido por las patentes de Estados Unidos: 5,951,698


El objetivo de la documentación para el usuario de Trend Micro OfficeScan 10.6 ServicePack 3 es presentar las funciones principales del software y las instrucciones deinstalación específicas para cada entorno de producción. Es recomendable leerla porcompleto antes de instalar o utilizar el software.

También encontrará información detallada sobre cómo utilizar funciones específicas delsoftware en el archivo de ayuda en línea y en la base de conocimientos del sitio Web deTrend Micro.

Trend Micro vela constantemente por mejorar la documentación. Esperamos suscomentarios. Podrá obtener y valorar la documentación en el siguiente sitio Web:

http://www.trendmicro.com/download/documentation/rating.asp


i

Tabla de contenidosPrefacio

Prefacio ............................................................................................................... ix

Documentación de OfficeScan ........................................................................ x

Audiencia ............................................................................................................. x

Convenciones del documento ......................................................................... xi

Terminología ..................................................................................................... xii

Parte I: Introducción y cómo empezarCapítulo 1: Presentación de OfficeScan

Acerca de OfficeScan ..................................................................................... 1-2

Novedades de esta versión ............................................................................ 1-2

Funciones y ventajas principales ................................................................ 1-16

El servidor de OfficeScan ........................................................................... 1-19

El cliente de OfficeScan .............................................................................. 1-20

Integración con los productos y servicios de Trend Micro ................... 1-21

Capítulo 2: Introducción a OfficeScanLa consola Web ............................................................................................... 2-2

El panel Resumen ........................................................................................... 2-5

Server Migration Tool .................................................................................. 2-31

Integración con Active Directory .............................................................. 2-34

El árbol de clientes de OfficeScan ............................................................. 2-37

Dominios de OfficeScan ............................................................................. 2-52

OfficeScan™ Manual del administrador 10.6 SP3

ii

Capítulo 3: Introducción a la protección de datosInstalación de la protección de datos .......................................................... 3-2

Licencia de protección de datos ................................................................... 3-4

Implementar la protección de datos en clientes ......................................... 3-6

Carpeta forense y base de datos de DLP .................................................... 3-9

Desinstalación de la protección de datos .................................................. 3-15

Parte II: Protección de equipos en redCapítulo 4: Uso de la Protección Inteligente de Trend Micro

Acerca de la Protección Inteligente de Trend Micro ................................ 4-2

Servicios de Protección Inteligente .............................................................. 4-3

Fuentes de Protección Inteligente ................................................................ 4-6

Archivos de patrones de Protección Inteligente ........................................ 4-8

Configuración de los Servicios de Protección Inteligente ...................... 4-14

Uso de los Servicios de Protección Inteligente ........................................ 4-36

Capítulo 5: Instalación del cliente de OfficeScanInstalaciones nuevas del cliente de OfficeScan .......................................... 5-2

Consideraciones sobre la instalación ........................................................... 5-2

Consideraciones sobre la implementación ............................................... 5-11

Migrar al cliente de OfficeScan .................................................................. 5-69

Posterior a la instalación .............................................................................. 5-73

Desinstalación del cliente de OfficeScan .................................................. 5-76

Capítulo 6: Mantener actualizada la protecciónComponentes y programas de OfficeScan ................................................. 6-2

Información general de actualizaciones .................................................... 6-11

Tabla de contenidos

iii

Actualizaciones del servidor de OfficeScan ............................................. 6-15

Actualizaciones del Smart Protection Server Integrado ......................... 6-28

Actualizaciones del cliente de OfficeScan ................................................ 6-28

Agentes de actualización .............................................................................. 6-58

Resumen de la actualización de componentes ......................................... 6-67

Capítulo 7: Buscando riesgos de seguridadAcerca de los riesgos de seguridad ............................................................... 7-2

Métodos de exploración ................................................................................ 7-7

Tipos de exploración .................................................................................... 7-14

Configuración común para todos los tipos de exploración ................... 7-28

Derechos y otras configuraciones de la exploración ............................... 7-55

Configuración general de la exploración ................................................... 7-70

Notificaciones de riesgos de seguridad ..................................................... 7-81

Registros de riesgos de seguridad ............................................................... 7-90

Epidemias de riesgos de seguridad .......................................................... 7-102

Capítulo 8: Uso de Supervisión del comportamientoSupervisión del comportamiento ................................................................. 8-2

Configuración de las opciones de supervisión de comportamiento global ............................................................................................................................ 8-8

Privilegios de supervisión de comportamiento ........................................ 8-11

Notificaciones de Supervisión del comportamiento para usuarios delcliente de OfficeScan ................................................................................... 8-12

Registros de supervisión del comportamiento ......................................... 8-14

Capítulo 9: Uso del Control de dispositivosControl de dispositivos .................................................................................. 9-2


iv

Permisos para dispositivos de almacenamiento ......................................... 9-3

Permisos para dispositivos sin almacenamiento ...................................... 9-10

Modificación de las notificaciones de Control de dispositivos ............. 9-17

Registros de control de dispositivos .......................................................... 9-18

Capítulo 10: Uso de la Prevención de pérdida de datosAcerca de la prevención de pérdida de datos ........................................... 10-2

Políticas de prevención de pérdida de datos ............................................ 10-3

Tipos de identificadores de datos .............................................................. 10-5

Plantillas de prevención de pérdida de datos ......................................... 10-20

Canales de la DLP ...................................................................................... 10-24

Acciones de la prevención de pérdida de datos ..................................... 10-37

Excepciones de la prevención de pérdida de datos ............................... 10-38

Configuración de las políticas de prevención de pérdida de datos ..... 10-44

Notificaciones de la prevención de pérdida de datos ........................... 10-49

Registros de prevención de pérdida de datos ......................................... 10-54

Capítulo 11: Protección de los equipos frente a amenazasbasadas en Web

Acerca de las amenazas Web ...................................................................... 11-2

Servicios de Command & Control Contact Alert ................................... 11-2

Reputación Web ........................................................................................... 11-4

Políticas de reputación Web ........................................................................ 11-5

Configuración de las opciones de rellamadas de C&C globales ......... 11-12

Notificaciones de amenazas Web para usuarios del cliente ................. 11-13

Configuración de notificaciones de rellamadas de C&C paraadministradores ........................................................................................... 11-14

Notificaciones de C&C Contact Alert para los usuarios del cliente ... 11-18

Tabla de contenidos

v

Registros de reputación Web .................................................................... 11-20

Capítulo 12: Uso de OfficeScan FirewallAcerca de OfficeScan Firewall .................................................................... 12-2

Activar o desactivar OfficeScan Firewall .................................................. 12-6

Perfiles y políticas del cortafuegos ............................................................. 12-8

Derechos del cortafuegos .......................................................................... 12-25

Configuración general del cortafuegos .................................................... 12-27

Notificaciones de infracciones del cortafuegos para usuarios del cliente deOfficeScan ................................................................................................... 12-29

Registros del cortafuegos .......................................................................... 12-31

Epidemias de infracciones del cortafuegos ............................................ 12-32

Comprobar OfficeScan Firewall .............................................................. 12-34

Parte III: Gestión del Servidor de OfficeScan yde los clientes

Capítulo 13: Administrar el servidor de OfficeScanRole-based Administration ......................................................................... 13-2

Trend Micro Control Manager ................................................................. 13-24

Servidores de referencia ............................................................................ 13-31

Configuración de las notificaciones del administrador ......................... 13-34

Registros de sucesos del sistema .............................................................. 13-37

Administración de registros ...................................................................... 13-38

Licencias ....................................................................................................... 13-42

Copia de seguridad de la base de datos de OfficeScan ......................... 13-45

Información del servidor Web de OfficeScan ....................................... 13-47

Contraseña de la consola Web ................................................................. 13-48


vi

Configuración de la Consola Web ........................................................... 13-48

Administrador de cuarentena ................................................................... 13-49

Server Tuner ................................................................................................ 13-50

Feedback Inteligente .................................................................................. 13-53

Capítulo 14: Administrar el cliente de OfficeScanUbicación del equipo ................................................................................... 14-2

Administración del programa del cliente de OfficeScan ........................ 14-6

Conexión cliente-servidor ......................................................................... 14-26

Configuración del proxy del cliente de OfficeScan ............................... 14-51

Ver información sobre los clientes de OfficeScan ................................ 14-56

Importar y exportar la configuración del cliente ................................... 14-57

Conformidad con las normas de seguridad ............................................ 14-59

Compatibilidad con Trend Micro Virtual Desktop ............................... 14-79

Configuración general del cliente ............................................................. 14-93

Configurar derechos y otras configuraciones de los clientes ............... 14-95

Parte IV: Protección adicionalCapítulo 15: Uso de Plug-in Manager

Acerca de Plug-In Manager ......................................................................... 15-2

instalación de Plug-In Manager .................................................................. 15-3

Administración de las características nativas de OfficeScan .................. 15-4

Administrar los programas de complemento ........................................... 15-4

Desinstalar Plug-In Manager .................................................................... 15-10

Solución de problemas de Plug-In Manager .......................................... 15-10

Capítulo 16: Uso de Policy Server for Cisco NACAcerca de Policy Server for Cisco NAC ................................................... 16-2

Tabla de contenidos

vii

Componentes y términos ............................................................................ 16-2

Arquitectura de Cisco NAC ........................................................................ 16-6

Secuencia de validación del cliente ............................................................ 16-7

El Servidor de Políticas ................................................................................ 16-9

Requisitos del sistema del Servidor de Políticas .................................... 16-22

Requisitos de Cisco Trust Agent (CTA) ................................................. 16-23

Requisitos y plataformas compatibles ..................................................... 16-24

Implementación de Policy Server for NAC ........................................... 16-25

Capítulo 17: Configurar OfficeScan con software de otrosfabricantes

Información general sobre la arquitectura y la configuración de CheckPoint ............................................................................................................... 17-2

Configurar el archivo de Secure Configuration Verification paraOfficeScan ..................................................................................................... 17-4

Instalación de la compatibilidad con SecureClient .................................. 17-6

Capítulo 18: Obtener ayudaRecursos de solución de problemas ........................................................... 18-2

Ponerse en contacto con el equipo de asistencia técnica ..................... 18-25

Apéndice A: Compatibilidad con IPv6 en OfficeScanCompatibilidad de IPv6 con el servidor y los clientes de OfficeScan ... A-2

Requisitos del servidor de OfficeScan ................................................ A-2Requisitos del cliente de OfficeScan ................................................... A-3Limitaciones de los servidores que solo utilizan IPv6 ..................... A-3Limitaciones de los clientes de OfficeScan que solo utilizan IPv6 ................................................................................................................... A-5

Configuración de direcciones IPv6 ............................................................. A-6

Pantallas que muestran direcciones IP ....................................................... A-7


viii

Apéndice B: Compatibilidad con Windows Server Core2008/2012

Compatibilidad con Windows Server Core 2008/2012 ........................... B-2

Métodos de instalación para Windows Server Core ................................. B-2Instalar el cliente de OfficeScan mediante Configuración de inicio desesión ....................................................................................................... B-3Instalar el cliente de OfficeScan mediante un paquete de cliente deOfficeScan ............................................................................................... B-4

Funciones del cliente de OfficeScan en Windows Server Core .............. B-6

Comandos de Windows Server Core .......................................................... B-7

Apéndice C: Compatibilidad con Windows 8 y WindowsServer 2012

Acerca de Windows 8 y Windows Server 2012 ......................................... C-2OfficeScan en modo de interfaz de usuario de Windows ............... C-3Habilitar notificaciones del sistema .................................................... C-3

Internet Explorer 10 ...................................................................................... C-4Compatibilidad con la característica OfficeScan en Internet Explorer10 .............................................................................................................. C-6

Apéndice D: Recuperación de OfficeScanRecuperación del servidor de OfficeScan Server y clientes de OfficeScan ........................................................................................................................... D-2

Recuperación de clientes de OfficeScan ............................................ D-2Recuperación de servidor de OfficeScan .......................................... D-4

Apéndice E: Glosario

ÍndiceÍndice ............................................................................................................. IN-1

ix

Prefacio

PrefacioBienvenido al Manual del administrador de Trend Micro ™OfficeScan™. Este documentocontiene información introductoria, procedimientos de instalación de clientes einstrucciones para la gestión de servidores y clientes de OfficeScan.

Los temas de este capítulo son los siguientes:

• Documentación de OfficeScan en la página x

• Audiencia en la página x

• Convenciones del documento en la página xi

• Terminología en la página xii


x

Documentación de OfficeScanLa documentación de OfficeScan incluye:

TABLA 1. Documentación de OfficeScan

DOCUMENTACIÓN DESCRIPCIÓN

Manual deinstalación yactualización

Documento PDF que contiene los requisitos y procedimientos deinstalación del servidor de OfficeScan y de actualización del servidory de los clientes

Manual deladministrador

documento PDF que contiene información introductoria,procedimientos de instalación de clientes e instrucciones para lagestión de servidores y clientes de OfficeScan

Ayuda Los archivos HTML compilados en formato WebHelp o CHM queproporcionan información sobre procedimientos, consejos de uso einformación específica de los campos. Se puede acceder a la Ayudadesde el servidor y el cliente de OfficeScan, las consolas de PolicyServer y la instalación maestra de OfficeScan.

Archivo Léame contiene una lista de los problemas conocidos y los pasos básicospara la instalación. También puede contener la información másreciente del producto, no disponible en la Ayuda o en ladocumentación impresa.

Base deconocimientos

Una base de datos en línea que contiene información parasolucionar problemas. Incluye la información más reciente acerca delos problemas conocidos de los productos. Para acceder a la basede conocimientos, vaya al siguiente sitio Web:

http://esupport.trendmicro.com

Puede descargar la versión más recientes de los documentos PDF y el archivo Léamedesde:


AudienciaLos destinatarios de la documentación de OfficeScan son:

http://esupport.trendmicro.com


Prefacio

xi

• Administradores de OfficeScan: responsables de la administración deOfficeScan, incluidas la instalación y la administración de los servidores deOfficeScan y los clientes de OfficeScan. Se presupone que estos usuarios cuentancon conocimientos avanzados sobre administración de redes y de servidores.

• Administradores de Cisco NAC: responsables del diseño y el mantenimiento delos sistemas de seguridad con equipamiento de servidores de Cisco NAC y de redesde Cisco. Se presupone que cuentan con experiencia en el uso de esteequipamiento.

• Usuarios finales: usuarios que tienen instalado en sus equipos el cliente deOfficeScan. El nivel de destreza informática de estos usuarios va desde el inicialhasta el avanzado.

Convenciones del documentoPara ayudarle a encontrar e interpretar la información fácilmente, la documentación deOfficeScan utiliza las siguientes convenciones:

TABLA 2. Convenciones del documento

CONVENCIÓN DESCRIPCIÓN

TODO ENMAYÚSCULAS

Acrónimos, abreviaciones y nombres de determinadoscomandos y teclas del teclado

Negrita Menús y opciones de menú, botones de comandos,pestañas, opciones y tareas

Cursiva Referencias a otros documentos o nuevos componentes detecnología

Equipos en red >Administración declientes

Una pista situada al inicio de los procedimientos que ayuda alos usuarios a navegar hasta la pantalla relevante de laconsola Web. Si aparecen varias pistas significa que hayvarios modos de llegar a la misma pantalla.

<Texto> Indica que el texto del interior de los corchetes se debesustituir por los datos reales. Por ejemplo, C:\ProgramFiles\<file_name> puede ser C:\Program Files\sample.jpg.


xii

CONVENCIÓN DESCRIPCIÓN

Nota Ofrece notas o recomendaciones de configuración

Consejo Ofrece la mejor información práctica y recomendacionessobre Trend Micro

¡ADVERTENCIA! Ofrece avisos sobre las actividades que pueden dañar losequipos de la red

TerminologíaEn la siguiente tabla se muestra la terminología oficial que se utiliza en la documentaciónde OfficeScan:

TABLA 3. Terminología de OfficeScan

TERMINOLOGÍA DESCRIPCIÓN

Cliente de OfficeScan El programa cliente de OfficeScan

Equipo cliente El equipo en el que está instalado el cliente deOfficeScan

Usuario de cliente (ousuario)

La persona que administra el cliente de OfficeScan en elequipo cliente.

Servidor El programa servidor de OfficeScan.

Equipo servidor El equipo en el que está instalado el servidor deOfficeScan

Administrador (oadministrador deOfficeScan)

La persona que administra el servidor de OfficeScan.

Prefacio

xiii


Consola La interfaz de usuario en la que se configura y segestiona el servidor de OfficeScan y la configuración delcliente

La consola del programa del servidor de OfficeScan sedenomina "consola Web", mientras que la del programadel cliente de OfficeScan se denomina "consola delcliente".

Riesgo de seguridad Término global referido a virus/malware, spyware/grayware y amenazas Web.

Servicio de licencias Incluye antivirus, Damage Cleanup Services, reputaciónWeb y antispywarelos, los cuales se activan durante elproceso de instalación del servidor de OfficeScan.

Servicio de OfficeScan Servicios alojados por Microsoft Management Console(MMC). Por ejemplo, ofcservice.exe, el serviciomaestro de OfficeScan.

Programa Incluye el cliente de OfficeScan, el agente Cisco TrustAgent y Plug-In Manager

Componentes Responsables de explorar, detectar y tomar las medidasoportunas frente a los riesgos de seguridad.

Carpeta de instalacióndel cliente

La carpeta del equipo que contiene los archivos delcliente de OfficeScan. Si acepta la configuraciónpredeterminada durante la instalación, puede encontrar lacarpeta de instalación en cualquiera de las siguientesubicaciones:

C:\Archivos de programa\Trend Micro\OfficeScanClient

C:\Archivos de programa\Trend Micro(x86)\OfficeScan Client


xiv


Carpeta de instalacióndel servidor

La carpeta del equipo que contiene los archivos delservidor de OfficeScan. Si acepta la configuraciónpredeterminada durante la instalación, puede encontrar lacarpeta de instalación en cualquiera de las siguientesubicaciones:

C:\\Archivos de programa\\Trend Micro\\OfficeScan

C:\Archivos de programa\Trend Micro(x86)\OfficeScan

Por ejemplo, si un archivo se encuentra en la carpeta\PCCSRV dentro de la carpeta de instalación del servidor,la ruta completa del archivo es:

C:\Archivos de programa\Trend Micro\OfficeScan\PCCSRV\<nombre_del_archivo>.

Cliente smart scan Cliente de OfficeScan que se ha configurado para utilizarsmart scan

Cliente de exploraciónconvencional

Cliente de OfficeScan que se ha configurado para utilizarla exploración convencional

Doble pila Una entidad que tiene direcciones tanto IPv4 como IPv6.Por ejemplo:

• Un punto final de doble pila es un equipo condirecciones tanto IPv4 como IPv6.

• Un cliente de doble pila es un cliente instalado en unpunto final de doble pila.

• Los agentes de actualización distribuyen lasactualizaciones a los clientes.

• Un servidor proxy de doble pila, como DeleGate,puede realizar conversiones entre direcciones IPv4 eIPv6.

Solo IPv4 Una entidad que solo tiene direcciones IPv4.

Solo IPv6 Una entidad que solo tiene direcciones IPv6.

Prefacio

xv


Soluciones de complemento Características nativas de OfficeScan y programas decomplemento proporcionados a través de Plug-InManager

Parte IIntroducción y cómo empezar

1-1

Capítulo 1

Presentación de OfficeScanEn este capítulo se presenta Trend Micro™OfficeScan™ y se ofrece informacióngeneral sobre sus características y funciones.


• Acerca de OfficeScan en la página 1-2

• Novedades de esta versión en la página 1-2

• Funciones y ventajas principales en la página 1-16

• El servidor de OfficeScan en la página 1-19

• El cliente de OfficeScan en la página 1-20

• Integración con los productos y servicios de Trend Micro en la página 1-21


1-2

Acerca de OfficeScanTrend Micro ™OfficeScan™ protege las redes empresariales frente a malware, virus dered, amenazas basadas en Web, spyware y ataques de amenazas mixtas. Como soluciónintegrada, OfficeScan consta de un programa cliente de OfficeScan que reside en elpunto final y de un programa servidor que gestiona todos los clientes. El cliente deOfficeScan protege el equipo e informa sobre el estado de su seguridad al servidor. Elservidor, a través de la consola de administración basada en Web, simplifica la aplicaciónde políticas de seguridad coordinada y la implementación de actualizaciones para todoslos clientes.

OfficeScan cuenta con la tecnología de Trend Micro Smart Protection Network™, unainfraestructura de clientes por Internet de última generación que proporciona unaseguridad más inteligente que los planteamientos convencionales. La exclusivatecnología de Internet y un cliente más ligero reducen la dependencia de las descargas depatrones convencionales y eliminan los retrasos asociados tradicionalmente a lasactualizaciones de los equipos de sobremesa. Las ventajas para las empresas son unmayor ancho de banda de la red, una potencia de procesamiento de consumo reducido yahorros en los costes asociados. Los usuarios obtienen acceso inmediato a la protecciónmás reciente desde cualquier ubicación desde la que estén conectados (dentro de la redde la empresa, desde su domicilio o en movimiento).

Novedades de esta versiónTrend Micro OfficeScan incluye las novedades siguientes en funciones y mejoras.

Mejoras en la protección de datosLas mejoras de la Protección de datos en la versión incluyen las siguientes funciones.

Presentación de OfficeScan

1-3

TABLA 1-1. Mejoras en la protección de datos

CARACTERÍSTICA DESCRIPCIÓN

Cuarentena de datosforenses

Los clientes de OfficeScan crean y cargan archivos de datosforenses cifrados en el servidor permitiendo a las empresasrealizar un seguimiento y registrar incidentes de la Prevenciónde pérdida de datos que se puedan producir en la red.OfficeScan genera un valor hash para cada archivo forensecon fines de verificación e integridad.

A través de la integración con Control Manager, los directoresde seguridad pueden ver el activo digital exacto que haprovocado cada incidente y tomar así las medidas adecuadas.

Para conocer más detalles, consulte Carpeta forense y basede datos de DLP en la página 3-9.

Políticas DLP de variasreglas

Los administradores pueden crear varias reglas para unaúnica política. Cada regla puede contener varias plantillas ylos administradores pueden asignar acciones específicasdependiendo del tipo de activo digital identificado o el canal através del cual se produce la transmisión. Las excepcionesglobales se aplican a todas las reglas de una política dada,evitando tener que copiar la configuración.

Para conocer más detalles, consulte Políticas de prevenciónde pérdida de datos en la página 10-3.

Detalles del registroDLP mejorados

Los registros muestran más registros sobre cada incidente dela Prevención de pérdida de datos. Los detalles no soloincluyen las reglas que han desencadenado el incidente, si notambién la plantilla exacta que ha identificado el activo digital.

Para conocer más detalles, consulte Registros de prevenciónde pérdida de datos en la página 10-54.

Compatibilidad condispositivo sinalmacenamientoampliada

Control de dispositivos puede monitorizar ahora adaptadoresBluetooth y NIC inalámbricas.

Para obtener información detallada, consulte el documentoListas de protección de datos en http://docs.trendmicro.com/es-es/enterprise/officescan.aspx.




1-4


Compatibilidad de canalDLP ampliada

Prevención de pérdida de datos puede monitorizar ahora losiguiente:

• Correo electrónico Web 126.com

• Correo electrónico Web 139

• Correo electrónico Web 163.com

• Tencent QQ (archivos enviados mediante mensajeríainstantánea)

• Correo electrónico Web Tencent QQ

• Correo electrónico Web SINA

• Correo electrónico Web Sohu

Para obtener información detallada, consulte el documentoListas de protección de datos en http://docs.trendmicro.com/es-es/enterprise/officescan.aspx.

Servicios de Command & Control Contact AlertEsta versión de OfficeScan proporciona a los administradores capacidades de detecciónaumentada para los servidores de Command & Control.




1-5

TABLA 1-2. Servicios de C&C Contact


Listas deservidores deC&C de GlobalIntelligence yVirtual Analyzer

OfficeScan puede detectar automáticamente cualquier servidor deC&C conocido mediante el uso de la lista Global Intelligence de TrendMicro Smart Protection Network. Los Servicios de reputación Webcomprueban todas las direcciones URL tanto en la lista tradicional desitios Web con contenido malicioso como en la nueva lista deservidores de C&C de Global Intelligence.

Los administradores que han integrado un Smart Protection Servercon Deep Discovery Advisor también pueden comprobar el nivel deriesgo de las conexiones de red sospechosas usando la lista deservidores de C&C de Virtual Analyzer. Virtual Analyzer genera estalista basándose en los datos recibidos de los productos de TrendMicro conectados, garantizando una protección de la empresa muyespecífica.

Para conocer más detalles, consulte Servicios de Command & ControlContact Alert en la página 11-2.

Lista IP deC&C

La lista IP de C&C funciona junto con el Motor de inspección decontenido de red (NCIE) para detectar conexiones de red conservidores de C&C conocidos. NCIE detecta el contacto del servidorC&C a través de cualquier canal de red.

Para conocer más detalles, consulte Servicios de Command & ControlContact Alert en la página 11-2.

Notificacionesparaadministradores y usuarios

Los Servicios de C&C Callback Alert de OfficeScan proporcionannotificaciones de epidemias que mantienen a los administradores y losusuarios informados sobre cualquier amenaza persistente avanzadaconocida o potencial, o sobre las rellamadas de C&C procedentes dela red.

ComponenteEventos derellamada deC&C

El componente Eventos de rellamada de C&C proporciona a losadministradores una vista rápida de todas las rellamadas de la red, losdestinos de los ataques, el nivel de riesgo de ataque y la dirección derellamada.

Para conocer más detalles, consulte Componente Eventos derellamada de C&C en la página 2-25.


1-6

Mejoras para la exploraciónEsta versión de OfficeScan también ofrece las siguientes mejoras para la exploración.

TABLA 1-3. Mejoras para la exploración

TIPO DE EXPLORACIÓN DESCRIPCIÓN

Supervisión delcomportamiento

La supervisión de comportamiento trabaja junto con los Serviciosde Reputación Web para comprobar la prevalencia de losarchivos descargados a través de canales HTTP o aplicacionesde correo electrónico. Tras detectar un archivo "reciénencontrado", los administradores pueden elegir preguntar a losusuarios antes de ejecutar el archivo. Trend Micro clasifica unprograma como recién encontrado en función del número dedetecciones de archivos o de la edad histórica del archivo segúnlo determina Smart Protection Network.

Para conocer más detalles, consulte Configuración de lasopciones de supervisión de comportamiento global en la página8-8.

Rendimiento de laexploraciónantivirus

El motor de exploración antivirus de OfficeScan (VSAPI 9.713 oposterior) se ha actualizado con una función de exploraciónretardada para mejorar el rendimiento de copia de archivos.

Para conocer más detalles, consulte Activar la exploraciónretardada en operaciones de archivos en la página 7-74.

Mejora del patrón de Reputación WebEsta versión de OfficeScan mejora el patrón de Reputación Web de Smart ProtectionServer integrado. El patrón de Reputación Web The Web Reputation Pattern se harediseñado para proporcionar los siguientes beneficios:

• Consumo de memoria reducido

• Actualizaciones de patrones incrementales, lo cual reduce en gran medida elconsumo de ancho de banda


1-7

Mejoras de recuperación

La versión de OfficeScan simplifica el procedimiento necesario para recuperar elservidor y los clientes de OfficeScan. Durante la instalación de OfficeScan, losadministradores pueden optar por realizar copias de seguridad de los archivos delservidor que luego pueden ser utilizados para recuperar el servidor y los clientes a laversión instalada previamente.

Para obtener información detallada sobre la recuperación, consulte Recuperación deOfficeScan en la página D-1.

Novedades de la versión 10.6 SP2

Trend Micro OfficeScan SP2 incluye las siguientes novedades en funciones y mejoras.

Plataformas y exploradores compatibles

Esta versión de OfficeScan proporciona compatibilidad con instalaciones del cliente enWindows 8™ y Windows Server™ 2012 / Server Core 2012.

Esta versión de OfficeScan también proporciona compatibilidad con instalaciones delservidor en Windows Server™ 2012.

Esta versión de OfficeScan proporciona compatibilidad con Internet Explorer™ 10.

Nota

Los clientes que operan mediante el uso del modo de interfaz de usuario de Windowsreciben compatibilidad limitada. Para conocer más detalles, consulte Compatibilidad conWindows 8 y Windows Server 2012 en la página C-1.

Mejora del rendimiento y detección

Esta versión de OfficeScan ofrece la siguiente mejora del rendimiento y detección.


1-8

TABLA 1-4. Mejora del rendimiento y detección

MEJORA DESCRIPCIÓN

Instalación de MSI La exploración en tiempo real ahora comprueba la firma delarchivo de un paquete de instalación de MSI antes de seguir conla instalación. Cuando OfficeScan recibe la comprobación de quela firma del archivo es de confianza, la exploración en tiempo realpermite que la instalación continúe sin necesidad de másexploración de archivos.

Mejora de VDI

Esta versión de OfficeScan mejora la característica de actualización de Smart Scan paraentornos virtuales. Cuando un número grande de clientes de Smart Scan solicita unaactualización de patrones, el servidor coloca las solicitudes del cliente en una cola hastaque pueda enviar una respuesta. A medida que cada cliente completa la actualización, elservidor le pide al cliente siguiente de la cola que comience la actualización.

Mejoras de la Prevención de pérdida de datos

Esta versión de OfficeScan mejora la característica de Prevención de pérdida de datospara proporcionar:

• Compatibilidad con Windows 8, Windows Server 2012, Windows Server Core 2012

• Compatibilidad con aplicaciones de la Tienda Windows

• Compatibilidad HTTPS con el uso de Internet Explorer 10

• Compatibilidad HTTPS con el uso de las versiones 19, 20, 21 y 22 de Chrome™

• Compatibilidad actualizada con Gmail

• Compatibilidad con Microsoft Office™ 2013

Nuevo en la Versión 10.6 SP1

Trend Micro OfficeScan SP1 incluye las siguientes novedades en funciones y mejoras:


1-9

Administración de política de Control Manager

Control Manager 6.0 permite a los administradores crear e implementar políticas en losservidores de OfficeScan que administra Control Manager. Para obtener informacióndetallada, consulte el Manual del administrador de Control Manager.

Compatibilidad con Supervisión de comportamiento de 64bits

La característica de supervisión de comportamiento de OfficeScan ahora es compatiblescon las versiones de 64 bits de las siguientes plataformas:

• Windows Server 2008™

• Windows 7™

• Windows Vista™ con SP1 (o posterior)

Compatibilidad con Autoprotección del cliente de 64 bits

La autoprotección del cliente ahora es compatibles con las versiones de 64 bits de lassiguientes plataformas:

• Windows Server 2008™

• Windows 7™


Compatibilidad de 64 bits de control de dispositivos para elservicio de prevención de cambios no autorizados

La característica de control de dispositivos de OfficeScan ahora es compatible con lasversiones de 64 bits de las siguientes plataformas durante la supervisión del servicio deprevención de cambios no autorizados:

• Windows 2008™

• Windows 7™


1-10


Nota

El control de dispositivos para la protección de datos proporciona compatibilidad contodas las versiones de 64 bits de las plataformas Windows. Para obtener informacióndetallada acerca de la configuración de permisos de 64 bits, consulte Permisos para dispositivosde almacenamiento en la página 9-3.

Mejoras en la protección de datos

Las mejoras en la protección de datos en OfficeScan 10.6 SP1 incluye las siguientescompatibilidades y actualizaciones:

• Compatibilidad del servicio de prevención de pérdida de datos y del control dedispositivos con las versiones de 64 bits de las plataformas Windows

• Más de 100 nuevas plantillas e identificadores de datos de Prevención de pérdida dedatos preconfigurados

Mejoras de Virtual Desktop Infrastructure

Esta versión de OfficeScan mejora la compatibilidad y características de Virtual DesktopInfrastructure (VDI).

• Compatibilidad con Microsoft Hyper-V™: los administradores ahora puedengestionar clientes virtuales mediante el servidor Microsoft Hyper-V™ además decon el servidor VMware vCenter™ y Citrix XenServer™.

• Mejoras del entorno no permanentes: OfficeScan ahora identifica clientesvirtuales mediante la dirección Media Access Control (MAC). De esta forma seevita que OfficeScan asigne múltiples identificadores únicos (GUID) al mismocliente en entornos no permanentes.

Para conocer más detalles, consulte Compatibilidad con Trend Micro Virtual Desktop en lapágina 14-79.


1-11

Exploración ampliada de puertos de reputación Web

OfficeScan ahora puede explorar el tráfico HTTP en todos los puertos en busca deviolaciones de las políticas de la reputación Web. Si los administradores no quierenexplorar el tráfico de todos los puertos, OfficeScan ofrece la posibilidad de explorar eltráfico en los puertos HTTP 80, 81 y 8080 predeterminados.

Para conocer más detalles, consulte Configurar una Política de reputación Web en la página11-6.

Novedades de la versión 10.6Trend Micro OfficeScan 10.6 incluye las novedades siguientes en funciones y mejoras:

• Protección de datos

El módulo Protección de datos proporciona la función Prevención de pérdida dedatos y amplía la variedad de dispositivos supervisados mediante la función Controlde dispositivos.

Plug-In Manager gestiona la instalación y autorización del módulo Protección dedatos. Para obtener más información, consulte Instalación de la protección de datos en lapágina 3-2.


1-12

TABLA 1-5. Funciones de protección de datos de OfficeScan

CARACTERÍSTICAS DEPROTECCIÓN DE DATOS

DETALLES

Prevención depérdida de datos

El servicio de prevención de pérdida de datos protege losactivos digitales de la organización frente a fugasaccidentales o intencionadas. La prevención de pérdida dedatos le permite:

• Identificar los activos digitales que se deben proteger

• Crear políticas que limiten o eviten la transmisión deactivos digitales a través de canales de transmisiónfrecuentes, tales como mensajes de correo electrónicoy dispositivos externos.

• Aplicar la conformidad a estándares de privacidadestablecidos

Para obtener más información, consulte Acerca de laprevención de pérdida de datos en la página 10-2.

Control dedispositivos

OfficeScan incorpora de fábrica una función de control dedispositivos que permite regular el acceso a dispositivos dealmacenamiento USB, discos, disquetes y unidades dered. Este sistema forma parte del módulo de protección dedatos y amplía la gama de hardware compatible al permitirregular el acceso a los siguientes tipos de dispositivos:

• Dispositivos de imagen

• Módems

• Puertos (COM y LPT)

• Dispositivos infrarrojo

• Tarjetas PCMCIA

• Llave de impresión de pantalla

• Interfaz IEEE 1394

Para obtener más información, consulte Control dedispositivos en la página 9-2.

• Plug-in Manager 2.0


1-13

Plug-in Manager 2.0 se instala con el servidor de OfficeScan. Esta versión de Plug-in Manager ofrece componentes.

Los componentes permiten obtener información de forma rápida y visual sobre lasfunciones y complementos de OfficeScan más importantes para su empresa. Puedeacceder a los componentes desde el panel Resumen de OfficeScan Server, quesustituye a la pantalla de resumen de las versiones anteriores de OfficeScan. Paraobtener más información, consulte El panel Resumen en la página 2-5.

• Compatibilidad con IPv6

El servidor y los clientes de OfficeScan se pueden instalar ahora en equipos IPv6.

Además, las nuevas versiones de Control Manager y del Smart Protection Serverahora son compatibles con IPv6 para poder ofrecer una integración perfecta con elservidor y los clientes de OfficeScan.

Para obtener más información, consulte Compatibilidad de IPv6 con el servidor y losclientes de OfficeScan en la página A-2.

• Archivos de caché para exploración

Se ha incorporado una función de creación de archivos de caché al cliente deOfficeScan. Estos archivos contienen información sobre archivos que ya han sidoexplorados con anterioridad y que Trend Micro considera de confianza. Losarchivos de caché se comportan como una guía de referencia rápida durante lasexploraciones bajo petición (exploración manual y exploración programada), lo quepermite reducir el uso de recursos del sistema. Las exploraciones a petición(exploraciones manuales, exploraciones programadas o Explorar ahora) son ahoramás eficaces, ya que ofrecen hasta un 40% de mejora en la rapidez del rendimiento.

Para obtener más información, consulte Configuración de la caché para las exploracionesen la página 7-67.

• Optimización del inicio

Cuando se inicia un equipo, el cliente de OfficeScan pospondrá la carga de algunosservicios de cliente si el uso de CPU supera el 20%. Cuando el uso de CPU seencuentre por debajo del límite, el cliente iniciará la carga de los servicios.

Entre los servicios afectados se incluyen los siguientes:

• Cortafuegos de OfficeScan NT


1-14

• OfficeScan Data Protection Service

• Servicio de prevención de cambios no autorizados de Trend Micro

• Mejoras en Damage Cleanup Services

Se ha habilitado un modo de limpieza avanzada en Damage Cleanup Services,diseñado para impedir el funcionamiento de los programas deshonestos que sehacen pasar por herramientas de seguridad (también conocidos como "rogueware","falsos antivirus" o "FakeAV"). Además, el cliente cuenta con reglas de limpiezaavanzadas que permiten detectar y detener de forma proactiva las aplicaciones quepresentan comportamientos propios de FakeAV.

Puede seleccionar el modo de limpieza al configurar las acciones de exploración devirus/malware para la Exploración manual, la Exploración en tiempo real, laExploración programada y Explorar ahora. Para obtener más información, consulteDamage Cleanup Services en la página 7-44.

• Compatibilidad de Reputación Web con HTTPS

Se ha habilitado la exploración del tráfico HTTPS por parte de los clientes paradetectar amenazas Web. Puede configurar esta función a su gusto al crear unapolítica de reputación Web. Para obtener más información, consulte Políticas dereputación Web en la página 11-5.

Importante

• La exploración HTTP solamente admite plataformas de Windows 8 o Windows2012 que funcionan en modo de escritorio.

• Después de habilitar la exploración HTTPS por primera vez en clientes deOfficeScan que ejecutan Internet Explorer 9 o 10, los usuarios deben activar elcomplemento TmIEPlugInBHO Class en la ventana emergente delexplorador antes de que la exploración HTTPS esté operativa.

• Compatibilidad con Windows Server Core 2008

El cliente de OfficeScan se puede instalar ahora en Windows Server Core 2008.Los usuarios pueden utilizar la interfaz de línea de comandos para iniciar la consoladel cliente y comprobar el estado de protección del punto final.


1-15

Para obtener más información, consulte Compatibilidad con Windows Server Core2008/2012 en la página B-2.

• Otras mejoras

Esta versión del producto también incluye las siguientes mejoras:

• Los clientes smart scan ahora ejecutan Outlook Mail Scan en modo smartscan. En las versiones anteriores, los clientes smart scan ejecutaban OutlookMail Scan en el modo de exploración convencional.

• Los registros y notificaciones de las detecciones de spyware/grayware ahoramuestran el nombre del usuario conectado al equipo en el momento de ladetección.

• En los registros de spyware/grayware, si el resultado de la exploración desegundo nivel es "Omitido", el resultado de la exploración de primer nivel esahora "Se necesita alguna acción más" en lugar de "No se precisa ninguna otraacción". Con esta mejora, ahora puede tomar medidas adicionales, como lalimpieza del spyware/grayware que considere dañino.

• La autoprotección del cliente es ahora una configuración granular que puedeconfigurar en el árbol de clientes.

• Ahora puede configurar todos los clientes para que envíen mensajes detransición al servidor de OfficeScan. En la versión anterior, solo los clientesde redes no accesibles enviaban mensajes de transición. Para obtener másinformación, consulte Clientes no accesibles en la página 14-47.

• Al exportar la configuración del árbol de clientes a un archivo .dat, seexportará toda la configuración. En las versiones anteriores, solo seexportaban la configuración de la exploración, así como la configuración delos derechos y otras configuraciones de los clientes. Para obtener másinformación acerca de la exportación de la configuración, consulte Importar yexportar la configuración del cliente en la página 14-57.

• Si se utiliza la herramienta Client Mover, ahora puede especificar elsubdominio del árbol de clientes al que se agrupará el cliente tras moverse alnuevo servidor principal. Para obtener más información, consulte Client Moveren la página 14-23.


1-16

Funciones y ventajas principalesOfficeScan proporciona las funciones y ventajas siguientes:

• Plug-In Manager y soluciones de complemento

Plug-In Manager facilita la instalación, la implementación y la administración de lassoluciones de complemento.

Los administradores pueden instalar dos tipos de solución de complemento:

• Programas de complemento

• Características nativas de OfficeScan

• Administración centralizada

La consola de administración basada en Web permite a los administradores accederfácilmente a todos los clientes y servidores de la red. La consola Web coordina laimplementación automática de políticas de seguridad, archivos de patrones yactualizaciones de software tanto en los clientes como en los servidores. Junto conOutbreak Prevention Services, desconecta los vectores de infección e implementarápidamente las políticas de seguridad específicas para cada ataque a fin de evitar ocontener las epidemias antes de que estén disponibles los archivos de patrones.OfficeScan también realiza una supervisión en tiempo real, envía notificaciones desucesos y crea informes detallados. Los administradores pueden realizar unaadministración remota, definir políticas personalizadas para cada equipo desobremesa o grupos específicos, y bloquear la configuración de seguridad de losclientes.

• Protección frente a riesgos de seguridad

OfficeScan protege los equipos frente a los riesgos de seguridad mediante laexploración de archivos y, a continuación, lleva a cabo una acción específica porcada riesgo de seguridad detectado. La detección de un número desbordante deriesgos de seguridad en un corto período de tiempo es señal de epidemia. Paracontener las epidemias, OfficeScan aplica políticas de prevención de epidemias yaísla los equipos infectados hasta que se encuentran completamente fuera depeligro.

OfficeScan utiliza la exploración inteligente para que el proceso de exploración seamás eficaz. Esta tecnología funciona mediante el redireccionamiento de un gran


1-17

número de firmas, almacenadas previamente en el equipo local, a fuentes de SmartProtection. Al utilizar este enfoque, se reduce considerablemente el impacto en elsistema y en la red del siempre creciente volumen de actualizaciones de firmas asistemas de punto final.

Para obtener información acerca de smart scan y el modo de implementarlo en losclientes, consulte Métodos de exploración en la página 7-7.

• Damage Cleanup Services

Damage Cleanup Services™ limpia los equipos de virus basados en archivos y dered, además de restos de virus y gusanos (troyanos, entradas del registro, archivosvíricos) mediante un proceso totalmente automatizado. Para hacer frente a lasamenazas y problemas que causan los troyanos, Damage Cleanup Services lleva acabo las acciones siguientes:

• Detecta y elimina troyanos activos

• Elimina los procesos creados por los troyanos

• Repara los archivos del sistema modificados por los troyanos

• Elimina los archivos y aplicaciones depositados por los troyanos

Como Damage Cleanup Services se ejecuta automáticamente en segundo plano, noes necesario configurarlo. Los usuarios no perciben la ejecución del programa. Noobstante, es posible que algunas veces OfficeScan solicite al usuario que reinicie elequipo para completar el proceso de eliminación de un troyano.

• Reputación Web

La tecnología de reputación Web protege de forma proactiva los equipos clientedentro o fuera de la red corporativa ante ataques de sitios Web maliciosos ypotencialmente peligrosos. La reputación Web rompe la cadena de infección eimpide la descarga de código malicioso.

Verifique la credibilidad de los sitios y páginas Web integrando OfficeScan con elSmart Protection Server o la Red de Protección Inteligente de Trend Micro.

• OfficeScan Cortafuegos

El cortafuegos de OfficeScan protege los clientes y servidores de la red mediantefunciones de inspección de estado, exploración y eliminación de virus de red de


1-18

alto rendimiento. Cree reglas para filtrar las conexiones por aplicación, direcciónIP, número de puerto o protocolo, y aplicarlas a continuación a diferentes gruposde usuarios.

• Prevención de pérdida de datos

El servicio de prevención de pérdida de datos protege los activos digitales de laorganización frente a fugas accidentales o intencionadas. La prevención de pérdidade datos permite a los administradores:

• Identificar los activos digitales que se deben proteger

• Crear políticas que limiten o prevengan la transmisión de activos digitales através de los medios más habituales, como los dispositivos de correoelectrónico y los dispositivos de almacenamiento externo

• Aplicar la conformidad a estándares de privacidad establecidos

• Control de dispositivos

Control de dispositivos regula el acceso a los dispositivos de almacenamientoexterno y a los recursos de red conectados a los equipos. El control de dispositivosayuda a evitar la pérdida y la fuga de datos y, junto con la exploración de archivos,ayuda a protegerse frente a los riesgos de seguridad.

• Supervisión del comportamiento

El componente Supervisión de comportamiento supervisa constantemente losclientes en busca de modificaciones inusuales en el sistema operativo o en elsoftware instalado.

• Aplicación de las políticas de seguridad

OfficeScan se integra perfectamente con Cisco™ Trust Agent, lo que permiteaplicar las políticas en una red de autodefensa de Cisco de la forma más eficaz.OfficeScan también cuenta con un servidor de políticas para automatizar lacomunicación con los servidores de control de acceso Cisco Access ControlServers. Cuando se integra con Trend Micro™ Network VirusWall™ o concualquier dispositivo NAC (Network Admission Control), OfficeScan puedeexaminar los clientes que intentan entrar en la red y solucionar problemas deacceso, o redirigir, restringir, denegar o permitir el acceso. Si un equipo esvulnerable o está infectado, OfficeScan lo aísla automáticamente junto con sus


1-19

segmentos de red hasta que se hayan actualizado todos los equipos o se hayaefectuado la limpieza.

El servidor de OfficeScanEl servidor de OfficeScan es el almacén central de todas las configuraciones de clientes,registros de riesgos de seguridad y actualizaciones.

El servidor lleva a cabo dos funciones importantes:

• Instala monitores y gestiona los clientes de OfficeScan

• Descarga muchos de los componentes que necesitan los clientes. El servidor deOfficeScan descarga componentes desde Trend Micro ActiveUpdate Server y losdistribuye a los clientes.

NotaAlgunos componentes los descargan las fuentes de protección inteligente. ConsulteFuentes de Protección Inteligente en la página 4-6 para obtener más información.


1-20

FIGURA 1-1. Funcionamiento del servidor de OfficeScan

El servidor de OfficeScan es capaz de ofrecer comunicación bidireccional en tiempo realentre el servidor y los clientes. Gestiona los clientes desde una consola Web basada enun explorador, a la que los administradores pueden acceder desde prácticamentecualquier punto de la red. El servidor se comunica con el cliente (y el cliente con elservidor) mediante el Protocolo de transferencia de hipertexto (HTTP).

El cliente de OfficeScanProteja los equipos Windows frente a los riesgos de seguridad mediante la instalación delcliente de OfficeScan en cada equipo.

El cliente de OfficeScan informa al servidor principal desde el que se haya instalado.Configure los clientes para que envíen informes a otro servidor mediante la herramientaClient Mover. El cliente envía sucesos e información de estado al servidor en tiempo


1-21

real. Algunos ejemplos de sucesos pueden ser la detección de virus o malware, el iniciodel cliente, su desconexión, el inicio de una exploración o la finalización de unaactualización.

Integración con los productos y servicios deTrend Micro

OfficeScan se integra con los productos y servicios de Trend Micro que aparecen en lasiguiente tabla. Para conseguir una integración perfecta, asegúrese de que los productosejecuten las versiones necesarias o recomendadas.

TABLA 1-6. Productos y servicios que se integran con OfficeScan

PRODUCTO/SERVICIO

DESCRIPCIÓN VERSIÓN

ServidorActiveUpdate

Proporciona todos los componentes que elcliente de OfficeScan necesita para proteger losclientes de las amenazas de seguridad.

No aplicable

SmartProtectionNetwork

Proporciona Servicios de File Reputation yServicios de Reputación Web a los clientes.

Trend Micro aloja la Red de ProtecciónInteligente.

No aplicable


1-22

PRODUCTO/SERVICIO

DESCRIPCIÓN VERSIÓN

SmartProtectionServerIndependiente

Proporciona los mismos Servicios de Reputaciónde Ficheros y Servicios de Reputación Web quela Red de Protección Inteligente.

Un Smart Protection Server independiente tienecomo función localizar el servicio en la red deempresa a fin de optimizar la eficacia.

NotaSe instala un Smart Protection ServerIntegrado con el servidor de OfficeScan.Tiene las mismas funciones que la versiónindependiente, pero cuenta con capacidadlimitada.

• 2.5

(recomendado)

• 2.0

ControlManager

Una solución de administración de software queproporciona la capacidad de controlar losprogramas antivirus y de seguridad decontenidos desde una ubicación central,independientemente de la plataforma o ubicaciónfísica de dichos programas.

• 6.0

(recomendado)

• 5.5 SP1

• 5.5

• 5.0

DeepDiscoveryAdvisor

Deep Discovery ofrece supervisión en toda la redcon tecnología de espacios aisladospersonalizados e inteligencia en tiempo real parapermitir la detección precoz de ataques, permitirla relación de contenido rápido y ofreceractualizaciones de seguridad personalizadas quemejoren de forma inmediata la protección frentea futuros ataques.

3.0 y posterior

2-1

Capítulo 2

Introducción a OfficeScanEn este capítulo se ofrece una introducción de Trend Micro™OfficeScan™ y sedescribe su configuración inicial.


• La consola Web en la página 2-2

• El panel Resumen en la página 2-5

• Integración con Active Directory en la página 2-34

• El árbol de clientes de OfficeScan en la página 2-37

• Dominios de OfficeScan en la página 2-52


2-2

La consola WebLa consola Web es el punto central para supervisar a través de la red empresarial. Laconsola incluye un conjunto de valores y parámetros de configuración predeterminadosque pueden configurarse en función de los requisitos y especificaciones de seguridad dela empresa. La consola Web utiliza las tecnologías de Internet estándar, como Java, CGI,HTML y HTTP.

Nota

Defina la configuración de tiempo de espera desde la consola Web. Consulte el apartadoConfiguración de la Consola Web en la página 13-48.

Use la consola Web para realizar las acciones siguientes:

• Administrar clientes instalados en equipos conectados en red

• Agrupar clientes en dominios lógicos para realizar una configuración yadministración simultáneas

• Definir configuraciones de exploración e iniciar la exploración manual en uno ovarios equipos conectados en red

• Configurar notificaciones sobre riesgos de seguridad en la red y ver los registrosque envían los clientes

• Configurar criterios y notificaciones de epidemia

• Delegar tareas de administración de la consola Web en otros administradores deOfficeScan mediante la configuración de funciones y cuentas de usuario.

• Garantizar que los clientes cumplen las directrices de seguridad

Nota

La consola Web no admite Windows 8 ni Windows Server 2012 en el modo de interfaz deusuario de Windows.

Introducción a OfficeScan

2-3

Requisitos para abrir la consola WebAbra la consola Web desde cualquier equipo de la red que disponga de los siguientesrecursos:

• Procesador Intel™ Pentium™ a 300MHz o equivalente

• 128MB de memoria RAM

• Al menos 30 MB de espacio disponible en disco

• Monitor con una resolución de 1024 x 768 de 256 colores o superior

• Microsoft Internet Explorer™ 7.0 o superior

En el explorador Web, escriba una de las opciones siguientes en la barra de direccionessegún el tipo de instalación de servidor de OfficeScan:

TABLA 2-1. URL de la consola OfficeScan Web

TIPO DE INSTALACIÓN URL

Sin SSL en un sitio predeterminado http://<nombre FQDN o dirección IPdel servidor de OfficeScan>/OfficeScan

Sin SSL en un sitio virtual http://<nombre FQDN o dirección IPdel servidor de OfficeScan>:<númerode puerto HTTP>/OfficeScan

Con SSL en un sitio predeterminado https://<nombre FQDN o dirección IPdel servidor de OfficeScan>/OfficeScan

Con SSL en un sitio virtual https://<nombre FQDN o dirección IPdel servidor de OfficeScan>/OfficeScan


2-4

Nota

Si ha realizado una actualización desde una versión anterior de OfficeScan, es posible quelos archivos de caché del explorador de Internet y el servidor proxy impidan que se carguecorrectamente la consola Web de OfficeScan. Libere la memoria caché del explorador y delos servidores proxy ubicados entre el servidor de OfficeScan y el equipo que utiliza parapermitir el acceso a la consola Web.

Cuenta de inicio de sesión

Durante la instalación del servidor de OfficeScan se crea una cuenta raíz y se le solicitaque introduzca una contraseña para dicha cuenta. Cuando abra la consola Web porprimera vez, escriba "raíz" como nombre de usuario e introduzca la contraseña de lacuenta raíz. Si olvida la contraseña, póngase en contacto con su proveedor de serviciospara que le ayude a restablecerla.

Defina las funciones de usuario y configure las cuentas de usuario para permitir a otrosusuarios acceder a la consola Web sin utilizar la cuenta raíz. Cuando los usuarios iniciensesión en la consola, podrán utilizar las cuentas de usuario que ha configurado para ellos.Para obtener más información, consulte Role-based Administration en la página 13-2.

El banner de la consola Web

La zona de banner de la consola Web le ofrece las siguientes opciones:

FIGURA 2-1. Zona de banner de la consola Web

• <nombre de la cuenta>: Haga clic en el nombre de la cuenta (por ejemplo, raíz)para modificar los detalles de la cuenta, como la contraseña.

• Desconexión: le desconecta de la consola Web.

• Ayuda ( )


2-5

• Novedades: abre una página en la que se muestra una lista de funcionesnuevas que se han incluido en la versión actual del producto

• Contenido e índice: abre la ayuda del servidor de OfficeScan

• Base de conocimientos: abre la base de conocimientos de Trend Micro,donde puede consultar las preguntas y respuestas más frecuentes y lainformación más reciente sobre los productos, acceder al servicio de asistenciatécnica de los clientes y registrarse en OfficeScan

• Información de seguridad: muestra la página Información de seguridad deTrend Micro, desde donde puede leer información sobre los riesgos deseguridad más recientes

• Ventas: muestra la página Web de ventas de Trend Micro, donde puedeencontrar la información de contacto del representante comercial de su zona

• Asistencia: muestra la página Web de asistencia de Trend Micro, en la quepuede plantear preguntas y obtener respuesta a preguntas frecuentes sobre losproductos de Trend Micro

• Acerca de: Proporciona un resumen del producto, instrucciones paracomprobar detalles sobre la versión del componente y un enlace al Sistema deinteligencia de compatibilidad. Para conocer más detalles, consulte Soporte desistema de inteligencia en la página 18-2.

El panel ResumenEl panel Resumen aparece cada vez que se abre la consola Web de OfficeScan o sehace clic en Resumen en el menú principal.

Cada cuenta de usuario de la consola Web cuenta con un panel completamenteindependiente. Los cambios realizados en el panel de una cuenta de usuario no afectan alos paneles de las otras cuentas de usuario.

Si un panel contiene datos de cliente de OfficeScan, los datos mostrados dependerán delos permisos del dominio cliente para la cuenta de usuario. Por ejemplo, si concede auna cuenta de usuario permisos para administrar los dominios A y B, el panel de lacuenta de usuario solo mostrará los datos de los clientes que pertenezcan a dichosdominios.


2-6

Para obtener información detallada acerca de las cuentas de usuario, consulte Role-basedAdministration en la página 13-2.

El panel Resumen contiene lo siguiente:

• Sección Estado de las licencias de los productos

• Componentes

• Pestañas

Sección Estado de las licencias de los productosEsta sección se encuentra en la parte superior del panel y muestra el estado de laslicencias de OfficeScan.

FIGURA 2-2. Sección Estado de las licencias de los productos

Durante los casos siguientes aparecen recordatorios sobre el estado de las licencias:

• Si cuenta con una licencia de versión completa:

• 60 días antes de que caduque una licencia.

• Durante el periodo de gracia del producto. La duración del periodo de graciapuede varía entre una zona y otra. Consulte con su representante de TrendMicro para comprobar la duración de su periodo de gracia.

• Cuando la licencia caduca y finaliza el periodo de gracia. Durante este tiempono podrá obtener asistencia técnica ni actualizar componentes. Los motoresde exploración seguirán explorando los equipos con componentes obsoletos.Es posible que estos componentes obsoletos no puedan protegerlecompletamente frente a los riesgos de seguridad más recientes.

• Si cuenta con una licencia de versión de evaluación:


2-7

• 14 días antes de que caduque una licencia.

• Cuando caduca la licencia. Durante este tiempo, OfficeScan desactiva lasactualizaciones de componentes, la exploración y todas las funciones delcliente.

Si ha obtenido un código de activación, renueve la licencia en Administración >Licencia del producto.

Pestañas y componentes

Los componentes son el elemento principal del panel. Los componentes proporcionaninformación específica acerca de distintos eventos relacionados con la seguridad.Algunos componentes permiten realizar ciertas tareas como la actualización deelementos.

La información que muestran los componentes proviene de:

• El servidor y los clientes de OfficeScan

• Las soluciones de complemento y sus agentes de cliente

• Red de Protección Inteligente de Trend Micro

Nota

Active el Feedback Inteligente para mostrar los datos desde la Red de ProtecciónInteligente. Para obtener información detallada acerca del Feedback Inteligente, consulteFeedback Inteligente en la página 13-53.

Las pestañas constituyen un área para los componentes. El panel Resumen puedecontener hasta 30 pestañas.

Trabajar con las pestañas

Administre las pestañas mediante las siguientes tareas:


2-8

TABLA 2-2. Tareas de pestañas

TAREA PASOS

Agregar una nuevapestaña

1. Haga clic en el icono de adición de la parte superior del panel.Se abrirá una nueva pantalla.

2. Especifique lo siguiente:

• Título: el nombre de la pestaña

• Diseño: elija uno de los diseños disponibles

• Ajuste automático: active el ajuste automático si haseleccionado un diseño con varios cuadros (como " ")y cada uno de ellos va a contener un componente. Elajuste automático adapta el tamaño del componente altamaño del cuadro.

3. Haga clic en Guardar.

Modificar laconfiguración delas pestañas

1. Haga clic en Configuración de las pestañas, en la esquinasuperior derecha de la pestaña. Se abrirá una nueva pantalla.

2. Modifique el nombre, el diseño y la configuración del ajusteautomático de la pestaña.


Mover una pestaña Arrastre y suelte la pestaña para cambiarla de posición.

Eliminar unapestaña

Haga clic en el icono de eliminación situado junto al título de lapestaña.

Al eliminar una pestaña se eliminan todos los componentescontenidos en esta.


2-9

Trabajar con los componentes

Administre los componentes mediante las siguientes tareas:

TABLA 2-3. Tareas de componentes

TAREA PASOS

Agregar un nuevocomponente

1. Haga clic en una pestaña.

2. Haga clic en Agregar componentes, en la esquinasuperior derecha de la pestaña. Se abrirá una nuevapantalla.

3. Seleccione los componentes que desee agregar. Para veruna lista de los componentes disponibles, consulteComponentes disponibles en la página 2-12.

• Haga clic en los iconos de pantalla ( ) de lasección superior derecha de la pantalla para cambiarentre las vistas Detallada y Resumen.

• A la izquierda de la pantalla se encuentran lascategorías de los componentes. Seleccione unacategoría para limitar la selección.

• Utilice el cuadro de texto de búsqueda de la partesuperior de la pantalla para buscar un componenteconcreto.

4. Haga clic en Agregar.

Mover un componente Arrastre y suelte un componente para moverlo a otra ubicacióndentro de la pestaña.

Cambiar el tamaño deun componente

Cambie el tamaño de un componente de una pestaña convarias columnas colocando el cursor en el extremo derecho delcomponente y moviéndolo hacia la izquierda o hacia laderecha.


2-10

TAREA PASOS

Editar el título delcomponente

1. Haga clic en el icono de edición ( ). Aparecerá unanueva pantalla.

2. Escriba el nuevo título.

NotaEn el caso de algunos componentes, comoOfficeScan and Plug-ins Mashup, los elementosrelacionados con los componentes se puedenmodificar.


Actualizar los datos delos componentes

Haga clic en el icono de actualización ( ).

Eliminar uncomponente

Haga clic en el icono de eliminación ( ).

Pestañas y componentes predefinidos

El panel Resumen incluye un conjunto de pestañas y componentes predefinidos. Puedecambiar el nombre de estos componentes y pestañas, y eliminarlos.


2-11

TABLA 2-4. Pestañas predeterminadas del panel Resumen

PESTAÑA DESCRIPCIÓN COMPONENTES

OfficeScan Esta pestaña contiene la mismainformación que la pantalla Resumende las versiones anteriores deOfficeScan. En esta pestaña puede verla protección general ante riesgos deseguridad de la red OfficeScan.También puede realizar acciones en loselementos que requieren intervencióninmediata, como las epidemias o loscomponentes desactualizados.

• ComponenteConectividad de losclientes en la página2-13

• Componente Detecciónde riesgos de seguridaden la página 2-18

• Componente Epidemiasen la página 2-18

• ComponenteActualizaciones decliente en la página2-20

OfficeScan ycomplementos

Esta pestaña muestra los clientes queejecutan el cliente de OfficeScan y lassoluciones de complemento. Utiliceesta pestaña para valorar el estadogeneral de seguridad de los clientes.

Componente OfficeScan andPlug-ins Mashup en la página2-21

SmartProtectionNetwork

Esta pestaña contiene información dela Red de Protección Inteligente deTrend Micro, que proporciona Serviciosde Reputación de Ficheros y Serviciosde Reputación Web a los clientes deOfficeScan.

• Componente Fuentes deamenazas principales dela reputación Web en lapágina 2-28

• Componente Usuarioscon amenazasprincipales de lareputación Web en lapágina 2-29

• Componente Mapa deamenazas de FileReputation en la página2-30


2-12

Componentes disponibles

Los siguientes componentes se encuentran disponibles en esta versión:

TABLA 2-5. Componentes disponibles

NOMBRE DEL COMPONENTE DISPONIBILIDAD

Conectividad del cliente Listo para usar

Para conocer más detalles, consulte ComponenteConectividad de los clientes en la página 2-13.

Detección de riesgos deseguridad

Listo para usar

Para conocer más detalles, consulte ComponenteDetección de riesgos de seguridad en la página 2-18.

Epidemias Listo para usar

Para conocer más detalles, consulte ComponenteEpidemias en la página 2-18.

Actualizaciones de cliente Listo para usar

Para conocer más detalles, consulte ComponenteActualizaciones de cliente en la página 2-20.

OfficeScan and Plug-insMashup

Listo para usar, pero solo muestra los datos de losclientes de OfficeScan

Los datos de las siguientes soluciones de complementose encuentran disponibles tras activar cada solución:

• Intrusion Defense Firewall

• Compatibilidad con Trend Micro Virtual Desktop

Para conocer más detalles, consulte ComponenteOfficeScan and Plug-ins Mashup en la página 2-21.

Incidentes principales deprevención de pérdida dedatos

Disponible tras activar la protección de datos deOfficeScan

Para conocer más detalles, consulte ComponenteIncidentes principales de prevención de pérdida dedatos en la página 2-23.


2-13

NOMBRE DEL COMPONENTE DISPONIBILIDAD

Incidentes de prevenciónde pérdida de datosdurante un periodo detiempo

Disponible tras activar la protección de datos deOfficeScan

Para conocer más detalles, consulte ComponenteIncidentes de prevención de pérdida de datos duranteun periodo de tiempo en la página 2-24.

Fuentes de amenazasprincipales de lareputación Web

Listo para usar

Para conocer más detalles, consulte ComponenteFuentes de amenazas principales de la reputación Weben la página 2-28.

Usuarios con amenazasprincipales de lareputación Web

Listo para usar

Para conocer más detalles, consulte ComponenteUsuarios con amenazas principales de la reputaciónWeb en la página 2-29.

Mapa de amenazas de lareputación de ficheros

Listo para usar

Para conocer más detalles, consulte Componente Mapade amenazas de File Reputation en la página 2-30.

Eventos de rellamada deC&C

Listo para usar

Para conocer más detalles, consulte ComponenteEventos de rellamada de C&C en la página 2-25.

IDF - Estado de alerta Disponible tras la activación del cortafuegos del sistemade defensa frente a intrusiones Consulte ladocumentación de IDF para obtener informacióndetallada acerca de estos componentes.

IDF - Estado del equipo

IDF - Historial de eventosde la red

IDF - Historial de eventosdel sistema

Componente Conectividad de los clientes

El componente Conectividad de los clientes muestra el estado de conexión de losclientes antivirus con el servidor de OfficeScan. Los datos se muestran en una tabla y en


2-14

un gráfico de sectores. Puede alternar entre la tabla y el gráfico de sectores haciendo clicen los iconos de pantalla ( ).

FIGURA 2-3. Componente Conectividad de los clientes mostrando una tabla

Componente Conectividad de los clientes mostrando una tabla

La tabla divide los clientes por método de exploración.

Si el número de clientes de un estado concreto es 1 o más, puede hacer clic en el númeropara ver los clientes en un árbol de clientes. Puede iniciar tareas en estos clientes ocambiar su configuración.


2-15

Para mostrar solo los clientes que utilizan un método de exploración concreto, haga clicen Todos y, a continuación, seleccione el método de exploración.

FIGURA 2-4. Estado de la conexión de los clientes de exploración convencional

FIGURA 2-5. Estado de la conexión de los clientes de smart scan

Si ha seleccionado Smart Scan:

• La tabla divide los clientes smart scan en línea por estado de conexión conservidores de Protección Inteligente.


2-16

Nota

Sólo los clientes en línea pueden informar de su estado de conexión con losServidores de Protección Inteligente.

Si los clientes se desconectan del Smart Protection Server, reinicie la conexiónsiguiendo los pasos que se detallan en Las fuentes de Smart Protection no están disponibles enla página 14-43.

• Cada servidor de Protección Inteligente, es una dirección URL en la que se puedehacer clic para iniciar la consola del servidor.

• Si hay varios servidores de Protección Inteligente, haga clic en MÁSINFORMACIÓN. Se abre una nueva pantalla que muestra todos los servidoresde Protección Inteligente.

FIGURA 2-6. Lista de Servidores de Protección Inteligente

En la pantalla, puede:

• Ver todos los servidores de Protección Inteligente a los que se conectan los clientesy el número de clientes que hay conectados a cada uno de ellos. Si hace clic en elnúmero se abre el árbol de clientes, donde puede gestionar la configuración de losclientes.

• Iniciar una consola del servidor haciendo clic en el enlace del servidor


2-17

Componente Conectividad de los clientes mostrando un gráficode sectores

El gráfico de sectores solo muestra el número de clientes de cada estado y no divide alos clientes por métodos de exploración. Al hacer clic en un estado, este se separa o sevuelve a conectar con el resto del gráfico.

FIGURA 2-7. Componente Conectividad de los clientes mostrando un gráfico desectores


2-18

Componente Detección de riesgos de seguridadEl componente Detección de riesgos de seguridad muestra el número de riesgos deseguridad y de equipos infectados.

FIGURA 2-8. Componente Detección de riesgos de seguridad

Si el número de equipos infectados es 1 o más, puede hacer clic en el número para verlosen un árbol de clientes. Puede iniciar tareas en los clientes de estos equipos o cambiar suconfiguración.

Componente EpidemiasEl componente Epidemias muestra el estado de cualquier epidemia de riesgo deseguridad que haya en el sistema y la última alerta de epidemia.

FIGURA 2-9. Componente Epidemias

En este componente, puede:

• Para ver los detalles de la epidemia, haga clic en la fecha/hora de la alerta.

• Restablezca el estado de la información de alerta de epidemia e inmediatamenteaplique medidas de prevención de epidemias para cuando OfficeScan detecte una.


2-19

Para obtener información detallada acerca de la aplicación de medidas deprevención de epidemias, consulte Políticas de prevención de epidemias en la página 7-107.

• Haga clic en Ver los 10 riesgos de seguridad más detectados para ver losriesgos de seguridad más recurrentes, los equipos con mayor número de riesgos deseguridad y las fuentes de infección principales. Aparecerá una nueva pantalla.

FIGURA 2-10. Pantalla Estadísticas Top 10 de Riesgos de Seguridad

En la pantalla Estadíscias Top 10 de Riesgos de Seguridad, puede:

• Ver información detallada sobre un riesgo de seguridad haciendo clic en sunombre.


2-20

• Ver el estado general de un equipo concreto haciendo clic en el nombre del equipo.

• Ver los registros de riesgos de seguridad del equipo haciendo clic en Ver junto alnombre del equipo.

• Restablecer la estadística de cada tabla haciendo clic en Restablecer recuento.

Componente Actualizaciones de cliente

El componente Actualizaciones de cliente muestra los elementos y programasdisponibles que protegen a los equipos en red frente a los riesgos de seguridad.

FIGURA 2-11. Componente Actualizaciones de cliente


• Consulte la versión actual de cada componente.

• Vea el número de clientes con componentes desactualizados en la columnaObsoleto. Si hay clientes que necesitan actualizarse, haga clic en el enlacenumerado para iniciar la actualización.

• Puede ver los clientes que no han actualizado algún programa haciendo clic en elenlace de número correspondiente al programa.


2-21

Nota

Para actualizar Cisco Trust Agent, vaya a Cisco NAC > Implementación delagente.

Componente OfficeScan and Plug-ins Mashup

El componente OfficeScan and Plug-ins Mashup combina los datos de los clientes deOfficeScan con los de los programas de complemento instalados y los presenta en unárbol de clientes. Este componente permite valorar rápidamente la cobertura deprotección de los clientes y reduce la sobrecarga para la administración de los programasde complemento individuales.

FIGURA 2-12. Componente OfficeScan and Plug-ins Mashup

Este componente muestra los datos de los siguientes programas de complemento:

• Intrusion Defense Firewall

• Compatibilidad con Trend Micro Virtual Desktop

Estos programas de complemento deben encontrarse activadas para que el componenteMashup muestre datos. Si existen nuevas versiones de los programas de complemento,actualícelas.


2-22


• Eligir las columnas que se muestran en el árbol de clientes. Haga clic en el icono deedición ( ) de la esquina superior derecha del componente y seleccionar lascolumnas que se muestran en la pantalla.

TABLA 2-6. Columnas de OfficeScan and Plug-ins Mashup

NOMBRE DE LACOLUMNA

DESCRIPCIÓN

Nombre del equipo Nombre del punto final

Esta columna se encuentra siempre disponible y no sepuede eliminar.

Jerarquía de dominio El dominio del punto final en el árbol de clientes deOfficeScan

Estado de la conexión La conectividad del cliente de OfficeScan con su servidorde OfficeScan principal

Virus/Malware El número de virus y elementos de malware detectadospor el cliente de OfficeScan

Spyware/Grayware El número de elementos de spyware y graywaredetectados por el cliente de OfficeScan

Compatibilidad conVDI

Indica si el punto final es una máquina virtual

Perfil de seguridad deIDF

Consulte la documentación de IDF para obtenerinformación detallada acerca de estas columnas y losdatos que muestran.

Cortafuegos IDF

Estado de IDF

IDF DPI

• Haga doble clic en los datos de la tabla. Si hace doble clic en los datos deOfficeScan, aparece el árbol de clientes de OfficeScan. Si hace doble clic en losdatos de un programa de complemento (excepto los datos de la columnaCompatibilidad con VDI), aparece la pantalla principal del programa decomplemento.


2-23

• Utilice la función de búsqueda para buscar puntos finales específicos. Puedeescribir un nombre de host completo o parcial.

Componente Incidentes principales de prevención depérdida de datos

Este componente se encuentra disponible solo si se activa la protección de datos deOfficeScan.

Este componente muestra el número de transmisiones de activos digitales, conindependencia de la activación (bloqueado u omitido).

FIGURA 2-13. Componente Incidentes principales de prevención de pérdida de datos

Para ver los datos:

1. Seleccione un periodo de tiempo para las detecciones. Elija entre:

• Hoy: detecciones de las últimas 24 horas, incluida la hora actual

• 1 semana: detecciones de los últimos 7 días, incluido el día en curso


2-24

• 2 semanas: detecciones de los últimos 14 días, incluido el día en curso

• 1 mes: detecciones de los últimos 30 días, incluido el día en curso

2. Tras seleccionar el periodo de tiempo, elija entre:

• Usuario: usuarios que han transmitido activos digitales el mayor número deveces

• Canal: canales de uso más frecuente para la transmisión de activos digitales

• Plantilla: plantillas de activos digitales que activaron el mayor número dedetecciones

• Equipo: equipos que transmitieron activos digitales el mayor número deveces

NotaEste componente muestra un máximo de 10 usuarios, canales, plantillas o equipos.

Componente Incidentes de prevención de pérdida de datosdurante un periodo de tiempo

Este componente se encuentra disponible solo si se activa la protección de datos deOfficeScan.


2-25

Este componente determina el número de transmisiones de activos digitales durante unperiodo de tiempo. Las transmisiones incluyen las bloqueadas y las omitidas(permitidas).

FIGURA 2-14. Componente Incidentes de prevención de pérdida de datos durante unperiodo de tiempo

Para ver los datos, seleccione un periodo de tiempo para las detecciones. Elija entre:

• Hoy: detecciones de las últimas 24 horas, incluida la hora actual

• 1 semana: detecciones de los últimos 7 días, incluido el día en curso

• 2 semanas: detecciones de los últimos 14 días, incluido el día en curso

• 1 mes: detecciones de los últimos 30 días, incluido el día en curso

Componente Eventos de rellamada de C&CEl componente Eventos de rellamada de C&C muestra toda la información sobre loseventos de rellamada de C&C entre la que se incluyen el destino del ataque y la direcciónde rellamada de origen.


2-26

Los administradores pueden elegir ver la información sobre las rellamadas de C&Cdesde una lista de servidores de C&C específica. Para seleccionar el origen de la lista(Global Intelligence o Virtual Analyzer), haga clic en el icono de edición ( ) yseleccione la lista que desee de la lista desplegable Origen de lista de C&C.

Para ver los datos de las rellamadas de C&C, seleccione las siguientes opciones:

• Host comprometido: muestra la información de C&C más reciente por puntofinal de destino

FIGURA 2-15. Información de destino que muestra el complemento Eventos derellamada de C&C

TABLA 2-7. Información de Host comprometido

COLUMNA DESCRIPCIÓN

Host comprometido El nombre del punto final que es destino del ataque deC&C

Direcciones derellamada

El número de direcciones de rellamada con las que elpunto final ha intentado contactar

Última dirección derellamada

La última dirección de rellamada con la que el punto finalha intentado contactar


2-27


Intentos de rellamada El número de veces que el punto final de destino haintentado contactar con la dirección de rellamada

NotaHaga clic en el hipervínculo para abrir la pantallaRegistros de rellamadas de C&C y verinformación más detallada.

• Dirección de rellamada: muestra la información de C&C más reciente pordirección de rellamada de C&C

FIGURA 2-16. Información de dirección de rellamada que muestra elcomplemento Eventos de rellamada de C&C

TABLA 2-8. Información de dirección de C&C


Dirección derellamada

La dirección de las rellamadas de C&C que se originande la red

Nivel de riesgo deC&C

El nivel de riesgo de la dirección de rellamada quedetermina la lista Global Intelligence o Virtual Analyzer

Hostscomprometidos

El número de puntos finales que son destinos de ladirección de rellamada

Último hostcomprometido

El nombre del punto final con el que la dirección derellamada de C&C ha intentado contactar por última vez


2-28


Intentos de rellamada El número de rellamadas que se han intentado realizar ala dirección desde la red

NotaHaga clic en el hipervínculo para abrir la pantallaRegistros de rellamadas de C&C y verinformación más detallada.

Componente Fuentes de amenazas principales de lareputación Web

Este componente muestra el número total de detecciones de amenazas de seguridadrealizadas por los Servicios de Reputación web. La información se muestra en un mapa


2-29

mundial por ubicación geográfica. Para obtener ayuda con el uso de este componente,haga clic en el botón Ayuda ( ), situado en la parte superior del componente.

FIGURA 2-17. Componente Fuentes de amenazas principales de la reputación Web

Componente Usuarios con amenazas principales de lareputación Web

Este componente muestra el número de usuarios afectados por las URL maliciosasdetectadas por los Servicios de Reputación Web. La información se muestra en un mapa


2-30

mundial por ubicación geográfica. Para obtener ayuda con el uso de este componente,haga clic en el botón Ayuda ( ), situado en la parte superior del componente.

FIGURA 2-18. Componente Usuarios con amenazas principales de la reputación Web

Componente Mapa de amenazas de File Reputation

Este componente muestra el número total de detecciones de amenazas de seguridadrealizadas por los Servicios de Reputación de Ficheros. La información se muestra en unmapa mundial por ubicación geográfica. Para obtener ayuda con el uso de este


2-31

componente, haga clic en el botón Ayuda ( ), situado en la parte superior delcomponente.

FIGURA 2-19. Componente Mapa de amenazas de File Reputation

Server Migration ToolOfficeScan ofrece Server Migration Tool, que permite a los administradores copiar laconfiguración de OfficeScan de versiones anteriores de OfficeScan a la versión actual.Server Migration Tool migra la siguiente configuración:


2-32

• Estructuras de los dominios • Configuración de serviciosadicionales*

• Configuración de la exploraciónmanual*

• Lista de spyware/grayware permitido*

• Configuración de la exploraciónprogramada*

• Configuración general del cliente

• Configuración de la exploración entiempo real*

• Ubicación del equipo

• Configuración de explorar ahora* • Perfiles y políticas del cortafuegos

• Configuración de la reputación Web* • Fuentes de protección inteligente

• Lista de URL permitidas* • Actualización programada del servidor

• Configuración de la supervisión decomportamiento*

• Origen de la actualización del cliente yprogramación

• Configuración de control dedispositivos*

• Notificaciones

• Configuración de la prevención depérdida de datos*

• Configuración del proxy

• Derechos y otras configuraciones* • El puerto de cliente de OfficeScan yClient_LocalServer_Port en el archivoofcscan.ini

Nota

• La configuración con un asterisco (*) conserva la configuración tanto a nivel de raízcomo a nivel de dominio.

• La herramienta no realiza una copia de seguridad de las listas de cliente de OfficeScandel servidor de OfficeScan, solo las estructuras de los dominios.

• El cliente de OfficeScan solo migra las funciones disponibles en la versión anterior delservidor del cliente de OfficeScan. Para las funciones que no están disponibles en elantiguo servidor, el cliente de OfficeScan aplica la configuración predeterminada.


2-33

Usar Server Migration Tool

NotaEsta versión de OfficeScan es compatible con migraciones desde la versión 8.0 yposteriores de OfficeScan.

Las versiones de OfficeScan más antiguas no pueden contener toda la configuracióndisponible en la versión más reciente. OfficeScan aplica automáticamente la configuraciónpredeterminada para cualquier función que no haya migrado de la versión anterior delservidor de OfficeScan.

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\ServerMigrationTool.

2. Haga doble clic en ServerMigrationTool.exe para iniciar Server MigrationTool.

Server Migration Tool se abre.

3. Para exportar la configuración desde el servidor origen de OfficeScan:

a. Especifique la carpeta de destino mediante el botón Examinar.

NotaEl nombre predeterminado del paquete de exportación es OsceMigrate.zip.

b. Haga clic en Exportar.

Aparecerá un mensaje de confirmación.

c. Copie el paquete de exportación a la carpeta de destino del servidor deOfficeScan.

4. Para importar la configuración al servidor de OfficeScan de destino:

a. Busque el paquete de exportación mediante el botón Examinar.

b. Haga clic en Importar.


2-34

Aparece un mensaje de advertencia.

c. Haga clic en Sí para continuar.

Aparecerá un mensaje de confirmación.

5. Compruebe que el servidor contiene toda la configuración de la versión anterior deOfficeScan.

6. Mueva los clientes antiguos de OfficeScan al nuevo servidor.

Para obtener información detallada acerca de cómo mover los clientes deOfficeScan, consulte Mover un cliente de OfficeScan a otro dominio o a otro servidor deOfficeScan en la página 2-61 o Client Mover en la página 14-23.

Integración con Active DirectoryIntegre OfficeScan con la estructura de Microsoft™Active Directory™ para administrarclientes de OfficeScan de manera más eficaz, asigne permisos de la consola Webmediante cuentas de Active Directory y determine qué clientes no tienen instaladosoftware de seguridad. Todos los usuarios en el dominio de la red pueden tener accesoseguro a la consola de OfficeScan. Si lo desea, puede configurar un acceso limitado parausuarios específicos, incluso para los que se encuentran en otro dominio. El proceso deautenticación y la clave de cifrado ofrecen la validación de las credenciales para losusuarios.

Active Directory le permite beneficiarse plenamente de las siguientes funciones:

• Role-based administration: Asignar responsabilidades administrativas específicasa usuarios conceciéndoles el acceso a la consola del producto a través de suscuentas de Active Directory. Para conocer más detalles, consulte Role-basedAdministration en la página 13-2.

• Grupos de clientes personalizados: Utilice Active Directory o la dirección IPpara agrupar clientes de forma manual y asignarles dominios en el árbol de clientesde OfficeScan. Para conocer más detalles, consulte Agrupación de clientes automática enla página 2-54.

• Administración de servidores externos: Asegúrese de que los equipos de la redque no están gestionados por el servidor de OfficeScan cumplen con las directrices


2-35

de seguridad de la empresa. Para conocer más detalles, consulte Conformidad con lasnormas de seguridad para puntos finales no administrados en la página 14-73.

Sincronice la estructura de Active Directory de forma manual o periódica con el servidorde OfficeScan para garantizar la consistencia de los datos. Para conocer más detalles,consulte Sincronizar datos con dominios de Active Directory en la página 2-36.

Integración de Active Directory con OfficeScan

Procedimiento

1. Vaya a Administración > Active Directory > Integración con ActiveDirectory.

2. En Dominios de Active Directory, especifique el nombre del dominio de ActiveDirectory.

3. Especifique las credenciales que utilizará el servidor de OfficeScan al sincronizardatos con el dominio de Active Directory especificado. Si el servidor no formaparte del dominio, se requerirán credenciales del dominio. En caso contrario, lascredenciales son opcionales. Asegúrese de que estas credenciales no caduquen o elservidor no podrá sincronizar los datos.

a. Haga clic en Introducir las credenciales del dominio.

b. En la ventana emergente que se abre, escriba el nombre de usuario y lacontraseña. El nombre de usuario se puede especificar mediante alguno de losformatos siguientes:

• dominio\nombre de usuario

• nombredeusuario@dominio

c. Haga clic en Guardar.

4. Haga clic en el botón ( ) para añadir más dominios. En caso necesario,especifique credenciales de dominio para cualquiera de los dominios agregados.

5. Haga clic en el botón ( ) para eliminar dominios.


2-36

6. Especifique la configuración de cifrado si ha especificado credenciales de dominio.Como medida de seguridad, OfficeScan cifra las credenciales del dominioespecificadas antes de guardarlas en la base de datos. Cuando OfficeScan sincronizadatos con cualquiera de los dominios especificados, utilizará una clave de cifradopara descifrar las credenciales de dominio.

a. Vaya a la sección Configuración de cifrado para credenciales deldominio.

b. Escriba una clave de cifrado que no supere los 128 bytes.

c. Especifique un archivo en el que guardar la clave de cifrado. Puede elegir unformato de archivo popular como, por ejemplo, .txt. Escriba el nombre y laruta de acceso completa del archivo, por ejemplo, C:\AD_Encryption\EncryptionKey.txt.

¡ADVERTENCIA!Si el archivo se ha eliminado o si su ruta se ha modificado, OfficeScan no podrásincronizar datos con ninguno de los dominios especificados.

7. Haga clic en una de las siguientes opciones:

• Guardar: Guarde solo la configuración. Dado que la sincronización de datospuede forzar los recursos del sistema, puede elegir guardar solo laconfiguración y sincronizar más tarde, por ejemplo durante horas que no seancríticas para la empresa.

• Guardar y sincronizar: Guarda la configuración y sincroniza los datos conlos dominios de Active Directory.

8. Programar sincronizaciones periódicas. Para conocer más detalles, consulteSincronizar datos con dominios de Active Directory en la página 2-36.

Sincronizar datos con dominios de Active DirectorySincronice datos con dominios de Active Directory regularmente para manteneractualizada la estructura de árbol de clientes de OfficeScan y para consultar clientes noadministrados.


2-37

Sincronizar manualmente datos con dominios de ActiveDirectory

Procedimiento

1. Vaya a Administración > Active Directory > Integración con ActiveDirectory.

2. Compruebe que las credenciales de dominio y la configuración de cifrado no hayacambiado.

3. Haga clic en Guardar y sincronizar.

Sincronizar automáticamente datos con dominios de ActiveDirectory

Procedimiento

1. Vaya a Administración > Active Directory > Sincronización programada.

2. Seleccione Activar la sincronización programada de Active Directory.

3. Especifique el programa de sincronización.

NotaPara las sincronizaciones diarias, semanales y mensuales, el periodo de tiempo es elnúmero de horas en las que OfficeScan sincronizará Active Directory con el servidorde OfficeScan.


El árbol de clientes de OfficeScanEl árbol de clientes de OfficeScan muestra todos los clientes (agrupados en Dominios deOfficeScan en la página 2-52) que el servidor gestiona actualmente. Los clientes están


2-38

agrupados por dominios, por lo que podrá configurar, administrar y aplicarsimultáneamente la misma configuración a todos los miembros del dominio.

El árbol de clientes aparece en el marco principal cuando accede a determinadasfunciones del menú principal.

FIGURA 2-20. Árbol de clientes de OfficeScan

Iconos de ábol de clientes

Los iconos de árbol de clientes de OfficeScan brindan sugerencias visuales que indicanel tipo de equipo y el estado de los clientes de OfficeScan que OfficeScan administra.

TABLA 2-9. Iconos del árbol de clientes de OfficeScan

ICONO DESCRIPCIÓN

Dominio


2-39

ICONO DESCRIPCIÓN

Raíz

Agente de actualización

Cliente de OfficeScan disponible para Smart Scan

Cliente de OfficeScan no disponible para Smart Scan

Agente de actualización disponible para Smart Scan

Agente de actualización no disponible para Smart Scan

Tareas generales del árbol de clientesA continuación se detallan las tareas generales que puede realizar cuando se visualice elárbol de clientes:

Procedimiento

• Haga clic en el icono del dominio raíz ( ) para seleccionar todos los dominios yclientes. Cuando selecciona el icono de dominio raíz y, a continuación, elige una delas tareas que se encuentran en la parte superior del árbol de clientes, aparece unapantalla para definir los valores de configuración. En la pantalla, elija alguna de lassiguientes opciones generales:

• Aplicar a todos los clientes: Esta opción aplica la configuración a todos losclientes existentes y a los nuevos clientes que se añadan a un dominioexistente o futuro. Los futuros dominios son dominios todavía no creados enel momento de realizar la configuración.


2-40

• Aplicar solo a futuros dominios: Esta opción aplica la configuración a losclientes que se añadan a futuros dominios. Esta opción no aplica laconfiguración a los clientes que se hayan añadido a un dominio existente.

• Para seleccionar varios clientes o dominios seguidos:

• En el panel derecho, seleccione el primer dominio, mantenga pulsada la teclaMayús y haga clic en el último dominio o cliente del intervalo.

• Para seleccionar un intervalo de dominios o clientes no consecutivos, en el panelderecho, haga clic en los dominios o clientes que desea seleccionar mientrasmantiene pulsada la tecla CTRL.

• Para buscar un cliente que deba gestionarse, especifique el nombre del cliente en elcuadro de texto Buscar equipos. Aparecerá el dominio con una lista de todos losclientes de dicho dominio, donde aparecerá resaltado el nombre del clienteespecífico. Para pasar al próximo cliente, vuelva a hacer clic en Buscar. Si deseacontar con más opciones de búsqueda, haga clic en Búsqueda avanzada.

NotaNo se pueden especificar direcciones IPv4 ni IPv6 cuando se buscan clientesespecíficos. Utilice la búsqueda avanzada para buscar mediante la dirección IPv4 oIPv6. Para conocer más detalles, consulte Opciones de la búsqueda avanzada en la página2-41.

• Tras seleccionar un dominio, la tabla del árbol de clientes se ampliará para mostrarlos clientes pertenecientes al dominio, así como todas las columnas que contieneninformación de interés para cada cliente. Si desea ver únicamente un conjunto decolumnas relacionadas, seleccione un elemento en la Vista del árbol de clientes.

• Ver todo: muestra todas las columnas.

• Vista de actualización: muestra todos los componentes y programas

• Vista de antivirus: muestra los componentes del antivirus.

• Vista de antispyware: muestra los componentes antispyware.

• Vista de protección de datos: muestra el estado del módulo de Protecciónde datos de los clientes.

• Vista del cortafuegos: muestra los componentes del cortafuegos.


2-41

• Vista de protección inteligente: muestra el método de exploración utilizadopor los clientes (exploración convencional o smart scan) y los componentesde Protección Inteligente.

• Vista del agente de actualización: muestra información de todos losagentes de actualización que administra el servidor de OfficeScan.

• Para reorganizar las columnas, arrastre los títulos de las columnas hasta lasposiciones deseadas en el árbol de clientes. OfficeScan guarda automáticamente lasnuevas posiciones de las columnas.

• Para ordenar los clientes según la información de la columna, haga clic en elnombre de la columna.

• Para actualizar el árbol de clientes, haga clic en el icono ( ).

• Consulte las estadísticas del cliente debajo del árbol de clientes, como el númerototal de clientes, el número de clientes de Smart Scan y el número de clientes deexploración convencional.

Opciones de la búsqueda avanzadaBusca clientes basados en los siguientes criterios:

Procedimiento

• Básica: incluye información básica acerca de los equipos, como la dirección IP, elsistema operativo, el dominio, la dirección MAC, el método de exploración y elestado de la reputación Web.

• Para realizar búsquedas por intervalo de direcciones IPv4, se necesita unfragmento de una dirección IP que empiece por el primer octeto. La búsquedamostrará todos los equipos cuyas direcciones IP contengan la entradaindicada. Por ejemplo, si escribe 10.5, la búsqueda devolverá todos los equiposcuya dirección IP esté comprendida en el rango desde 10.5.0.0 hasta10.5.255.255.

• La búsqueda por intervalo de direcciones IPv6 requiere un prefijo y unalongitud.


2-42

• La búsqueda por dirección MAC requiere un intervalo de direcciones MACcon notación hexadecimal, por ejemplo, 000A1B123C12.

• Versiones del componente: seleccione la casilla de verificación junto al nombredel componente, limite el criterio seleccionado Anterior a o Anterior a inclusive,y escriba un número de versión. De forma predeterminada se muestra el númerode versión actual.

• Estado: incluye la configuración del cliente

Haga clic en Buscar después de especificar los criterios de búsqueda. En el árbol declientes aparecerá una lista de nombres de equipos que cumplen los criterios de labúsqueda.

Tareas específicas del árbol de clientes

El árbol de clientes se muestra al acceder a determinadas pantallasde la consola Web. Enla parte superior del árbol se encuentran elementos de menú específicos de la pantalla ala que haya accedido. Estos elementos de menú le permiten realizar tareas específicas,como configurar los valores del cliente o iniciar tareas del cliente. Para realizar cualquierade las tareas, primero seleccione el destino de la tarea (el dominio raíz que aplicará laconfiguración a todos los clientes, a uno o varios dominios o a uno o varios clientes) y, acontinuación, seleccione un elemento de menú.

Las siguientes pantallas muestran el árbol de clientes:

• Pantalla Administración de clientes en la página 2-43

• Pantalla Prevención de epidemias en la página 2-46

• Pantalla Actualización de componentes para equipos en red en la página 2-47

• Pantalla Recuperar en la página 2-48

• Pantalla Registros de riesgos de seguridad para equipos en red en la página 2-49

• Pantalla Implementación del agente en la página 2-51


2-43

Pantalla Administración de clientes

Para ver esta pantalla, vaya a Equipos en red > Administración de clientes.

Administre la configuración general de los clientes en la pantalla Administración declientes.

FIGURA 2-21. Pantalla Administración de clientes

En la siguiente tabla figuran las tareas que puede realizar:

TABLA 2-10. Tareas de Administración de clientes

BOTÓN MENÚ TAREA

Estado Ver información detallada sobre el cliente. Para conocer másdetalles, consulte Ver información sobre los clientes de OfficeScanen la página 14-56.


2-44

BOTÓN MENÚ TAREA

Tareas • Ejecute Explorar ahora en equipos cliente. Para conocer másdetalles, consulte Iniciar Explorar ahora en la página 7-25.

• Desinstalar el cliente. Para conocer más detalles, consulteDesinstalación del cliente de OfficeScan desde la consola Weben la página 5-77.

• Restaurar los componentes de spyware y grayware. Paraconocer más detalles, consulte Restaurar spyware/grayware enla página 7-54.


2-45

BOTÓN MENÚ TAREA

Configuración • Defina la configuración de exploración. Para ver los detalles,consulte los temas siguientes:

• Métodos de exploración en la página 7-7

• Exploración manual en la página 7-18

• Exploración en tiempo real en la página 7-15

• Exploración programada en la página 7-20

• Explorar ahora en la página 7-23

• Configure los ajustes de la reputación Web. Para conocer másdetalles, consulte Políticas de reputación Web en la página11-5.

• Configure los parámetros de Supervisión del comportamiento.Para conocer más detalles, consulte Supervisión delcomportamiento en la página 8-2.

• Configure los valores de Control de dispositivos. Para conocermás detalles, consulte Control de dispositivos en la página9-2.

• Configurar las políticas de prevención de pérdida de datos Paraconocer más detalles, consulte Configuración de las políticas deprevención de pérdida de datos en la página 10-44.

• Asignar clientes como agentes de actualización. Para conocermás detalles, consulte Configuración del agente deactualización en la página 6-58.

• Configurar los derechos del cliente y otros valores deconfiguración. Para conocer más detalles, consulte Configurarderechos y otras configuraciones de los clientes en la página14-95.

• Active o desactive los servicios de cliente de OfficeScan. Paraconocer más detalles, consulte Servicios del cliente deOfficeScan en la página 14-7.

• Configurar la lista de spyware/grayware permitidos. Paraconocer más detalles, consulte Lista de spyware/graywarepermitido en la página 7-51.

• Importar y exportar la configuración del cliente. Para conocermás detalles, consulte Importar y exportar la configuración delcliente en la página 14-57.


2-46

BOTÓN MENÚ TAREA

Registros Consulte los siguientes registros:

• Registros de virus/malware (para obtener información detallada,consulte Visualización de los registros de virus/malware en lapágina 7-90)

• Registros de spyware y grayware (para obtener informacióndetallada, consulte Visualización de los registros de spyware/grayware en la página 7-97)

• Registros del cortafuegos (para obtener información detallada,consulte Registros del cortafuegos en la página 12-31)

• Registros de reputación Web (para obtener informacióndetallada, consulte Registros de reputación Web en la página11-20)

• Registros de rellamadas de C&C (para obtener informacióndetallada, consulte Visualización de los registros de rellamadasde C&C en la página 11-22.)

• Registros de supervisión del comportamiento (para obtenerinformación detallada, consulte Registros de supervisión delcomportamiento en la página 8-14)

• Registros de control de dispositivos (para obtener informacióndetallada, consulte Registros de control de dispositivos en lapágina 9-18)

Eliminar registros. Para conocer más detalles, consulteAdministración de registros en la página 13-38.

Administrar árbolde clientes

Administre el árbol de clientes. Para conocer más detalles, consulteTareas de agrupación de clientes en la página 2-59.

Exportar Exportar una lista de clientes a un archivo de valores separados porcomas (.csv).

Pantalla Prevención de epidemias

Para ver esta pantalla, vaya a Equipos en red > Prevención de epidemias.


2-47

Especifique y active la configuración para la prevención de epidemias en la pantallaPrevención de epidemias. Para conocer más detalles, consulte Configuración de laprevención de epidemias de riesgos de seguridad en la página 7-106.

FIGURA 2-22. Pantalla Prevención de epidemias

Pantalla Actualización de componentes para equipos en red

Para ver esta pantalla, vaya a Actualizaciones > Equipos en red > Actualizaciónmanual. Seleccione Seleccionar clientes manualmente y haga clic en Seleccionar.


2-48

Inicie la actualización manual en la pantalla Actualización de componentes paraequipos en red. Para conocer más detalles, consulte Actualizaciones manuales del cliente deOfficeScan en la página 6-46.

FIGURA 2-23. Pantalla Actualización de componentes para equipos en red

Pantalla Recuperar

Para ver esta pantalla, vaya a Actualizaciones > Recuperar. Haga clic en Sincronizarcon el servidor.


2-49

Recupere los componentes de los clientes en la pantalla Recuperar. Para conocer másdetalles, consulte Recuperación de componentes para los clientes de OfficeScan en la página 6-56.

FIGURA 2-24. Pantalla Recuperar

Pantalla Registros de riesgos de seguridad para equipos enred

Para ver esta pantalla, vaya a Registros > Registros de equipos conectados en red >Riesgos de seguridad.


2-50

Vea y administre los registros en la pantalla Registros de riesgos de seguridad paraequipos en red.

FIGURA 2-25. Pantalla Registros de riesgos de seguridad para equipos en red

Realice las siguientes tareas:

1. Vea los registros que los clientes envían al servidor. Para obtener informacióndetallada, consulte:

• Visualización de los registros de virus/malware en la página 7-90

• Visualización de los registros de spyware/grayware en la página 7-97

• Ver registros del cortafuegos en la página 12-31

• Ver registros de reputación Web en la página 11-21

• Visualización de los registros de rellamadas de C&C en la página 11-22

• Visualización de registros de supervisión del comportamiento en la página 8-14


2-51

• Visualización de los registros de Control de dispositivos en la página 9-18

• Visualización de los registros de prevención de pérdida de datos en la página 10-54

2. Eliminar registros. Para conocer más detalles, consulte Administración de registros en lapágina 13-38.

Pantalla Implementación del agente

Para ver esta pantalla, vaya a Cisco NAC > Implementación del agente.

Si ha configurado Policy Server for Cisco NAC, implemente Cisco Trust Agent (CTA)en los clientes en la pantalla Implementación del agente. Para conocer más detalles,consulte Implementación de Cisco Trust Agent en la página 16-30.

FIGURA 2-26. Pantalla Implementación del agente


2-52

Dominios de OfficeScanUn dominio en OfficeScan es un grupo de clientes que comparten la mismaconfiguración y ejecutan las mismas tareas. Si agrupa los clientes por dominios, podráconfigurar, administrar y aplicar la misma configuración a todos los miembros deldominio. Para obtener más información sobre la agrupación de clientes, consulteAgrupación de clientes en la página 2-52.

Agrupación de clientesUtilice Agrupación de clientes para crear dominios de forma manual o automática en elárbol de clientes de OfficeScan.

Hay dos formas de agrupar clientes en dominios.

TABLA 2-11. Métodos de agrupación de clientes

MÉTODOAGRUPACIÓN DE

CLIENTESDESCRIPCIONES

Manual • DominioNetBIOS

• Dominio deActiveDirectory

• Dominio DNS

La agrupación manual de clientes define el dominioal que debería pertenecer un cliente instaladorecientemente. Cuando el cliente aparezca en elárbol de clientes, podrá moverlo a otro dominio o aotro servidor de OfficeScan.

La agrupación manual de clientes también permitecrear, administrar y eliminar dominios del árbol declientes.

Para conocer más detalles, consulte Agrupar clientesde forma manual en la página 2-53.


2-53

MÉTODOAGRUPACIÓN DE

CLIENTESDESCRIPCIONES

Automático Grupos de clientespersonalizados

La agrupación automática de clientes utiliza normaspara ordenar los clientes en el árbol de clientes. Trasdefinir estas normas, puede acceder al árbol declientes para ordenar de forma manual los clientes opermitir que OfficeScan los ordene de formaautomática cuando se produzcan sucesos concretoso a intervalos programados.

Para conocer más detalles, consulte Agrupación declientes automática en la página 2-54.

Agrupar clientes de forma manual

OfficeScan utiliza esta configuración sólo durante instalaciones de clientes nuevas. Elprograma de instalación comprueba el dominio de la red a la que pertenece un equipo dedestino. En caso de que el nombre de dominio ya exista en el árbol de clientes,OfficeScan agrupará el cliente del equipo de destino en dicho dominio y aplicará losajustes configurados para el dominio. Si no existe el nombre de dominio, OfficeScanañade el dominio al árbol de clientes, agrupa el cliente en dicho dominio y, acontinuación, aplica la configuración raíz al dominio y al cliente.

Configuración de la agrupación de clientes manual

Procedimiento

1. Vaya a Equipos en red > Agrupación de clientes.

2. Especifique el método de agrupación de clientes:

• Dominio NetBIOS

• Dominio de Active Directory

• Dominio DNS



2-54

Qué hacer a continuación

Administre los dominios y los clientes agrupados en ellos llevando a cabo las siguientestareas:

• Añadir un dominio

• Eliminar un dominio o cliente

• Cambiar el nombre de un dominio

• Mover un cliente a otro dominio

Para conocer más detalles, consulte Tareas de agrupación de clientes en la página 2-59.

Agrupación de clientes automáticaLa agrupación automática de clientes utiliza normas definidas mediante direcciones IP odominios de Active Directory. Si una norma define una dirección IP o un intervalo dedirecciones IP, el servidor de OfficeScan agrupará a un cliente con una dirección IP quese corresponda en un dominio específico del árbol de clientes. De forma similar, si unanorma define uno o varios dominios de Active Directory, el servidor de OfficeScanagrupará a un cliente que pertenece a un dominio concreto de Active Directory en undominio específico del árbol de clientes.

Los clientes aplican las normas de una en una. Priorice las normas de modo que, si uncliente cumple más de una, se aplique la norma de mayor prioridad.

Configuración de la agrupación de clientes automática

Procedimiento

1. Vaya a Equipos en red > Agrupación de clientes

2. Vaya a la sección Agrupación de clientes y seleccione Grupos de clientespersonalizados.

3. Vaya a la sección Agrupación de clientes de forma manual.

4. Para comenzar a crear normas, haga clic en Agregar y, a continuación, seleccioneActive Directory o Dirección IP.


2-55

• Si ha seleccionado Active Directory, consulte las instrucciones deconfiguración que se proporcionan en Definición de una norma de agrupación declientes mediante dominios de Active Directory en la página 2-56.

• Si ha seleccionado Dirección IP, consulte las instrucciones de configuraciónque se proporcionan en Definición de una norma de agrupación de clientes mediantedirecciones IP en la página 2-57.

5. Si ha creado más de una norma, priorice las normas mediante estos pasos:

a. Seleccione una norma.

b. Haga clic en una de las flechas de la columna Prioridad de agrupación parahacer que la norma ascienda o descienda en la lista. El número deidentificación de la norma cambia para reflejar su nueva posición.

6. Para utilizar las normas durante la ordenación de clientes:

a. Marque las casillas de verificación de las normas que desee utilizar.

b. Asegúrese de que las normas se encuentren activadas. En la columna Estado( ), debe aparecer una marca de verificación verde. Si aparece una "x" roja

, al hacer clic sobre el icono se activa la norma y el icono cambia a verde.

Nota

Si no activa la casilla de verificación de una norma o si la desactiva, la norma no seutilizará al ordenar los clientes en el árbol de clientes. Por ejemplo, si la norma dictaque un cliente se debe mover a un nuevo dominio, el cliente no se moverá, sino quepermanecerá en su dominio actual.

7. Especifique un programa de ordenación en la sección Creación de dominiosprogramada.

a. Seleccione Activar la creación de dominios programada.

b. Especifique el programa en Creación de dominios según programa.

8. Seleccione una de estas opciones:

• Guardar y crear dominio ahora: Elija esta opción si ha especificado nuevosdominios en Definición de una norma de agrupación de clientes mediante direcciones IP


2-56

en la página 2-57, paso 7 o en Definición de una norma de agrupación de clientesmediante dominios de Active Directory en la página 2-56, paso 7.

• Guardar: Seleccione esta opción si no ha especificado nuevos dominios o sidesea crearlos solo cuando se ejecute la ordenación de clientes.

NotaLa ordenación de clientes no comenzará tras completar este paso.

Definición de una norma de agrupación de clientesmediante dominios de Active Directory

Asegúrese de haber configurado la integración de Active Directory antes de llevar a cabolos pasos del proceso descrito a continuación. Para conocer más detalles, consulteIntegración con Active Directory en la página 2-34.

Procedimiento




4. Haga clic en Agregar y, a continuación, seleccione Active Directory.

Aparecerá una nueva pantalla.

5. Seleccione Permitir agrupación.

6. Especifique un nombre para la regla.

7. En Fuente de Active Directory, seleccione el dominio o dominios y lossubdominios de Active Directory.

8. En Árbol de clientes, seleccione un dominio de OfficeScan existente al que seasignen los dominios de Active Directory. Si el dominio de OfficeScan deseado noexiste, lleve a cabo los siguientes pasos:


2-57

a. Coloque el ratón sobre un dominio concreto de OfficeScan y haga clic en elicono de adición de dominio. En el ejemplo mostrado a continuación, elnuevo dominio se agrega en el dominio raíz de OfficeScan.

FIGURA 2-27. Icono Agregar un dominio

b. Escriba el nombre del dominio en el cuadro de texto que se proporciona.

c. Haga clic en la marca de verificación junto al cuadro de texto. El dominionuevo se agregará y se seleccionará automáticamente.

9. (Opcional) Active Duplicar la estructura de Active Directory en el árbol declientes de OfficeScan. Esta opción duplica la jerarquía de los dominios de ActiveDirectory seleccionados en el dominio de OfficeScan seleccionado.


Definición de una norma de agrupación de clientesmediante direcciones IPCree grupos de clientes personalizados mediante las direcciones IP de la red paraordenar clientes en el árbol de clientes de OfficeScan. Esta función puede ayudar a losadministradores a organizar la estructura del árbol de clientes de OfficeScan antes de queel cliente se registre en el servidor de OfficeScan.

Procedimiento




2-58


4. Haga clic en Agregar y, a continuación, seleccione Dirección IP.

Aparecerá una nueva pantalla.

5. Seleccione Permitir agrupación.

6. Especificar un nombre para la agrupación.

7. Especifique una de las siguientes opciones:

• Una única dirección IPv4 o IPv6

• Un intervalo de direcciones IPv4

• Un prefijo y una longitud IPv6

Nota

Si las direcciones IPv4 e IPv6 de un cliente de doble pila pertenecen a dos grupos declientes independientes, el cliente se incluirá en el grupo IPv6 Si IPv6 se encuentradesactivada en el equipo host del cliente, este se moverá al grupo IPv4.

8. Seleccione el dominio de OfficeScan al que se asignan la dirección IP o los rangosde dirección IP. Si el dominio no existe, realice lo siguiente::

a. Pase el ratón por cualquier parte del árbol de clientes y haga clic en el icono deagregar un dominio.

FIGURA 2-28. Icono Agregar un dominio

b. Escriba el dominio en el cuadro de texto que se proporciona.


2-59

c. Haga clic en la marca de verificación junto al cuadro de texto. El dominionuevo se agregará y se seleccionará automáticamente.


Tareas de agrupación de clientes

Puede realizar las tareas siguientes mientras agrupa clientes en dominios:

• Añadir un dominio: Consulte el apartado Añadir un dominio en la página 2-59 paraobtener información detallada.

• Eliminar un dominio o cliente: Consulte el apartado Eliminar un dominio o cliente en lapágina 2-60 para obtener información detallada.

• Cambiar el nombre de un dominio: Consulte el apartado Cambiar el nombre de undominio en la página 2-61 para obtener información detallada.

• Mueva un cliente a otro dominio o a otro servidor de OfficeScan. Consulte elapartado Mover un cliente de OfficeScan a otro dominio o a otro servidor de OfficeScan en lapágina 2-61 para obtener información detallada.

• Eliminar un dominio o un cliente. Consulte el apartado Eliminar un dominio o clienteen la página 2-60 para obtener información detallada.

Añadir un dominio

Procedimiento

1. Vaya a Equipos en red > Administración de clientes.

2. Haga clic en Administrar árbol de clientes > Agregar un dominio.

3. Escriba un nombre para el dominio que desea agregar.


El nuevo dominio aparecerá en el árbol de clientes.

5. (Opcional) Cree subdominios.


2-60

a. Seleccione el dominio primario.

b. Haga clic en Administrar árbol de clientes > Agregar un dominio.

c. Escriba el nombre de subdominio.

Eliminar un dominio o cliente

Procedimiento


2. En el árbol de clientes, seleccione:

• Uno o varios dominios

• Uno, varios o todos los clientes de un dominio

3. Haga clic en Administrar árbol de clientes > Eliminar dominio/cliente.

4. Para eliminar un dominio vacío, haga clic en Eliminar dominio/cliente. Si eldominio contiene clientes y hace clic en Eliminar dominio/cliente, el servidor deOfficeScan volverá a crear el dominio y agrupará a todos los clientes en esedominio la siguiente vez que los clientes se conecten al servidor de OfficeScan.Puede realizar las siguientes tareas antes de eliminar el dominio:

a. Mover los clientes a otros dominios. Para mover los clientes a otros dominios,arrástrelos y suéltelos en los dominios de destino.

b. Elimiar todos los clientes.

5. Para eliminar un cliente, haga clic en Eliminar dominio/cliente.

NotaEliminar un cliente del árbol de clientes no elimina el cliente de OfficeScan delequipo cliente. El cliente de OfficeScan todavía puede realizar las tareasindependientes del servidor como, por ejemplo, la actualización de componentes. Noobstante, el servidor no es consciente de la existencia del cliente, por lo que noimplementará configuraciones ni enviará notificaciones al cliente.


2-61

Cambiar el nombre de un dominio

Procedimiento


2. Seleccione un dominio en el árbol de clientes.

3. Haga clic en Administrar árbol de clientes > Cambiar nombre del dominio.

4. Escriba un nombre para el dominio.

5. Haga clic en Cambiar nombre.

El nuevo nombre de dominio aparecerá en el árbol de clientes.

Mover un cliente de OfficeScan a otro dominio o a otro servidorde OfficeScan

Procedimiento


2. En el árbol de clientes, abra un dominio y seleccione uno, varios o todos losclientes.

3. Haga clic en Administrar árbol de clientes > Mover cliente.

4. Para mover clientes a otro dominio:

• Seleccione Mover los clientes seleccionados a otro dominio.

• Seleccione el dominio.

• (Opcional) Aplique la configuración del nuevo dominio a los clientes.

Consejo

También puede arrastrar y soltar para mover clientes a otro dominio del árbol declientes.


2-62

5. Para mover clientes a otro servidor de OfficeScan:

• Seleccione Mover los clientes seleccionados a otro servidor deOfficeScan.

• Escriba el nombre del servidor o la dirección IPv4/IPv6 y el número depuerto HTTP.

6. Haga clic en Mover.

3-1

Capítulo 3

Introducción a la protección de datosEn este capítulo se describe cómo instalar y activar el módulo de Protección de datos.


• Instalación de la protección de datos en la página 3-2

• Licencia de protección de datos en la página 3-4

• Implementar la protección de datos en clientes en la página 3-6

• Carpeta forense y base de datos de DLP en la página 3-9

• Desinstalación de la protección de datos en la página 3-15


3-2

Instalación de la protección de datosEl módulo de protección de datos incluye las siguientes funciones:

• Prevención de pérdida de datos (DLP): evita la transmisión no autorizada deactivos digitales.

• Control de dispositivos: Regula el acceso a los dispositivos externos

Nota

OfficeScan incorpora la función lista para usarse Control de dispositivos, la cual regula elacceso a dispositivos de uso frecuente, tales como dispositivos USB de almacenamiento. Lafunción Control de dispositivos, que forma parte del módulo de protección de datos,amplía el rango de dispositivos supervisados. Para obtener una lista de los dispositivossupervisados, consulte Control de dispositivos en la página 9-2.

La prevención de pérdida de datos y el Control de dispositivos son funciones nativas deOfficeScan, pero tienen licencias individuales. Después de instalar el servidor deOfficeScan, estas funciones estarán disponibles, pero no se podrán utilizar niimplementar en clientes. La instalación de la protección de datos implica la descarga deun archivo desde el servidor de ActiveUpdate o desde una fuente de actualizaciónpersonalizada, si se ha configurado alguna. Cuando dicho archivo se haya incorporado alservidor de OfficeScan, podrá activar la licencia de protección de datos con el fin deactivar toda la funcionalidad de sus características. La instalación y la activación serealizan desde Plug-in Manager.

Importante

• No es necesario que instale el módulo de Protección de datos si el software deprevención de pérdida de datos independiente de Trend Micro ya está instalado yejecutándose en puntos finales.

• El módulo de Protección de datos puede instalarse en un Plug-In Manager que soloutilice IPv6. Sin embargo, la única función que se puede implementar en clientes quesolo utilicen IPv6 es Control de dispositivos. La característica Prevención de pérdidade datos no funciona en clientes que solo utilicen IPv6.

Introducción a la protección de datos

3-3

Instalación de la protección de datos

Procedimiento

1. Desde el menú principal, abra la consola OfficeScan Web y haga clic en Plug-inManager.

2. En la pantalla de Plug-in Manager, vaya a la sección Protección de datos deOfficeScan y haga clic en Descargar.

El tamaño del archivo que se va a descargar figura junto al botón Descargar.

Plug-In Manager almacena el archivo descargado en la <Carpeta de instalación delservidor>\PCCSRV\Download\Product.

NotaSi Plug-In Manager no puede descargar el archivo, lo vuelve a intentar de formaautomática una vez transcurridas 24 horas. Para activar manualmente Plug-InManager a fin de que descargue el archivo, reinicie el servicio OfficeScan Plug-InManager desde Microsoft Management Console.

3. Supervise el progreso de descarga.

Puede ignorar la pantalla durante la descarga.

Si tiene problemas durante la descarga del archivo, compruebe los registros deactualización del servidor en la consola OfficeScan Web. En el menú principal,haga clic en Registros > Registros de actualización del servidor.

Después de que Plug-In Manager haya descargado el archivo, la protección dedatos de OfficeScan se abrirá en una nueva pantalla.

NotaSi no se visualiza la Protección de datos de OfficeScan, consulte los posibles motivosy sus soluciones en Solución de problemas de Plug-In Manager en la página 15-10.

4. Para instalar Protección de datos de OfficeScan al instante, haga clic en Instalarahora, o para realizar la instalación más tarde, realice lo siguiente:

a. Haga clic en Instalar más tarde.


3-4

b. Abra la pantalla de Plug-in Manager.

c. Vaya a la sección Protección de datos de OfficeScan y haga clic enInstalar.

5. Lea el contrato de licencia y haga clic en Aceptar para aceptar las condiciones.

Comienza la instalación.

6. Supervise el progreso de la instalación. Tras la instalación, se mostrará la versión dela protección de datos de OfficeScan.

Licencia de protección de datosVisualice, active y renueve la licencia de protección de datos desde Plug-In Manager.

Solicite un código de activación a Trend Micro y, después, utilícelo para activar lalicencia.

Activar o renovar la licencia del componente deprotección de datos

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección Protección de datos deOfficeScan y haga clic en Administrar programa.

3. Haga clic en Nuevo código de activación.

4. Escriba el código de activación.

También puede copiar el código de activación y pegarlo después en cualquiera delos cuadros de texto.


3-5


Ver la información de licencia de la protección de datos

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección Protección de datos deOfficeScan y haga clic en Administrar programa.

3. Haga clic en Ver información sobre la licencia.

4. Vea los siguientes detalles de la licencia en la pantalla que se abre.

• Estado: muestra "Activada", "No activada" o "Caducada".

• Versión: muestra versión "Completa" o de "Evaluación". La activación de lasversiones completa y de evaluación se muestra solo como "Completa".

• Nº de licencias: muestra cuántos clientes de OfficeScan puede instalar elmódulo de protección de datos.

• La licencia caduca el: si la Protección de datos tiene múltiples licencias, semuestra la fecha de caducidad más reciente. Por ejemplo, si las fechas decaducidad son 31.12.11 y 30.06.11, aparecerá 31.12.11.

• Código de activación: muestra el código de activación.

• Recordatorios: en función de la versión de licencia actual, en la opción de laprotección de datos se muestran recordatorios acerca de la fecha de caducidadde la licencia durante el periodo de gracia (solo para las versiones completas) oen el momento en que expire.


3-6

NotaLa duración del periodo de gracia puede varía entre una zona y otra. Consulte con surepresentante de Trend Micro para comprobar la duración de su periodo de gracia.

Si no renueva la licencia, los servicios de prevención de pérdida de datos y Control dedispositivos seguirán funcionando, pero dejará de tener derecho a asistencia técnica.

5. Haga clic en Ver licencia detallada en línea para ver información sobre sulicencia en el sitio Web de Trend Micro.

6. Haga clic en Actualizar información para actualizar la pantalla con la informaciónmás reciente sobre la licencia.

Implementar la protección de datos en clientesImplemente el módulo de Protección de datos en clientes de OfficeScan después deactivar su licencia. Después de la implementación, los clientes de OfficeScancomenzarán a utilizar la prevención de pérdida de datos y el Control de dispositivos.


3-7

Importante

• Para evitar que afecte al rendimiento del sistema del equipo host, el módulo estádesactivado de forma predeterminada en Windows Server 2003, Windows Server 2008y Windows Server 2012. Si desea activar el módulo, supervise el rendimiento delsistema de forma constante y realice la acción necesaria cuando perciba una caída dedicho rendimiento.

Nota

Puede activar o desactivar el módulo desde la consola Web. Para conocer más detalles,consulte Servicios del cliente de OfficeScan en la página 14-7.

• Si el software de prevención de pérdida de datos de Trend Micro ya se encuentra en elpunto final, OfficeScan no lo sustituirá por el módulo de protección de datos.

• En clientes que solo utilicen IPv6, solo se puede implementar Control de dispositivos.El servicio de prevención de pérdida de datos no funciona en clientes que solo utilicenIPv6.

• Los clientes en línea instalan el módulo de protección de datos inmediatamente. Losclientes desconectados o en itinerancia instalarán el módulo cuando pasen a estar enlínea.

• Los usuarios deben reiniciar los equipos para finalizar la instalación de loscontroladores de Prevención de pérdida de datos. Informe con antelación a losusuarios acerca del reinicio.

• Trend Micro recomienda activar el registro de depuración para que le ayude asolucionar problemas de implementación. Para conocer más detalles, consulte Registrosde depuración de protección de datos en la página 10-60.

Implementación del módulo de Protección de datos enclientes

Procedimiento


2. En el árbol de clientes, puede:


3-8

• Haga clic en el icono del dominio raíz ( ) para implementar el módulo entodos los clientes existentes y futuros.

• Seleccione un dominio específico para implementar el módulo en todos losclientes existentes y futuros en el dominio.

• Seleccione un cliente específico para implementar el módulo únicamente enese cliente.

3. Implemente el módulo de dos formas diferentes:

• Haga clic en Configuración > Configuración de DLP.

• Haga clic en Configuración > Configuración de Control de dispositivos.

Nota

Si realiza la implementación de Configuración > Configuración de DLP y elmódulo Protección de datos se ha implementado correctamente, se instalaránlos controladores de la prevención de pérdida de datos. Si los controladores seinstalan correctamente, se mostrará un mensaje para avisar a los usuarios de quedeben reiniciar sus equipos para completar la instalación de los controladores.

Si no aparece el mensaje, es posible que se hayan producido problemas durantela instalación de los controladores. Compruebe los registros de depuración, enel caso de que los haya activado, para obtener información detallada acerca delos problemas de instalación de los controladores.

4. Aparecerá un mensaje en que se le indicará el número de clientes que no haninstalado el módulo. Haga clic en Sí para iniciar la implementación.

Nota

Si hace clic en No (o si el módulo no se ha implementado en uno o varios clientespor el motivo que sea), el mismo mensaje aparecerá cuando haga clic de nuevo enConfiguración > Configuración de DLP o Configuración > Configuración deControl de dispositivos.

Los clientes comienzan a descargar el módulo desde el servidor.

5. Compruebe que el módulo se haya implementado en los clientes.


3-9

a. Seleccione un dominio en el árbol de clientes.

b. En la vista del árbol de clientes, seleccione Vista de protección de datos oVer todo.

c. Compruebe la columna Estado de la protección de datos. El estado de laimplementación puede ser cualquiera de los siguientes:

• En funcionamiento: El módulo se ha implementado correctamente ysus funciones se han activado.

• Es necesario reiniciar: Los controladores de la Prevención de pérdidade datos no se han instalado debido a que los usuarios no han reiniciadosus equipos. Si los controladores no están instalados, la prevención depérdida de datos no funcionará.

• Detenida: el servicio del módulo no se ha iniciado o el equipo dedestino se ha apagado con normalidad. Para iniciar el Servicio deprotección de datos, desplácese a Equipos en red > Administraciónde clientes > Configuración > Configuración de serviciosadicionales y active los Servicios de protección de datos.

• No se puede instalar: Se ha producido un problema al implementar elmódulo en el cliente. Es necesario volver a implementar el módulo desdeel árbol de clientes.

• No se puede instalar (ya existe la prevención de pérdida de datos):El software de prevención de pérdida de datos de Trend Micro ya seencuentra en el punto final. OfficeScan no lo reemplazará por el módulode protección de datos.

• No instalado: el módulo no se ha implementado en el cliente. Esteestado aparece si elige no implementar el módulo en el cliente o si elestado de este último es "desactivado" o "en itinerancia" durante laimplementación.

Carpeta forense y base de datos de DLPDespués de que se produzca un incidente de la Prevención de pérdida de datos,OfficeScan registra los detalles del incidente en una base de datos forense especializada.


3-10

OfficeScan también crea un archivo cifrado que contiene una copia de la informaciónconfidencial que desencadenó el incidente y genera un valor hash para poder verificarloy garantizar la integridad de los datos confidenciales. OfficeScan crea los archivosforenses cifrados en el equipo cliente y después carga los archivos en una ubicaciónespecífica del servidor.

Importante

• Los archivos forenses cifrados contienen datos muy confidenciales y losadministradores deberían tener cuidado al otorgar acceso a estos archivos.

• OfficeScan se integra con Control Manager para ofrecer a los usuarios de ControlManager con las funciones de Revisor de incidentes de DLP o de Director decumplimiento de DLP la capacidad de acceder a los datos de los archivos cifrados.Para obtener información sobre las funciones de DLP y el acceso a datos de archivosforenses en Control Manager, consulte el Manual del administrador de Control Manager 6.0revisión 2 o posterior.

Modificar la configuración de la carpeta y la base dedatos forense

Los administradores pueden cambiar la ubicación del programa de eliminación de lacarpeta forense y el tamaño máximo de los archivos que los clientes pueden subirmodificando los archivos INI de OfficeScan.

¡ADVERTENCIA!

Cambiar la ubicación de la carpeta forense después de registrar incidentes de la Prevenciónde pérdida de datos puede provocar una desconexión entre los datos de la base de datos yla ubicación de los archivos forenses existentes. Trend Micro recomienda migrar de formamanual todos los archivos forenses a la nueva carpeta forense después de modificar laubicación de la carpeta forense.

La siguiente tabla describe la configuración del servidor disponible en el archivo de la<Carpeta de instalación del servidor>\PCCSRV\Private\ofcserver.ini ubicado en elservidor de OfficeScan.


3-11

TABLA 3-1. La configuración del servidor de la carpeta forense en PCCSRV\Private\ofcserver.ini

OBJETIVO CONFIGURACIÓN DE INI VALORES

Permitir laubicación de lacarpetaforensedefinida por elusuario

[INI_IDLP_SECTION]

EnableUserDefinedUploadFolder

0: Desactivar(predeterminado)

1: Activado

Configurar laubicación de lacarpetaforensedefinida por elusuario

[INI_IDLP_SECTION]

UserDefinedUploadFolder

Nota

• Los administradores deben activar laconfiguraciónEnableUserDefinedUploadFolderantes de que OfficeScan aplique estaconfiguración.

• La ubicación predeterminada de lacarpeta forense es:

<Carpeta de instalación del servidor>\PCCSRV\Private\DLPForensicData

• La ubicación de la carpeta forensedefinida por el usuario debe ser unaunidad física (interna o externa) en elequipo servidor. OfficeScan no escompatible con la asignación de unaubicación de unidad de red.

Valorpredeterminado:<Sustituya estevalor con la ruta decarpeta definidapor el cliente. Porejemplo: C:\VolumeData\OfficeScanDlpForensicData>

Valor definido porel usuario: Debeser una ubicaciónfísica de unaunidad del equiposervidor

Activar lapurga de losarchivos dedatos forenses

[INI_IDLP_SECTION]

ForensicDataPurgeEnable

0: Desactivado

1: Activar(predeterminado)


3-12


Configurar lafrecuencia detiempo de lacomprobaciónde la purga dearchivos dedatos forenses

[INI_IDLP_SECTION]

ForensicDataPurgeCheckFrequency

Nota

• Los administradores deben activar laconfiguraciónForensicDataPurgeEnable antes deque OfficeScan aplique estaconfiguración.

• OfficeScan solo elimina los archivosde datos que han superado la fechade caducidad especificada en laconfiguraciónForensicDataExpiredPeriodInDays.

1: Mensualmente,el primer día delmes a las 00:00

2: Semanalmente(predeterminado),cada domingo a las00:00

3: Diariamente,cada día a las00:00

4: Cada hora a lasHH:00

Configurar lacantidad detiempo paraalmacenararchivos dedatos forensesen el servidor

[INI_IDLP_SECTION]

ForensicDataExpiredPeriodInDays

Valorpredeterminado(en días): 180

Valor mínimo: 1

Valor máximo:3650

Configurar lafrecuencia detiempo de lacomprobaciónde espacio endisco de losarchivosforenses

[INI_SERVER_DISK_THRESHOLD]

MonitorFrequencyInSecond

NotaSi el espacio en disco disponible en lacarpeta de datos forenses es menor que elvalor configurado para la configuraciónInformUploadOnDiskFreeSpaceInGb,OfficeScan registra un registro de eventoen la consola Web.

Valorpredeterminado(en segundos): 5


3-13


Configurar lafrecuencia decarga de lacomprobaciónde espacio endisco de losarchivosforenses


IsapiCheckCountInRequest

NotaSi el espacio en disco disponible en lacarpeta de datos forenses es menor que elvalor configurado para la configuraciónInformUploadOnDiskFreeSpaceInGb,OfficeScan registra un registro de eventoen la consola Web.

Valorpredeterminado(en número dearchivos): 200

Configurar elvalor delespacio endisco mínimoquedesencadenaunanotificación deespacio endisco limitado


InformUploadOnDiskFreeSpaceInGb

NotaSi el espacio en disco disponible en lacarpeta de datos forenses es menor que elvalor configurado, OfficeScan registra unregistro de evento en la consola Web.

Valorpredeterminado(en GB): 10

Configurar elespaciomínimodisponiblepara cargararchivos dedatos forensesde los clientes


RejectUploadOnDiskFreeSpaceInGb

NotaSi el espacio en disco disponible en lacarpeta de datos forenses es menor que elvalor configurado, los clientes deOfficeScan no cargan archivos de datosforenses en el servidor y OfficeScanregistra un registro de evento en la consolaWeb.

Valorpredeterminado(en GB): 1

La siguiente tabla describe la configuración disponible del cliente de OfficeScan en elarchivo <Carpeta de instalación del servidor>\PCCSRV\ofcscan.ini ubicado en elservidor de OfficeScan.


3-14

TABLA 3-2. Configuración del cliente de OfficeScan del archivo forense en PCCSRV\ofcscan.ini


Activar lacarga de losarchivos dedatos forensesen el servidor

UploadForensicDataEnable 0: Desactivado

1: Activar(predeterminado)

Configurar eltamañomáximo de losarchivos queel cliente deOfficeScancarga en elservidor

UploadForensicDataSizeLimitInMb

Nota

El cliente de OfficeScan solo envíaarchivos que son menores que estetamaño al servidor.

Valorpredeterminado(en MB): 10

Valor mínimo: 1

Valor máximo:2048

Configurar lacantidad detiempo paraalmacenararchivos dedatos forensesen el clientede OfficeScan

ForensicDataKeepDays

NotaEl cliente de OfficeScan solo elimina losarchivos de datos forenses que hanpasado la fecha de caducidad especificadacada día a las 11:00 am.

Valorpredeterminado(en días): 180

Valor mínimo: 1

Valor máximo:3650

Configurar lafrecuencia conla que elcliente deOfficeScancomprueba laconectividadcon el servidor

ForensicDataDelayUploadFrequenceInMinutes

NotaLos clientes de OfficeScan que no puedensubir archivos forenses al servidorautomáticamente intentan reenviar losarchivos mediante el intervalo de tiempoespecificado.

Valorpredeterminado(en minutos): 5

Valor mínimo: 5

Valor máximo: 60


3-15

Crear una copia de seguridad de datos forensesDependiendo de la política de seguridad de la empresa, la cantidad de tiempo necesariapara almacenar la información de los datos forenses puede variar enormemente. Con elfin de liberar espacio en el disco del servidor, Trend Micro recomienda realizar unacopia de seguridad manual de los datos de la carpeta forense y de la base de datosforense.

Procedimiento

1. Desplácese a la ubicación de la carpeta de datos forenses en el servidor.

• Ubicación predeterminada: <Carpeta de instalación del servidor>\PCCSRV\Private\DLPForensicData

• Para localizar la ubicación de la carpeta forense personalizada, consulteConfigurar la ubicación de la carpeta forense definida por el usuario en la página 3-11.

2. Copie la carpeta a una nueva ubicación.

3. Para crear una copia de seguridad manual de la base de datos de datos forenses,desplácese a <Carpeta de instalación del servidor>\PCCSRV\Private.

4. Copie el archivo DLPForensicDataTracker.db a una nueva ubicación.

Desinstalación de la protección de datosSi desinstala el módulo de Protección de datos module de Plug-In Manager:

• Todas las configuraciones, opciones y registros de la prevención de pérdida dedatos se eliminan del servidor de OfficeScan.

• Se eliminan del servidor todos los parámetros y configuraciones de Control dedispositivos que haya proporcionado el módulo de protección de datos.

• Se elimina de los clientes el módulo de protección de datos. Los equipos cliente sedeben reiniciar para eliminar la protección de datos por completo.

• Las políticas de prevención de pérdida de datos ya no se aplicarán en los clientes.


3-16

• La función Control de dispositivos deja de supervisar el acceso a los siguientesdispositivos:

• Adaptadores Bluetooth

• Puertos COM y LPT

• Interfaz IEEE 1394

• Dispositivos de imagen

• Dispositivos infrarrojo

• Módems

• Tarjeta PCMCIA

• Llave de impresión de pantalla

• NIC inalámbricas

Vuelva a instalar el módulo en Protección de datos en cualquier momento. Después devolver a instalarlo, active la licencia mediante un código de activación válido.

Desinstalar la protección de datos de Plug-In Manager

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección Protección de datos deOfficeScan y haga clic en Desinstalar.

3. Supervise el progreso de desinstalación. Puede ignorar la pantalla durante ladesinstalación.

4. Actualice la pantalla de Plug-in Manager después de la desinstalación. Laprotección de datos de OfficeScan estará disponible de nuevo para su instalación.

Parte IIProtección de equipos en red

4-1

Capítulo 4

Uso de la Protección Inteligente deTrend Micro

En este capítulo se tratan las soluciones de protección inteligente de Trend Micro™ y sedescribe cómo configurar el entorno necesario para utilizar estas soluciones.


• Acerca de la Protección Inteligente de Trend Micro en la página 4-2

• Servicios de Protección Inteligente en la página 4-3

• Fuentes de Protección Inteligente en la página 4-6

• Archivos de patrones de Protección Inteligente en la página 4-8

• Configuración de los Servicios de Protección Inteligente en la página 4-14

• Uso de los Servicios de Protección Inteligente en la página 4-36


4-2

Acerca de la Protección Inteligente de TrendMicro

La Protección Inteligente de Trend Micro™ es una infraestructura de seguridad decontenidos de clientes por Internet de próxima generación diseñada para proteger a losclientes de los riesgos de seguridad y las amenazas Web. Cuenta con soluciones tantolocales como alojadas con el fin de proteger a los usuarios, independientemente de si seencuentran en la red, en casa o en movimiento, mediante clientes ligeros para acceder ala correlación única "en la nube" de correo electrónico y tecnologías de reputación Weby de ficheros, así como a las bases de datos de amenazas. La protección de los clientes seactualiza automáticamente y se refuerza a medida que van accediendo a la red másproductos, servicios y usuarios, creando un servicio de protección de supervisión deentorno en tiempo real.

Mediante la incorporación de las tecnologías de reputación, exploración y correlación enla red, las soluciones de Protección Inteligente de Trend Micro reducen la dependenciaen descargas de archivos de patrones convencionales y suprimen los atrasos quecomúnmente están asociados a las actualizaciones de los equipos de sobremesa.

Una nueva solución necesariaEn este enfoque de gestión de amenazas basada en archivos, la mayor parte de lospatrones (o definiciones) que se necesitan para proteger un cliente se envían según unaprogramación sistemática. Estos patrones se envían por lotes desde Trend Micro a losclientes. Cuando se recibe una nueva actualización, el software de prevención de virus omalware del cliente vuelve a leer el lote de definiciones de patrones de los riesgos devirus o malware nuevos de la memoria. Si aparece un riesgo de virus o malware nuevo, elpatrón tiene que ser actualizado de nuevo de forma parcial o completa y se vuelve a leeren el cliente para garantizar una protección continuada.

A medida que ha ido pasando el tiempo, ha aumentado significativamente el volumen deamenazas emergentes exclusivas. Se espera que este volumen de amenazas sigacreciendo casi exponencialmente en los próximos años. Esto es una tasa de crecimientoque supera con creces el volumen de los riesgos de seguridad conocidos actualmente.Aún más, el volumen de los riesgos de seguridad representa un nuevo tipo de riesgo deseguridad. El volumen de los riesgos de seguridad puede tener un impacto negativo en elrendimiento de los servidores y estaciones de trabajo, en el uso del ancho de banda de

Uso de la Protección Inteligente de Trend Micro

4-3

red y, en general, en el tiempo que se tarda en proporcionar una protección de calidad, o"tiempo para la protección".

Trend Micro ha sido pionero en un enfoque nuevo para gestionar el volumen deamenazas que se centra en hacer a los clientes de Trend Micro inmunes a esta amenazaque representa el volumen de virus o malware. La tecnología y la arquitectura que seutiliza en este esfuerzo pionero aprovecha la tecnología de redireccionamiento delalmacenamiento de firmas y patrones de virus/malware a Internet. Mediante elredireccionamiento del almacenamiento de estas firmas de virus o malware a Internet,Trend Micro puede proporcionar mejor protección a sus clientes frente al futurovolumen de riesgos de seguridad emergentes.

Servicios de Protección InteligenteLa protección inteligente incluye servicios que ofrecen firmas antimalware, reputacionesWeb y bases de datos de amenazas que hay almacenadas en la red.

Los Servicios de Protección Inteligente incluyen:

• Servicios de File Reputation: los Servicios de File Reputation redireccionan ungran número de firmas antimalware almacenadas anteriormente en los equiposcliente a las fuentes de protección inteligente. Para conocer más detalles, consulteServicios de File Reputation en la página 4-4.

• Servicios de reputación Web: los Servicios de Reputación Web permiten que lasfuentes de protección inteligente locales alojen datos de reputación Web alojadosanteriormente solo por Trend Micro. Ambas tecnologías garantizan un menorconsumo de ancho de banda al actualizar patrones o verificar la validez de unaURL. Para conocer más detalles, consulte Servicios de Reputación Web en la página4-4.

• Feedback Inteligente: Trend Micro continúa recopilando la información queenvían de forma anónima los productos de Trend Micro desde cualquier parte delmundo para determinar de forma proactiva cada nueva amenaza. Para conocer másdetalles, consulte Feedback Inteligente en la página 4-5.


4-4

Servicios de File ReputationLos Servicios de File Reputation comprueban la reputación de cada archivo en unaextensa base de datos en la nube. Como la información sobre malware se almacena enred, los usuarios pueden acceder a ella de forma inmediata. Las redes con contenido dealto rendimiento y los servidores locales guardados en caché garantizan una latenciamínima durante el proceso de comprobación. La estructura en red ofrece una protecciónmás inmediata y elimina la carga de la implementación de patrones, además de reducir deforma significativa el tamaño global del cliente.

Los clientes se deben encontrar en el modo smart scan para utilizar los Servicios de FileReputation. Estos clientes se denominan clientes smart scan en este documento. Losclientes que no se encuentran en el modo smart scan no utilizan los Servicios de FileReputation y se denominan clientes de exploración convencional. Losadministradores de OfficeScan pueden configurar todos o varios de los clientes para queestén en modo smart scan.

Servicios de Reputación WebCon una de las bases de datos de dominios y reputaciones más grandes del mundo, latecnología de reputación Web de Trend Micro realiza un seguimiento de la credibilidadde los dominios Web mediante la asignación de un resultado de reputación basado enfactores como la antigüedad del sitio Web, los cambios en la ubicación histórica y lasindicaciones de actividades sospechosas descubiertas mediante el análisis decomportamientos malintencionados. A continuación el sistema de reputación Webseguirá con la exploración de los sitios y el bloqueo del acceso de los usuarios a los sitiosinfectados. Las funciones de la reputación Web garantizan que las páginas a las queaccede el usuario son seguras y no contienen amenazas Web, como malware, spyware yfraudes de phishing que tienen como objetivo engañar al usuario para que proporcioneinformación personal. Para aumentar la precisión y reducir los falsos positivos, latecnología de reputación Web de Trend Micro asigna puntuaciones de reputación apáginas específicas dentro de los sitios en lugar de clasificar o bloquear sitios completos,ya que a veces son sólo partes de estos los que están afectados y las reputaciones puedencambiar de forma dinámica con el tiempo.


4-5

Los clientes de OfficeScan sujetos a las políticas de reputación Web utilizan los Serviciosde Reputación Web. Los administradores de OfficeScan pueden aplicar a todos o avarios de los clientes las políticas de reputación Web.

Feedback InteligenteTrend Micro Smart Feedback proporciona una comunicación continua entre losproductos Trend Micro y los centros de investigación de amenazas y sus tecnologías,que ofrecen asistencia 24 horas al día, los 7 días de la semana. Cada nueva amenazaidentificada mediante cada una de las verificaciones rutinarias de la reputación del clienteactualiza automáticamente todas las bases de datos de amenazas de Trend Micro, lo quebloquea cualquier encuentro posterior del cliente con dicha amenaza.

Mediante el procesamiento continuo de la inteligencia de la amenaza, recopilada a travésde su extensa red global de clientes y socios, Trend Micro ofrece protección automáticaen tiempo real frente a las amenazas más recientes y proporciona la seguridad "mejorjuntos", esto es como un tipo de vigilancia vecinal automatizado que involucra a lacomunidad en la protección de los demás. La privacidad de la información personal oempresarial de un cliente está siempre protegida ya que la información recopilada sobrelas amenazas está basada en la reputación de la fuente de comunicación, no en elcontenido de la comunicación específica.

Ejemplos de la información enviada a Trend Micro son:

• Sumas de comprobación de los archivos

• Sitios Web a los que se ha accedido

• Información sobre los archivos, incluidos tamaños y rutas

• Nombres de los archivos ejecutables

En cualquier momento puede poner fin a su participación en el programa desde laconsola Web.

ConsejoNo es necesario que participe con Feedback inteligente para proteger sus equipos. Laparticipación es opcional y puede eliminar esta opción en cualquier momento. Trend Microle recomienda que participe con Feedback inteligente para ayudar a ofrecer una mayorprotección total a todos los clientes de Trend Micro.


4-6

Si desea obtener más información sobre Red de Protección Inteligente, visite:

http://es.trendmicro.com/es/technology/smart-protection-network/

Fuentes de Protección InteligenteTrend Micro proporciona Servicios de File Reputation y Servicios de Reputación Web aOfficeScan y a las fuentes de protección inteligente.

Las fuentes de protección inteligente proporcionan Servicios de Reputación de Ficherosalojando la mayoría de las definiciones de patrón de virus y malware. Los clientes deOfficeScan alojan el resto de definiciones. Un cliente envía consultas de exploración alas fuentes de protección inteligente si sus definiciones de patrón no pueden determinarel riesgo del archivo. Las fuentes de protección inteligente determinan el riesgovaliéndose de la información de identificación.

Las fuentes de protección inteligente proporcionan Servicios de Reputación Webalojando los datos de reputación Web disponibles anteriormente solo a través de losservidores alojados por Trend Micro. Un cliente envía consultas de reputación Web a lasfuentes de protección inteligente para comprobar la reputación de los sitios Web a losque el usuario intenta acceder. El cliente correlaciona la reputación de un sitio Web conla política de reputación Web específica que se aplica en el equipo para determinar si sepermite o se bloquea el acceso al sitio.

El Smart Protection Server al cual se conecta un cliente depende de la ubicación de éste.Los clientes se pueden conectar a la Red de Protección Inteligente o al Smart ProtectionServer de Trend Micro.

Red de Protección Inteligente de™ Trend Micro™Trend Micro™ Smart Protection Network™ es una infraestructura de seguridad decontenidos de clientes por Internet de próxima generación diseñada para proteger a losclientes de los riesgos de seguridad y las amenazas Web. Cuenta con soluciones tantolocales como alojadas por Trend Micro para proteger a los usuarios, independientementede si se encuentran en la red, en casa o en movimiento. Smart Protection Networkutiliza clientes ligeros para acceder a la correlación única de correo electrónico en la redy a las tecnologías File Reputation y de reputación Web, así como a las bases de datos de



4-7

amenazas. La protección de los clientes se actualiza automáticamente y se refuerza amedida que van accediendo a la red más productos, servicios y usuarios, creando unservicio de protección de supervisión de entorno en tiempo real.

Si desea obtener más información sobre Red de Protección Inteligente, visite:


Smart Protection ServerLos servidores de Protección Inteligente están disponibles para los usuarios que tenganacceso a la red de empresa local. Los servidores locales localizan servicios de proteccióninteligente para optimizar la eficacia de las operaciones de red de empresa.

Hay dos tipos de servidores de Protección Inteligente:

• Smart Protection Server integrado: El programa OfficeScan Setup incluye unSmart Protection Server Integrado que se instala en el mismo equipo en el que seinstala el servidor de OfficeScan. Tras la instalación, defina la configuración de esteservidor desde la consola OfficeScan Web. El servidor integrado está diseñado paraimplementaciones de OfficeScan a pequeña escala, en las que el número de clientesno sobrepase los 3,000. Para implementaciones de mayor dimensión, se requiere elSmart Protection Server independiente.

• Smart Protection Server independiente: Un Smart Protection ServerIndependiente se instala en un servidor VMware o Hyper-V. El servidorindependiente cuenta con una consola de administración independiente y no secontrola desde la consola OfficeScan Web.

Comparación de las fuentes de protección inteligenteEn la siguiente tabla figuran las diferencias entre la Smart Protection Network y el SmartProtection Server.



4-8

TABLA 4-1. Comparación de las fuentes de protección inteligente

REFERENCIAS DELA COMPARACIÓN

SMART PROTECTION SERVERRED DE PROTECCIÓN INTELIGENTE

DE TREND MICRO

Disponibilidad Disponible para los clientesinternos, que son clientes quereúnen los criterios de ubicaciónespecificados en la consolaOfficeScan Web

Disponible principalmente paralos clientes externos, que sonclientes que no reúnen loscriterios de ubicaciónespecificados en la consolaOfficeScan Web

Objetivo Está diseñado con el fin delocalizar los Servicios deProtección Inteligente en la redde la empresa y mejorar así elrendimiento.

Una infraestructura basada enInternet globalmente reducidaque proporciona servicios deprotección inteligente a losusuarios que no tienen accesoinmediato a la red de suempresa.

Administración Los administradores deOfficeScan instalan y gestionanestas fuentes de proteccióninteligente

Trend Micro mantiene estafuente

Fuente deactualización delpatrón

Trend Micro ActiveUpdateServer

Trend Micro ActiveUpdateServer

Protocolos deconexión declientes

HTTP y HTTPS HTTPS

Archivos de patrones de Protección InteligenteLos archivos de patrones de Protección Inteligente se utilizan para los Servicios deReputación de Ficheros y para los Servicios de Reputación Web. Trend Micro publicaestos patrones a través del servidor Trend Micro ActiveUpdate Server.


4-9

Smart Scan Agent PatternSmart Scan Agent Pattern se actualiza a diario y lo descarga la fuente de actualización delos clientes de OfficeScan (el servidor de OfficeScan o una fuente de actualizaciónpersonalizada). A continuación, la fuente de actualización implementa el patrón en losclientes smart scan.

NotaLos clientes smart scan son clientes de OfficeScan que los administradores han configuradopara utilizar los Servicios de Reputación de Ficheros. Los clientes que no utilizan losServicios de File Reputation se denominan clientes de exploración convencional.

Los clientes smart scan utilizan Smart Scan Agent Pattern al realizar las exploraciones enbusca de riesgos de seguridad. Si el patrón no puede determinar el riesgo del archivo, seutiliza otro patrón llamado Smart Scan Pattern.

Smart Scan PatternSmart Scan Pattern se actualiza cada hora y lo descargan las fuentes de proteccióninteligente. Los clientes smart scan no descargan el Smart Scan Pattern. Los clientesverifican las posibles amenazas de Smart Scan Pattern enviando consultas de exploracióna las fuentes de protección inteligente.

Lista de bloqueo WebLa Lista de bloqueo Web la descargan las fuentes de protección inteligente. Los clientesde OfficeScan sujetos a las políticas de reputación Web tampoco se descargan la Lista debloqueo Web.

NotaLos administradores pueden aplicar a todos o a varios de los clientes las políticas dereputación Web.

Los clientes sujetos a políticas de reputación Web verifican la reputación de un sitioWeb en la Lista de bloqueo Web enviando consultas de reputación Web a una fuente de


4-10

protección inteligente. El cliente correlaciona los datos de reputación recibidos de lafuente de protección inteligente con la política de reputación Web que se aplica en elequipo. En función de la política, el cliente permitirá o bloqueará el acceso al sitio.


4-11

Proceso de actualización de patrones de ProtecciónInteligente

Las actualizaciones de los patrones de Protección Inteligente parten de Trend MicroActiveUpdate Server.

FIGURA 4-1. Proceso de actualización de patrones


4-12

Uso de patrones de Protección InteligenteLos clientes de OfficeScan utilizan Smart Scan Agent Pattern para explorar en busca deriesgos de seguridad y solo realizan consultas en Smart Scan Pattern si Smart Scan AgentPattern no puede determinar el riesgo de un archivo. El cliente realiza una consulta en laLista de bloqueo Web cuando un usuario intenta acceder a un sitio Web. La tecnologíaavanzada de filtrado permite al cliente "almacenar en caché" los resultados de laconsulta. Esto elimina la necesidad de enviar la misma consulta más de una vez.

Los clientes que se encuentran actualmente en su intranet pueden conectarse a un SmartProtection Server para realizar una consulta en Smart Scan Pattern o en la Lista debloqueo Web. Se requiere conexión de red para conectar con el Smart Protection Server.Si se ha configurado más de un Smart Protection Server, los administradores puedendeterminar la prioridad de conexión.

ConsejoInstale varios Servidores de Protección Inteligente para garantizar una proteccióncontinuada en el caso de que no esté disponible la conexión a un Smart Protection Server.


4-13

Los clientes que no estén actualmente en la intranet se pueden conectar a la Red deProtección Inteligente de Trend Micro para realizar consultas. Se requiere conexión aInternet para establecer conexión con la Red de Protección Inteligente.

FIGURA 4-2. Proceso de consulta

Los clientes sin acceso a la red o a Internet también pueden beneficiarse de la protecciónproporcionada por Smart Scan Agent Pattern y la caché con los resultados de lasconsultas anteriores. La protección se reduce solo cuando se necesita una nueva consultay el cliente, tras varios intentos, no puede alcanzar ninguna fuente de proteccióninteligente. En este caso, el cliente marca el archivo para su verificación y permitetemporalmente el acceso a este. Cuando se restaure la conexión con una fuente deprotección inteligente, todos los archivos marcados se volverán a explorar. Entonces, serealizará una acción de exploración en los archivos que se confirmen como amenazas.

En la siguiente tabla se resume la amplitud de protección en función de la ubicación delcliente.


4-14

TABLA 4-2. Comportamientos de protección basados en la ubicación

LOCALIZACIÓN ARCHIVO DE PATRONES Y COMPORTAMIENTO DE CONSULTA

Para acceder a la intranet • Archivo de patrones: los clientes descargan el archivode Smart Scan Agent Pattern del servidor deOfficeScan o de una fuente de actualizaciónpersonalizada.

• Consultas de reputación de ficheros y dereputación Web: los clientes se conectan al SmartProtection Server para realizar consultas.

Sin acceso a una intranetpero con conexión a laRed de ProtecciónInteligente

• Archivo de patrones: los clientes no descargan elarchivo de Smart Scan Agent Pattern más reciente amenos que haya disponible una conexión a un servidorde OfficeScan o a una fuente de actualizaciónpersonalizada.

• Consultas de reputación de ficheros y dereputación Web: los clientes se conectan a la SmartProtection Network para realizar consultas.

Sin acceso a la intranet ysin conexión a la Red deProtección Inteligente

• Archivo de patrones: los clientes no descargan elarchivo de Smart Scan Agent Pattern más reciente amenos que haya disponible una conexión a un servidorde OfficeScan o a una fuente de actualizaciónpersonalizada.

• Consultas de reputación de ficheros y dereputación Web: los clientes no reciben los resultadosde las consultas, por lo que deben confiar en SmartScan Agent Pattern y la caché que contiene losresultados de las consultas anteriores.

Configuración de los Servicios de ProtecciónInteligente

Antes de que los clientes puedan utilizar los Servicios de Reputación de Ficheros y losServicios de Reputación Web, asegúrese de que el entorno de la protección inteligente seencuentre correctamente configurado. Compruebe los siguientes aspectos:


4-15

• Instalación del Smart Protection Server en la página 4-15

• Administración del Smart Protection Server Integrado en la página 4-21

• Lista de fuentes de Protección Inteligente en la página 4-27

• Configuración del proxy de conexión del cliente en la página 4-35

• Instalaciones de Trend Micro Network VirusWall en la página 4-35

Instalación del Smart Protection ServerPuede instalar el Smart Protection Server integrado o independiente si el número declientes es igual o inferior a 1.000. Instale un Smart Protection Server independiente sihay más de 1.000 clientes.

Trend Micro recomienda instalar varios Servidores de Protección Inteligente para lasconmutaciones por error. Los clientes que no pueden conectarse a un servidordeterminado intentarán conectarse al resto de servidores que ha instalado.

El servidor integrado y el servidor de OfficeScan se ejecutan en el mismo equipo, por loque el rendimiento del equipo puede reducirse significativamente para los dos servidorescuando haya mucho tráfico. Considere la opción de utilizar los Servidores de ProtecciónInteligente independientes como la fuente de protección inteligente principal para losclientes y el servidor integrado como una copia de seguridad.

Instalación del Smart Protection Server independiente

Para obtener instrucciones acerca de la instalación y la administración del SmartProtection Server independiente, consulte el Manual de instalación y actualización del SmartProtection Server.

Instalación de Smart Protection Server Integrado

Si instaló el servidor integrado durante la instalación del servidor de OfficeScan:

• Active el servidor integrado y configure los parámetros del servidor. Para conocermás detalles, consulte Administración del Smart Protection Server Integrado en la página4-21.


4-16

• Si el mismo equipo contiene el servidor integrado y el cliente de OfficeScan,considere la opción de desactivar OfficeScan Firewall. El OfficeScan Firewall estádiseñado para utilizarse en equipos clientes y, por tanto, puede afectar alrendimiento si se usa en los equipos del servidor. Para obtener instrucciones sobrecómo desactivar el cortafuegos, consulte Activar o desactivar OfficeScan Firewall en lapágina 12-6.

NotaTenga en cuenta las consecuencias si se desactiva el cortafuegos y asegúrese de queesta acción se ajusta a sus previsiones en materia de seguridad.

ConsejoInstale el Smart Protection Server integrado una vez que haya finalizado la instalación deOfficeScan mediante la Herramienta Smart Protection Server Integrado en la página 4-16.

Herramienta Smart Protection Server Integrado

La Herramienta integrada Smart Protection de Trend Micro OfficeScan ayuda a losadministradores a instalar o desinstalar un Smart Protection Server integrado una vezque la instalación del servidor de OfficeScan ha finalizado. La versión actual deOfficeScan no permite a los administradores instalar/eliminar un Smart ProtectionServer integrado una vez que la instalación del servidor de OfficeScan ha finalizado. Estaherramienta mejora la flexibilidad de las funciones de instalación de las versionesanteriores de OfficeScan.

Antes de instalar Smart Protection Server integrado, importe los siguientes elementos asu servidor de OfficeScan 10.6 SP3 actualizado:

• Estructuras de los dominios

• La siguiente configuración a nivel de raíz y dominio:

• Configuración de la exploración para todos los tipos de exploraciones(manual, en tiempo real, programada, ahora)

• Configuración de la reputación Web

• Configuración de la supervisión de comportamiento


4-17

• Configuración de control de dispositivos

• Configuración de la prevención de pérdida de datos

• Derechos y otras configuraciones

• Configuración de servicios adicionales

• Lista de spyware/grayware permitido



• Perfiles y políticas del cortafuegos

• Fuentes de protección inteligente

• Actualización programada del servidor

• Origen de la actualización del cliente y programación

• Notificaciones


Procedimiento

1. Abra una ventana de línea de comandos y vaya a la <Carpeta de instalación delservidor>\PCCSRV\Admin\Utility\ISPSInstaller en el que se encuentraISPSInstaller.exe.

2. Ejecute ISPSInstaller.exe mediante uno de los siguientes comandos:


4-18

TABLA 4-3. Opciones del programa instalador

COMANDO DESCRIPCIÓN

ISPSInstaller.exe /i Instala el Smart Protection Server integradomediante la configuración predeterminada de lospuertos.

Para obtener información detallada acerca de laconfiguración predeterminada de los puertos,consulte la siguiente tabla.

ISPSInstaller.exe /i /f:[Número de puerto] /s:[Número de puerto] /w:[Número de puerto]

Instala el Smart Protection Server integradomediante los puertos especificados, donde:

• /f:[Número de puerto] representa elpuerto HTTP de File Reputation

• /s:[Número de puerto] representa elpuerto HTTPS de File Reputation

• /w:[Número de puerto] representa elpuerto de reputación Web

NotaA los puertos no especificados se lesasigna de forma automática el valorpredeterminado.

ISPSInstaller.exe /u Desinstala el Smart Protection Server integrado

TABLA 4-4. Puertos para los Servicios de Reputación del Smart ProtectionServer integrado

SERVIDOR WEB YCONFIGURACIÓN

PUERTOS PARA LOS SERVICIOS DEFILE REPUTATION

PUERTO HTTPPARA SERVICIOSDE REPUTACIÓN

WEBHTTP HTTPS (SSL)

Servidor Web de Apache conSSL activado

8080 4343 (noconfigurable)

8080 (noconfigurable)

Servidor Web de Apache conSSL desactivado


8080 (noconfigurable)


4-19

SERVIDOR WEB YCONFIGURACIÓN

PUERTOS PARA LOS SERVICIOS DEFILE REPUTATION

PUERTO HTTPPARA SERVICIOSDE REPUTACIÓN

WEBHTTP HTTPS (SSL)

Sitio Web de IISpredeterminado con SSLactivado


80 (noconfigurable)

Sitio Web de IISpredeterminado con SSLdesactivado


80 (noconfigurable)

Sitio Web de IIS virtual conSSL activado

8082 4345(configurable)

5274(configurable)

Sitio Web de IIS virtual conSSL desactivado

8082 4345(configurable)

5274(configurable)

3. Una vez finalizada la instalación, abra la consola Web de OfficeScan y compruebelo siguiente:

• Abra la Consola de administración de Microsoft (introduciendoservices.msc en el menú Iniciar) y compruebe que el Servidor Local deClasificación Web de Trend Micro y Trend Micro Smart Scan Serveraparezcan con el estado "Iniciado".

• Abra el Administrador de tareas de Windows. En la pestaña Procesos,compruebe que iCRCService.exe y LWCSService.exe se esténejecutando.

• En la consola Web de OfficeScan, compruebe que el elemento de menúProtección inteligente > Servidor integrado aparezca.

Prácticas recomendadas del Smart Protection Server

Optimice el rendimiento de los Servidores de Protección Inteligente mediante lassiguientes acciones:

• Evite realizar exploraciones manuales y programadas simultáneamente. Escalonelas exploraciones por grupos.


4-20

• Evite configurar todos los clientes para que realicen la tarea Explorar ahorasimultáneamente.

• Personalice el Smart Protection Server para conexiones de red más lentas(alrededor de 512 Kbps) introduciendo cambios en el archivo ptngrowth.ini.

Personalización de ptngrowth.ini para el Servidor Independiente

Procedimiento

1. Abra el archivo ptngrowth.ini en /var/tmcss/conf/.

2. Modifique el archivo ptngrowth.ini con los valores recomendados indicados acontinuación:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Guarde el archivo ptngrowth.ini.

4. Reinicie el servicio lighttpd escribiendo el siguiente comando de la interfaz delínea de comandos (CLI):

• service lighttpd restart

Personalización de ptngrowth.ini para el Servidor Integrado

Procedimiento

1. Abra el archivo ptngrowth.inide la <carpeta de instalación del servidor>\PCCSRV\WSS\.

2. Modifique el archivo ptngrowth.ini con los valores recomendados indicados acontinuación:


4-21

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Guarde el archivo ptngrowth.ini.

4. Reinicie el servicio del Smart Protection Server de Trend Micro.

Administración del Smart Protection Server IntegradoAdministre el Smart Protection Server Integrado mediante las siguientes tareas:

• Activación de los Servicios de File Reputation y los Servicios de Reputación Webdel servidor integrado

• Registro de las direcciones del servidor integrado

• Actualización de los componentes del servidor integrado

• Configuración de la Lista de URL permitidas/bloqueadas del servidor integrado

• Configuración de las opciones de la lista de C&C de Virtual Analyzer

Para conocer más detalles, consulte Configuración de los ajustes de Smart Protection Serverintegrado en la página 4-24.

Activación de los Servicios de File Reputation y losServicios de Reputación Web del servidor integrado

Para que los clientes envíen consultas de exploración y de reputación Web al servidorintegrado, los Servicios de File Reputation y Servicios de Reputación Web deben estaractivados. Al activar estos servicios también se permite que el servidor integradoactualice los componentes desde un servidor ActiveUpdate.

Estos servicios se activan automáticamente si elige instalar el servidor integrado durantela instalación del servidor de OfficeScan.


4-22

Si desactiva los servicios, asegúrese de que ha instalado servidores de ProtecciónInteligente autónomos a los que los clientes pueden enviar consultas.


Registro de las direcciones del servidor integrado

Necesitará las direcciones del servidor integrado cuando configure la lista de fuentes deprotección inteligente para los clientes internos. Para obtener información detalladasobre la lista, consulte la Lista de fuentes de Protección Inteligente en la página 4-27.

Cuando los clientes envían consultas de exploración al servidor integrado, identifican elservidor mediante una de las dos direcciones de los Servicios de Reputación de Ficheros:HTTP o HTTPS. La conexión mediante la dirección HTTPS permite una conexión mássegura, mientras que la conexión HTTP utiliza menos ancho de banda.

Cuando los clientes envían consultas de reputación Web, estos identifican el servidorintegrado por su dirección de los Servicios de Reputación Web.

ConsejoLos clientes que se gestionan mediante otro servidor de OfficeScan también se conectan aeste servidor integrado. En la consola Web del otro servidor de OfficeScan, agregue ladirección del servidor integrado a la lista de fuentes de protección inteligente.


Actualización de los componentes del servidor integrado

El servidor integrado actualiza los siguientes componentes:

• Smart Scan Pattern: los clientes verifican las posibles amenazas de Smart ScanPattern enviando consultas de exploración al servidor integrado.

• Lista de Bloqueo Web: los clientes sujetos a políticas de reputación Web verificanla reputación de un sitio Web en la Lista de bloqueo Web enviando consultas dereputación Web al servidor integrado.


4-23

Puede actualizar manualmente estos componentes o configurar un programa deactualización. El servidor integrado descarga los componentes del servidorActiveUpdate.

Nota

Un servidor integrado que solo utilice IPv6 no puede actualizar directamente desde TrendMicro ActiveUpdate Server. Es necesario un servidor proxy de doble pila que conviertadirecciones IP, como DeleGate, para permitir al servidor integrado que se conecte alservidor ActiveUpdate.


Configuración de la lista de URL permitidas/bloqueadas delservidor integrado

Los clientes conservan su propia Lista de URL permitidas/bloqueadas. Configure la listapara los clientes cuando establezca las políticas de reputación Web (consulte Políticas dereputación Web en la página 11-5para obtener más información). Las URL de la lista delcliente se permitirán o bloquearán automáticamente.

El servidor integrado tiene su propia lista de URL permitidas/bloqueadas Si una URLno se encuentra en la lista del cliente, este envía una consulta de reputación Web alservidor integrado (si se ha asignado una fuente de protección inteligente a dichoservidor). Si la URL se encuentra en la lista de URL permitidas/bloqueadas del servidorintegrado, este notifica al cliente para permitir o bloquear la URL.

Nota

La lista de URL bloqueadas tiene prioridad sobre la Lista de bloqueo Web.

Para agregar URL a la lista de URL permitidas/bloqueadas del servidor integrado,importe una lista de un Smart Protection Server independiente. No se puede agregar unaURL de forma manual.


4-24


Configuración de conexión de Deep Discovery Advisor yVirtual AnalyzerConfigure las opciones de la lista de C&C de Virtual Analyzer para establecer unaconexión entre el Smart Protection Server integrado y el servidor de Deep DiscoveryAdvisor. Virtual Analyzer de Deep Discovery Advisor crea la lista de C&C de VirtualAnalyzer que el Smart Protection Server almacena para que OfficeScan la utilice.

Después de establecer una conexión correcta con el servidor de Deep DiscoveryAdvisor, active la lista de C&C de Virtual Analyzer para supervisar las rellamadas deC&C realizadas a los servidores previamente identificados por otros clientes en la red.


Configuración de los ajustes de Smart Protection Serverintegrado

Procedimiento

1. Vaya a Protección inteligente > Servidor integrado.

2. Seleccione Activar los Servicios de Reputación de Ficheros.

3. Seleccione el protocolo (HTTP o HTTPS) que utilizarán los clientes cuando envíenconsultas de exploración al servidor integrado.

4. Seleccione Activar los Servicios de Reputación Web.

5. Registre las direcciones del servidor integrado que se encuentran en la columnaDirección del servidor.

6. Para actualizar los componentes del servidor integrado:

• Vea las versiones actuales de Smart Scan Pattern y de la Lista de bloqueoWeb. Si hay alguna actualización disponible, haga clic en Actualizar ahora. Elresultado de la actualización se muestra en la parte superior de la pantalla.


4-25

• Para actualizar el patrón de forma automática:

a. Seleccione Activar las actualizaciones programadas.

b. Seleccione si las actualizaciones se realizan cada hora o cada 15 minutos.

c. Seleccione una fuente de actualización en Servicios de File Reputation.Smart Scan Pattern se actualizará desde esta fuente.

d. Seleccione una fuente de actualización en Servicios de ReputaciónWeb. La Lista de bloqueo Web se actualizará desde esta fuente.

Nota

• Si selecciona el servidor ActiveUpdate como fuente de actualización, asegúresede que el servidor tiene conexión a Internet y, en el caso de utilizar un servidorproxy, compruebe si la conexión a Internet se puede establecer utilizando laconfiguración del proxy. Consulte el apartado Proxy para las actualizaciones delservidor de OfficeScan en la página 6-19 para obtener información detallada.

• Si selecciona una fuente de actualización personalizada, configure el entornocorrespondiente y actualice los recursos de esta fuente de actualización. Además,asegúrese de que existe conexión entre el equipo servidor y la fuente deactualización. Si necesita ayuda a la hora de configurar una fuente deactualización, póngase en contacto con el proveedor de asistencia.

7. Para configurar la Lista de URL permitidas/bloqueadas del servidor integrado:

a. Haga clic en Importar para llenar la lista con las URL a partir de unarchivo .csv con formato aplicado previamente. Puede conseguir elarchivo .csv de un Smart Protection Server independiente.

b. Si dispone de una lista, haga clic en Exportar para guardar la lista en unarchivo .csv.

8. Nota

• Póngase en contacto con el administrador de Deep Discovery Advisor paraobtener el nombre del servidor o la dirección IP, el número de puerto y unaclave API válida.

• Esta versión de OfficeScan sólo admite Deep Discovery Advisor 3.0 y posterior.


4-26

Para configurar la conexión de Virtual Analyzer del servidor de Deep DiscoveryAdvisor:

a. Escriba el nombre del servidor o la dirección IP del servidor de DeepDiscovery Advisor.

Nota

El nombre del servidor es compatible con los formatos FQDN y la direcciónIP es compatible con el formato IPv4. La dirección del servidor sólo admite elprotocolo HTTPS.

b. Escriba la clave API.

c. Haga clic en Registrar para conectarse al servidor de Deep DiscoveryAdvisor.

Nota

Los administradores pueden probar la conexión al servidor antes de registrarseen el servidor.

d. Seleccione Activar la lista de C&C de Virtual Analyzer para permitir queOfficeScan utilice la lista de C&C personalizada que ha analizado el servidorlocal de Deep Discovery Advisor.

Nota

La opción Activar la lista de C&C de Virtual Analyzer solo está disponibleuna vez establecida correctamente la conexión al servidor de Deep DiscoveryAdvisor.

Los administradores pueden sincronizarse manualmente con Deep DiscoveryAdvisor en cualquier momento haciendo clic en el botón Sincronizar ahora.



4-27

Lista de fuentes de Protección InteligenteLos clientes envían consultas a las fuentes de protección inteligente cuando realizanexploraciones en busca de riesgos de seguridad y determinan la reputación de un sitioWeb.

Compatibilidad de las fuentes de protección inteligente conIPv6

Un cliente que solo utilice IPv6 no puede enviar consultas directamente a fuentes queutilicen únicamente IPv4, como:

• Smart Protection Server 2.0 (integrado o independiente)

NotaLa versión 2.5 del Smart Protection Server es la primera compatible con IPv6.


Igualmente, un cliente que solo utilice IPv4 no puede enviar consultas a los Servidoresde Protección Inteligente que utilicen únicamente IPv6.

Es necesario un servidor proxy de doble pila que convierta direcciones IP, comoDeleGate, para permitir a los clientes que se conecten a las fuentes.

Fuentes de protección inteligente y ubicación del equipo

La fuente de protección inteligente a la que se conecta el cliente depende de la ubicacióndel equipo cliente.

Para obtener información detallada sobre cómo configurar la ubicación, consulteUbicación del equipo en la página 14-2.


4-28

TABLA 4-5. Fuentes de protección inteligente por ubicación

LOCALIZACIÓN FUENTES DE PROTECCIÓN INTELIGENTE

externo Los clientes externos envían consultas de exploración y de reputaciónWeb a la Red de Protección Inteligente de Trend Micro.

interno Los clientes internos envían consultas de exploración y de reputaciónWeb a los Servidores de Protección Inteligente o la Red de ProtecciónInteligente de Trend Micro.

Si ha instalado Servidores de Protección Inteligente, configure la listade fuentes de Protección Inteligente en la consola OfficeScan Web. Uncliente interno elige un servidor de la lista si necesita realizar unaconsulta. Si un cliente no puede conectarse al primer servidor, eligeotro servidor de la lista.

ConsejoAsigne un Smart Protection Server Independiente como la fuentede exploración principal y el Servidor Integrado como una copiade seguridad. De esta forma, se reduce el tráfico dirigido alequipo que aloja el servidor de OfficeScan y el ServidorIntegrado. El Servidor Independiente también puede procesarmás consultas de exploración.

Puede configurar la lista de fuentes de protección inteligente estándaro la personalizada. La lista estándar la utilizan todos los clientesinternos. Las listas personalizadas definen un intervalo de direccionesIP. En caso de que una dirección IP de un cliente interno se encuentredentro del intervalo, el cliente utilizará la lista personalizada.

Configuración de la lista estándar de fuentes de proteccióninteligente

Procedimiento

1. Vaya a Protección inteligente > Fuentes de protección inteligente.

2. Haga clic en la ficha Clientes internos.


4-29

3. Seleccione Usar la lista estándar (todos los clientes internos utilizarán lalista).

4. Haga clic en el enlace lista estándar.

Se abrirá una nueva pantalla.



6. Especifique el nombre de host o la dirección IPv4/IPv6 del Smart ProtectionServer. Si especifica una dirección IPv6, escríbala entre paréntesis.

Nota

Especifique el nombre de host si se conectan clientes IPv4 y IPv6 al Smart ProtectionServer.

7. Seleccione Servicios de File Reputation. Los clientes envían consultas deexploración mediante el protocolo HTTP o HTTPS. HTTPS permite una conexiónmás segura mientras que HTTP utiliza menos ancho de banda.

a. Si desea que los clientes utilicen HTTP, escriba el puerto de escucha delservidor para las consultas HTTP. Si desea que los clientes utilicen HTTPS,seleccione SSL y escriba el puerto de escucha del servidor para las consultasHTTPS.

b. Haga clic en Probar la conexión para comprobar si se puede establecerconexión con el servidor.

Consejo

Los puertos de escucha forman parte de la dirección del servidor. Para obtener ladirección del servidor:

en el caso del servidor integrado, abra la consola Web de OfficeScan y vaya aProtección inteligente > Servidor integrado.

Para el servidor independiente, abra la consola del servidor independiente y vayaa la pantalla Resumen.


4-30

8. Seleccione Servicios de Reputación Web. Los clientes envían consultas dereputación Web mediante el protocolo HTTP. HTTPS no es compatible.

a. Escriba el puerto de escucha del servidor para las consultas HTTP.

b. Haga clic en Probar la conexión para comprobar si se puede establecerconexión con el servidor.


La pantalla se cerrará.

10. Para agregar más servidores, repita los pasos anteriores.

11. En la parte superior de la pantalla, seleccione Orden o Aleatorio.

• Orden: los clientes seleccionan los servidores en el orden en que aparecen enla lista. Si selecciona Orden, use las flechas que se encuentran en la columnaOrden para mover los servidores hacia arriba y abajo en la lista.

• Aleatorio: los clientes seleccionan los servidores de forma aleatoria.

ConsejoEl Smart Protection Server Integrado y el servidor de OfficeScan se ejecuta en elmismo equipo y, por tanto, el rendimiento del equipo puede reducirsesignificativamente para los dos servidores cuando haya mucho tráfico. A fin dereducir el tráfico dirigido al equipo del servidor de OfficeScan, asigne un SmartProtection Server Independiente como la fuente de protección inteligente principal yel servidor integrado como una fuente de copia de seguridad.

12. Lleve a cabo tareas varias en la pantalla.

• Si ha exportado una lista desde otro servidor y desea importarla a estapantalla, haga clic en Importar y busque el archivo .dat. La lista se cargaráen la pantalla.

• Para exportar la lista a un archivo .dat, haga clic en Exportar y, acontinuación, en Guardar.

• Para actualizar el estado de servicio de los servidores, haga clic en Actualizar.

• Haga clic en el nombre del servidor para realizar una de las siguientesacciones:


4-31

• Para ver o editar la información sobre el servidor.

• Visualice la dirección completa del servidor para los Servicios deReputación Web o los Servicios de Reputación de Ficheros.

• Para abrir la consola de un Smart Protection Server, haga clic en Iniciarconsola.

• Para el Smart Protection Server Integrado, aparecerá la pantalla deconfiguración del servidor.

• Para los Servidores de Protección Inteligente Independientes y el SmartProtection Server Integrado de otro servidor de OfficeScan, aparecerá lapantalla de inicio de sesión de la consola.

• Para eliminar una entrada, seleccione la casilla de verificación del servidor yhaga clic en Eliminar.


La pantalla se cerrará.

14. Haga clic en Notificar a todos los clientes.

Configuración de listas personalizadas de fuentes deprotección inteligente

Procedimiento

1. Vaya a Protección inteligente > Fuentes de protección inteligente.

2. Haga clic en la ficha Clientes internos.

3. Seleccione Utilizar listas personalizadas basadas en las direcciones IP de losclientes.

4. (Opcional) Seleccione Utilizar la lista estándar si ninguno de los servidores delas listas personalizadas está disponible.



4-32


6. En la sección Intervalo de IP, especifique un intervalo de direcciones IPv4 oIPv6, o ambas.

NotaLos clientes con una dirección IPv4 pueden conectarse a Servidores de ProtecciónInteligente que solo utilicen IPv4 o con doble pila. Los clientes con una direcciónIPv6 pueden conectarse a Servidores de Protección Inteligente que solo utilicen IPv6o con doble pila. Los clientes con direcciones tanto IPv4 como IPv6 puedenconectarse a cualquier Smart Protection Server.

7. En la sección Configuración del proxy, especifique la configuración del proxyque utilizarán los clientes para conectarse a los Servidores de ProtecciónInteligente.

a. Seleccione Utilizar un servidor proxy para la comunicación entre clientey Smart Protection Server.

b. Especifique el nombre del servidor proxy o la dirección IPv4/IPv6, ademásdel número de puerto.

c. Si el servidor proxy necesita autenticación, escriba el nombre de usuario y lacontraseña.

8. En Lista personalizada del Smart Protection Server, agregue los Servidores deProtección Inteligente.

a. Especifique el nombre de host o la dirección IPv4/IPv6 del Smart ProtectionServer. Si especifica una dirección IPv6, escríbala entre paréntesis.

NotaEspecifique el nombre de host si se conectan clientes IPv4 y IPv6 al SmartProtection Server.

b. Seleccione Servicios de File Reputation. Los clientes envían consultas deexploración mediante el protocolo HTTP o HTTPS. HTTPS permite unaconexión más segura mientras que HTTP utiliza menos ancho de banda.

i. Si desea que los clientes utilicen HTTP, escriba el puerto de escucha delservidor para las consultas HTTP. Si desea que los clientes utilicen


4-33

HTTPS, seleccione SSL y escriba el puerto de escucha del servidor paralas consultas HTTPS.

ii. Haga clic en Probar la conexión para comprobar si se puede establecerconexión con el servidor.

ConsejoLos puertos de escucha forman parte de la dirección del servidor. Para obtenerla dirección del servidor:

En el caso del servidor integrado, abra OfficeScan Web Console y vaya aSmart Protection > Integrated Server.

Para el servidor independiente, abra la consola del servidor independientey vaya a la pantalla Resumen.

c. Seleccione Servicios de Reputación Web. Los clientes envían consultas dereputación Web mediante el protocolo HTTP. HTTPS no es compatible.

i. Escriba el puerto de escucha del servidor para las consultas HTTP.

ii. Haga clic en Probar la conexión para comprobar si se puede establecerconexión con el servidor.

d. Haga clic en Agregar a la lista.

e. Para agregar más servidores, repita los pasos anteriores.

f. Seleccione Orden o Aleatorio.

• Orden: los clientes seleccionan los servidores en el orden en queaparecen en la lista. Si selecciona Orden, use las flechas que seencuentran en la columna Orden para mover los servidores hacia arribay abajo en la lista.

• Aleatorio: los clientes seleccionan los servidores de forma aleatoria.


4-34

Consejo

El Smart Protection Server Integrado y el servidor de OfficeScan se ejecuta enel mismo equipo y, por tanto, el rendimiento del equipo puede reducirsesignificativamente para los dos servidores cuando haya mucho tráfico. A fin dereducir el tráfico dirigido al equipo del servidor de OfficeScan, asigne un SmartProtection Server Independiente como la fuente de protección inteligenteprincipal y el servidor integrado como una fuente de copia de seguridad.

g. Lleve a cabo tareas varias en la pantalla.

• Para actualizar el estado de servicio de los servidores, haga clic enActualizar.

• Para abrir la consola de un Smart Protection Server, haga clic en Iniciarconsola.

• Para el Smart Protection Server Integrado, aparecerá la pantalla deconfiguración del servidor.

• Para los Servidores de Protección Inteligente Independientes y elSmart Protection Server Integrado de otro servidor de OfficeScan,aparecerá la pantalla de inicio de sesión de la consola.

• Para eliminar alguna entrada, haga clic en Eliminar ( ).


La pantalla se cerrará. La lista que acaba de agregar aparece como un enlace deintervalo de direcciones IP en la tabla Intervalo de IP.

10. Repita los pasos 4 al 8 para añadir más listas personalizadas.


• Para modificar una lista, haga clic en el enlace de intervalo de direcciones IP ymodifique la configuración en la pantalla que se abre.

• Para exportar la lista a un archivo .dat, haga clic en Exportar y, acontinuación, en Guardar.


4-35

• Si ha exportado una lista desde otro servidor y desea importarla a estapantalla, haga clic en Importar y busque el archivo .dat. La lista se cargaráen la pantalla.


Configuración del proxy de conexión del cliente

Si la conexión a la red de Protección inteligente requiere la autenticación del proxy,especifique las credenciales de autenticación. Para conocer más detalles, consulte Proxyexterno para clientes de OfficeScan en la página 14-53.

Defina los valores internos de configuración del proxy que los clientes utilizarán cuandose conecten a un Smart Protection Server. Para conocer más detalles, consulte Proxyinterno para clientes de OfficeScan en la página 14-51.

Configuración de la ubicación del equipo

OfficeScan incluye una función de conocimiento de la ubicación que identifica laubicación del equipo del cliente y determina si el cliente se conecta al Red de ProtecciónInteligente o a Smart Protection Server. Así se garantiza siempre la protección de losclientes independientemente de su ubicación.

Para establecer la configuración de ubicación, consulte Ubicación del equipo en la página14-2.

Instalaciones de Trend Micro Network VirusWall

Si tiene instalado Trend Micro™Network VirusWall™Enforcer:

• Instale un archivo hot fix (compilación 1047 para Network VirusWall Enforcer2500 y compilación 1013 para Network VirusWall Enforcer 1200).

• Actualice el motor OPSWAT a la versión 2.5.1017 para activar el producto ydetectar un método de exploración del cliente.


4-36

Uso de los Servicios de Protección InteligenteUna vez que el entorno de la protección inteligente se haya configurado correctamente,los clientes podrán utilizar los Servicios de Reputación de Ficheros y los Servicios deReputación Web. También puede comenzar a configurar el Feedback Inteligente.

NotaPara obtener instrucciones sobre cómo configurar el entorno de protección inteligente,consulte Configuración de los Servicios de Protección Inteligente en la página 4-14.

Para beneficiarse de la protección ofrecida por los Servicios de File Reputation, losclientes deben utilizar el método de exploración llamado smart scan. Para obtenerinformación detallada acerca de smart scan y el modo de activarlo para los clientes,consulte Métodos de exploración en la página 7-7.

Para permitir a los clientes de OfficeScan que utilicen los Servicios de Reputación Web,configure las políticas de reputación Web. Para conocer más detalles, consulte Políticas dereputación Web en la página 11-5.

NotaLa configuración de los métodos de exploración y las políticas de reputación Web songranulares. En función de sus requisitos, puede configurar parámetros que se apliquen atodos los clientes o configurar parámetros independientes para clientes individuales ogrupos de clientes.

Para obtener instrucciones acerca de cómo configurar el Feedback Inteligente, consulteFeedback Inteligente en la página 13-53.

5-1

Capítulo 5

Instalación del cliente de OfficeScanEn este capítulo se describen los requisitos del sistema de Trend Micro™OfficeScan™ ylos procedimientos de instalación del cliente de OfficeScan.

Para obtener información detallada acerca de la actualización del cliente de OfficeScan,consulte el Manual de instalación y actualización de OfficeScan.


• Instalaciones nuevas del cliente de OfficeScan en la página 5-2

• Consideraciones sobre la instalación en la página 5-2

• Consideraciones sobre la implementación en la página 5-11

• Migrar al cliente de OfficeScan en la página 5-69

• Posterior a la instalación en la página 5-73

• Desinstalación del cliente de OfficeScan en la página 5-76


5-2

Instalaciones nuevas del cliente de OfficeScanEl cliente de OfficeScan se puede instalar en equipos que ejecuten las siguientesplataformas Microsoft Windows: OfficeScan también es compatible con diversosproductos de terceros.

Visite el siguiente sitio Web para obtener una lista completa de los requisitos del sistemay los productos de terceros compatibles:


Consideraciones sobre la instalaciónAntes de proceder a instalar clientes, tenga en cuenta lo siguiente:

• Funciones del cliente de OfficeScan: algunas funciones de clientes no estándisponibles en determinadas plataformas Windows.

• Compatibilidad con IPv6: el cliente de OfficeScan puede instalarse en clientes dedoble pila o que solo utilicen IPv6. Sin embargo:

• Algunos sistemas operativos de Windows en los que puede instalarse el clientede OfficeScan no son compatibles con el direccionamiento IPv6.

• En algunos métodos de instalación, existen requisitos especiales para instalarcorrectamente el cliente de OfficeScan.

• Direcciones IP del cliente de OfficeScan: en clientes con direcciones IPv4 eIPv6, puede elegir qué dirección IP se utilizará cuando el cliente se registre en elservidor.

• Listas de excepciones: asegúrese de que las listas de excepciones para lasfunciones siguientes se han configurado correctamente:

• Supervisión de comportamiento: agregue aplicaciones informáticas críticasa la lista Programas permitidos para evitar que el cliente de OfficeScanbloquee dichas aplicaciones. Para obtener más información, consulte Lista deexcepción de supervisión del comportamiento en la página 8-6.


Instalación del cliente de OfficeScan

5-3

• Reputación Web: agregue sitios Web que considere seguros a la Lista deURL permitidas para evitar que el cliente de OfficeScan bloquee el acceso alos sitios Web. Para obtener más información, consulte Políticas de reputaciónWeb en la página 11-5.

Funciones del cliente de OfficeScanLas funciones de clientes de OfficeScan que hay disponibles en un equipo dependen delsistema operativo de éste.

TABLA 5-1. Funciones del cliente de OfficeScan en plataformas de servidor

CARACTERÍSTICA

SISTEMA OPERATIVO WINDOWS

SERVIDOR 2003 SERVER 2008/SERVER CORE 2008

SERVER 2012/SERVER CORE 2012

Exploración manual,exploración en tiemporeal y exploraciónprogramada

Sí Sí Sí

Actualización decomponentes (manualy programada)

Sí Sí Sí

Agente deactualización

Sí Sí Sí

Reputación Web Sí, perodesactivada deformapredeterminadadurante lainstalación delservidor

Sí, perodesactivada deformapredeterminadadurante lainstalación delservidor

Sí, perodesactivada deformapredeterminadadurante lainstalación delservidor ycompatibilidadlimitada para elmodo de interfazde usuario deWindows


5-4

CARACTERÍSTICA




Damage CleanupServices

Sí Sí Sí

Cortafuegos deOfficeScan



Sí, perodesactivada deformapredeterminadadurante lainstalación y no seadmite filtro deaplicaciones


Sí (32 bits), perodesactivada deformapredeterminada



No (64 bits) Sí (64 bits), perodesactivada deformapredeterminada

Autoprotección delcliente para:

• Claves de registro

• Procesos






• Servicios

• Protección dearchivos

Sí Sí Sí


5-5

CARACTERÍSTICA




Control de dispositivos

(Servicio de prevenciónde cambios noautorizados)





Protección de datos

(incluida la protecciónde datos para el controlde dispositivos)






Microsoft Outlook mailscan

Sí (32 bits) No No

No (64 bits)

POP3 mail scan Sí Sí Sí

Compatibilidad conCisco NAC

No No No

Client Plug-in Manager Sí Sí Sí

Modo roaming Sí Sí (servidor)

No (Server Core)

Sí

Compatibilidad paraSecureClient

Sí (32 bits) No No

No (64 bits)

Feedback Inteligente Sí Sí Sí


5-6

TABLA 5-2. Funciones del cliente de OfficeScan en plataformas de escritorio

CARACTERÍSTICASISTEMA OPERATIVO WINDOWS

XP VISTA WINDOWS 7 WINDOWS 8

Exploración manual,exploración en tiemporeal y exploraciónprogramada

Sí Sí Sí Sí

Actualización decomponentes (manualy programada)

Sí Sí Sí Sí

Agente deactualización

Sí Sí Sí Sí

Reputación Web Sí Sí Sí Sí, perosolamentecompatibilidad limitadapara el modode interfaz deusuario deWindows

Damage CleanupServices

Sí Sí Sí Sí

Cortafuegos deOfficeScan

Sí Sí Sí Sí, pero no seadmite filtrodeaplicaciones


Sí (32 bits) Sí (32 bits) Sí (32 bits) Sí (32 bits)

No (64 bits) Sí (64 bits)

Para lacompatibilidad con Vista de64 bits serequiere SP1o SP2

Sí (64 bits) Sí (64 bits)


5-7




• Claves deregistro

• Procesos






• Servicios

• Protección dearchivos

Sí Sí Sí Sí


(Servicio deprevención decambios noautorizados)





Protección de datos

(incluida la protecciónde datos para elcontrol dedispositivos)

Sí (32 bits) Sí (32 bits) Sí (32 bits) Sí (32 bits) enmodo deescritorio

Sí (64 bits) Sí (64 bits) Sí (64 bits) Sí (64 bits) enmodo deescritorio

Microsoft Outlook mailscan

Sí (32 bits) No No No

No (64 bits)


5-8



POP3 mail scan Sí Sí Sí Sí

Compatibilidad conCisco NAC

Sí No No No

Client Plug-inManager

Sí Sí Sí Sí

Modo roaming Sí Sí Sí Sí

Compatibilidad paraSecureClient

Sí (32 bits) No No No

No (64 bits)

Feedback Inteligente Sí Sí Sí Sí

Instalación del cliente de OfficeScan y compatibilidad conIPv6

En este tema se proporcionan algunas consideraciones que se deben tener en cuenta alinstalar el cliente de OfficeScan en clientes de doble pila o que solo utilicen IPv6.

Sistema operativoEl cliente de OfficeScan solo se puede instalar en los siguientes sistemas operativos quesean compatibles con el direccionamiento IPv6.

• Windows Vista™ (todas las ediciones)

• Windows Server 2008 (todas las ediciones)

• Windows 7 (todas las ediciones)

• Windows Server 2012 (todas las ediciones)

• Windows 8 (todas las ediciones)

Visite el siguiente sitio Web para obtener una lista completa de los requisitos del sistema:


5-9


Métodos de instalación

Se pueden utilizar todos los métodos de instalación del cliente de OfficeScan parainstalarlo en clientes de doble pila o que solo utilicen IPv6. En algunos métodos deinstalación, existen requisitos especiales para instalar correctamente el cliente deOfficeScan.

No se puede migrar ServerProtect™ al cliente de OfficeScan mediante ServerProtectNormal Server Migration Tool, dado que esta herramienta no es compatible con eldireccionamiento IPv6.

TABLA 5-3. Métodos de instalación y compatibilidad con IPv6

MÉTODO DE INSTALACIÓN REQUISITOS/CONSIDERACIONES

Página Web deinstalación e instalaciónbasada en elexplorador

La URL a la página de instalación incluye el nombre del host ola dirección IP del servidor de OfficeScan.

Si está realizando la instalación en un cliente que solo utiliceIPv6, el servidor ha de ser de doble pila o debe utilizarúnicamente IPv6; además, su nombre de host o direcciónIPv6 deben formar parte de la URL.

Para los clientes de doble pila, la dirección IPv6 que semuestra en la pantalla de estado de la instalación depende dela opción que se haya seleccionado en la sección DirecciónIP preferida de Equipos en red > Configuración generaldel cliente.

Client Packager Cuando esté ejecutando la herramienta Client Packager,deberá seleccionar si desea asignar derechos de agente deactualización al cliente. Recuerde que un agente deactualización que solo utilice IPv6 puede distribuir lasactualizaciones únicamente a clientes de doble pila o que soloutilicen IPv6.



5-10

MÉTODO DE INSTALACIÓN REQUISITOS/CONSIDERACIONES

Conformidad con lasnormas de seguridad,Vulnerability Scanner einstalación remota

Un servidor que solo utilice IPv6 no puede instalar el clientede OfficeScan en clientes que utilicen únicamente IPv4. Deforma similar, un servidor que solo utilice IPv4 no puedeinstalar el cliente de OfficeScan en clientes que utilicenúnicamente IPv6.

Direcciones IP del cliente

Un servidor de OfficeScan instalado en un entorno que sea compatible con eldireccionamiento IPv6 puede administrar los siguientes clientes de OfficeScan:

• Un servidor de OfficeScan instalado en un equipo host que solo utilice IPv6 purapuede administrar clientes que utilicen únicamente IPv6.

• Un servidor de OfficeScan instalado en un equipo host de doble pila y que tengaasignadas direcciones IPv4 e IPv6 puede administrar clientes de doble pila y quesolo utilicen IPv6 o IPv4.

Después de instalar o actualizar los clientes, estos se registran en el servidor medianteuna dirección IP.

• Los clientes que solo utilicen IPv6 se registran mediante una dirección IPv6.

• Los clientes que solo utilicen IPv4 se registran mediante una dirección IPv4.

• Los clientes de doble pila se registran mediante una dirección IPv4 o IPv6. Puedeelegir la dirección IP que vayan a utilizar estos clientes.

Configuración de la dirección IP que los clientes de doble pilautilizan al registrarse en el servidor

Esta configuración solo está disponible para servidores de OfficeScan de doble pila ysolo la aplican clientes de doble pila.

Procedimiento

1. Vaya a Equipos en red > Configuración general del cliente.


5-11

2. Vaya a la sección Dirección IP preferida.

3. Seleccione una de estas opciones:

• Sólo IPv4: los clientes utilizan su dirección IPv4.

• IPv4 en primer lugar y, después, IPv6: los clientes utilizan primero sudirección IPv4. Si el cliente no puede registrarse mediante su dirección IPv4,utilizará su dirección IPv6. Si el registro no se realiza correctamente conninguna de las direcciones IP, el cliente vuelve a intentarlo mediante laprioridad de dirección IP para esta selección.

• IPv6 en primer lugar y, después, IPv4: los clientes utilizan primero sudirección IPv6. Si el cliente no puede registrarse mediante su dirección IPv6,utilizará su dirección IPv4. Si el registro no se realiza correctamente conninguna de las direcciones IP, el cliente vuelve a intentarlo mediante laprioridad de dirección IP para esta selección.


Consideraciones sobre la implementaciónEn esta sección se ofrece un resumen de los diferentes métodos de instalación delcliente de OfficeScan para realizar una instalación nueva del cliente de OfficeScan.Todos los métodos de instalación requieren derechos de administrador local en losequipos de destino.

Si está instalando clientes y desea activar la compatibilidad con IPv6, lea las directricesde Instalación del cliente de OfficeScan y compatibilidad con IPv6 en la página 5-8.


5-12

TABLA 5-4. Consideraciones sobre la implementación para la instalación

MÉTODO DEINSTALACIÓN Y

COMPATIBILIDAD CONSISTEMAS OPERATIVOS

CONSIDERACIONES SOBRE LA IMPLEMENTACIÓN

IMPLEMENTACIÓN

DE LAWAN

ADMINISTRACIÓN

CENTRALIZADA

REQUIERE LA

INTERVENCIÓN DELUSUARIO

PRECISA

RECURSOS DE

TI

IMPLEMENTACIÓNEN MASA

ANCHO DEBANDA

CONSUMIDO

Página Web deinstalación

Compatible contodos los sistemasoperativos exceptoWindows ServerCore 2008 yWindows 8/Server2012/ Server Core2012 en modo deinterfaz de usuariode Windows

No No Sí No No Alto


5-13




IMPLEMENTACIÓN

DE LAWAN

ADMINISTRACIÓN

CENTRALIZADA

REQUIERE LA


PRECISA

RECURSOS DE

TI


ANCHO DEBANDA

CONSUMIDO

En la páginaIniciar lainstalación basadaen explorador

Compatible contodos los sistemasoperativos

NotaNocompatiblecon Windows8 ni WindowsServer 2012si operan enel modo deinterfaz deusuario deWindows.

No No Sí Sí No Alto (si lasinstalaciones se iniciansimultáneamente)

Instalacionesbasadas en UNC




5-14




IMPLEMENTACIÓN

DE LAWAN

ADMINISTRACIÓN

CENTRALIZADA

REQUIERE LA


PRECISA

RECURSOS DE

TI


ANCHO DEBANDA

CONSUMIDO

Desde la páginade instalaciónremota

Compatible contodos los sistemasoperativos, salvoen:

• Windows VistaHome Basic yHome PremiumEditions

• Windows XPHome Edition

• Windows 7Home Basic/Home Premium

• Windows 8(versionbásica)

No Sí No Sí No Alto

Configuración deinicio de sesión



Client Packager


No No Sí Sí No Reducido,si seprograma


5-15




IMPLEMENTACIÓN

DE LAWAN

ADMINISTRACIÓN

CENTRALIZADA

REQUIERE LA


PRECISA

RECURSOS DE

TI


ANCHO DEBANDA

CONSUMIDO

Client Packager(paquete de MSIimplementadomedianteMicrosoft SMS)


Sí Sí Sí/No Sí Sí Reducido,si seprograma

Client Packager(paquete de MSIimplementadomediante ActiveDirectory)


Sí Sí Sí/No Sí Sí Alto (si lasinstalaciones se iniciansimultáneamente)

Imagen de discode cliente


No No No Sí No Bajo


5-16




IMPLEMENTACIÓN

DE LAWAN

ADMINISTRACIÓN

CENTRALIZADA

REQUIERE LA


PRECISA

RECURSOS DE

TI


ANCHO DEBANDA

CONSUMIDO

Trend MicroVulnerabilityScanner (TMVS)







5-17




IMPLEMENTACIÓN

DE LAWAN

ADMINISTRACIÓN

CENTRALIZADA

REQUIERE LA


PRECISA

RECURSOS DE

TI


ANCHO DEBANDA

CONSUMIDO

Instalacionesconformes con lasnormas deseguridad




• Windows 7Home Basic/Home Premium



Instalaciones de la página Web de instalación

Los usuarios pueden instalar el programa cliente de OfficeScan desde la página Web deinstalación si se ha instalado el servidor de OfficeScan en un equipo en el que seejecuten las siguientes plataformas:

• Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x

• Windows Server 2008 con Internet Information Server (IIS) 7.0


5-18

• Windows Server 2008 R2 con Internet Information Server (IIS) 7.5

• Windows Server 2012 con Internet Information Server (IIS) 8.0

Para realizar la instalación desde la página Web, necesita los siguientes componentes:

• Internet Explorer con el nivel de seguridad establecido de forma que permita loscontroles ActiveX™. Las versiones requeridas son las siguientes:

• 6.0 en Windows XP y Windows Server 2003

• 7.0 en Windows Vista y Windows Server 2008

• 8.0 en Windows 7

• 10.0 en Windows 8 y Windows Server 2012

• Derechos de administrador en el equipo

Envíe las siguientes instrucciones a los usuarios para instalar el cliente de OfficeScandesde la página Web de instalación. Para enviar una notificación de instalación delcliente de OfficeScan a través de correo electrónico, consulte Inicio de una instalaciónbasada en explorador en la página 5-20.

Instalar desde la página Web de instalación

Procedimiento

1. Inicie una sesión en el equipo con una cuenta de administrador integrado.

Nota

Para plataformas de Windows 7 u 8, primero tiene que activar la cuenta deadministrador integrada. Windows 7 y 8 desactivan la cuenta de administradorintegrada de manera predeterminada. Para obtener más información, consulte el sitiode asistencia de Microsoft (http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx).

2. Si realiza la instalación en un equipo que ejecuta Windows XP, Vista, Server 2008,7, 8 o Server 2012, siga los pasos siguientes:

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx


5-19

a. Inicie Internet Explorer y añada la URL del servidor de OfficeScan (como,por ejemplo, https://<nombre del servidor de OfficeScan>:4343/officescan) a la lista de sitios de confianza. En Windows XP Home,vaya a la pestaña Herramientas > Opciones de Internet > Seguridad paraacceder a la lista; a continuación, seleccione el icono Sitios de confianza yhaga clic en Sitios.

b. Modifique la configuración de seguridad de Internet Explorer para activarPedir intervención del usuario automática para controles ActiveX. EnWindows XP, vaya a la pestaña Herramientas > Opciones de Internet >Seguridad y, a continuación, haga clic en Nivel personalizado.

3. Abra una ventana de Internet Explorer y escriba una de las siguientes opciones:

• Servidor de OfficeScan con SSL:

https://<nombre del servidor de OfficeScan>:<puerto>/officescan

• Servidor de OfficeScan sin SSL:

http://<nombre del servidor de OfficeScan>:<puerto>/officescan

4. Haga clic en el enlace de la página de inicio de sesión.

5. En la nueva pantalla que se visualiza, haga clic en Instalar ahora para iniciar lainstalación del cliente de OfficeScan. Comienza la instalación del cliente deOfficeScan. Cuando el sistema lo solicite, permita la instalación de controlesActiveX. El icono del cliente de OfficeScan aparecerá en la bandeja del sistema deWindows tras la instalación.

NotaPara obtener una lista con los iconos que se visualizan en la bandeja del sistema,consulte Iconos del cliente de OfficeScan en la página 14-26.


5-20

Instalación basada en exploradorConfigure un mensaje de correo electrónico que indique a los usuarios de la red queinstalen el cliente de OfficeScan. Para iniciar la instalación, los usuarios tienen que hacerclic en el enlace al instalador del cliente de OfficeScan que contiene el mensaje.

Antes de instalar clientes de OfficeScan:

• Compruebe los requisitos de instalación del cliente de OfficeScan.

• Identifique los equipos de la red que actualmente no están protegidos frente ariesgos de seguridad. Realice las siguientes tareas:

• Ejecute Trend Micro Vulnerability Scanner. Esta herramienta comprueba silos equipos tienen instalado un software antivirus a partir del rango dedirecciones IP especificado. Para conocer más detalles, consulte Uso deVulnerability Scanner en la página 5-42.

• Ejecute Conformidad con las normas de seguridad. Para conocer más detalles,consulte Conformidad con las normas de seguridad para puntos finales no administradosen la página 14-73.

Inicio de una instalación basada en explorador

Procedimiento

1. Vaya a Equipos en red > Instalación del cliente > Basada en explorador.

2. Modifique la línea del asunto del mensaje si es necesario.

3. Haga clic en Crear correo electrónico.

Se abrirá el programa de correo predeterminado.

4. Envíe el mensaje de correo electrónico a los destinatarios que desee.

Realización de una instalación basada en UNCAutoPcc.exe es un programa independiente que instala el cliente de OfficeScan enequipos sin protección y actualiza los componentes y archivos del programa. Los


5-21

equipos deben formar parte del dominio para poder utilizar AutoPcc mediante una rutade acceso Uniform Naming Convention (convención de nomenclatura universal).

Procedimiento

1. Vaya a Equipos en red > Instalación del cliente > Basado en UNC.

• Para instalar el cliente de OfficeScan en un equipo sin protección medianteAutoPcc.exe:

a. Establezca conexión con el equipo del servidor. Vaya a la ruta de accesoUNC:

\\<nombre del equipo servidor>\ofscan

b. Haga clic con el botón derecho en AutoPcc.exe y seleccione Ejecutarcomo administrador.

• Para realizar instalaciones remotas del escritorio con un AutoPcc.exe:

a. Abra una Conexión a Escritorio remoto (Mstsc.exe) en el modo deconsola. Esto obliga a que la instalación de AutoPcc.exe se ejecute enla sesión 0.

b. Vaya al directorio \\<nombre del equipo servidor>\ofscan yejecute AutoPcc.exe.

Instalar de forma remota desde la consola Web deOfficeScan

Instale el cliente de OfficeScan de forma remota en uno o varios equipos conectados a lared. Asegúrese de que tiene derechos de administrador en los equipos de destino pararealizar la instalación remota. La instalación remota no instala el cliente de OfficeScan enun equipo en que ya se ejecuta el servidor de OfficeScan.


5-22

Nota

Este método de instalación no puede utilizarse en equipos que ejecutan Windows XPHome, Windows Vista Home Basic y Home Premium, ni Windows 7 Home Basic y HomePremium (versiones de 32 y 64 bits) y Windows 8 (versiones básicas de 32 y 64 bits). Unservidor que solo utilice IPv6 no puede instalar el cliente de OfficeScan en clientes queutilicen únicamente IPv4. De forma similar, un servidor que solo utilice IPv4 no puedeinstalar el cliente de OfficeScan en clientes que utilicen únicamente IPv6.

Procedimiento

1. Si ejecuta Windows Vista, Windows 7, Windows 8 (Pro, Enterprise) o WindowsServer 2012, siga los siguientes pasos:

a. Active una cuenta de administrador integrado y defina la contraseña para lacuenta.

b. Desactive el uso compartido simple de archivos en el punto final.

c. Haga clic en Iniciar > Programas > Herramientas administrativas >Cortafuegos de Windows con seguridad avanzada.

d. En Perfil de dominio, Perfil privado y Perfil público, establezca el estado delcortafuegos en "Desactivado".

e. Abra la Consola de administración de Microsoft (haga clic en Iniciar >Ejecutar y escriba services.msc) e inicie los servicios Registro remoto yLlamada de procedimiento remoto. Cuando instale el cliente de OfficeScanutilice la cuenta de administrador integrado y la contraseña.

2. En la consola Web, vaya a Equipos en red > Instalación del cliente > Remoto.

3. Seleccione los equipos de destino.

• En la lista Dominios y equipos aparecerán todos los dominios de Windowsde la red. Para ver los equipos de un dominio, haga doble clic en el nombredel dominio. Seleccione un equipo y haga clic en Agregar.

• Si tiene en mente el nombre de un equipo en concreto, escriba el nombre delequipo en el campo situado en la parte superior de la página y haga clic enBuscar.


5-23

OfficeScan le pedirá el nombre de usuario y la contraseña del equipo de destino.Utilice el nombre de usuario y la contraseña de una cuenta de administrador paracontinuar.

4. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Iniciarsesión.

El equipo de destino aparecerá en la tabla Equipos seleccionados.

5. Repita los pasos 3 y 4 para agregar más equipos.

6. Haga clic en Instalar cuando esté preparado para instalar el cliente de OfficeScanen los equipos de destino.

Aparecerá un cuadro de confirmación.

7. Haga clic en Sí para confirmar que desea instalar el cliente de OfficeScan en losequipos de destino.

Aparecerá una pantalla de progreso mientras se copian los archivos de programa encada equipo de destino.

Cuando OfficeScan finalice la instalación en un equipo de destino, el nombre del equipodesaparecerá de la lista Equipos seleccionados y pasará a la lista Dominios y equiposcon una marca de verificación roja.

Cuando todos los equipos de destino aparezcan con una marca de verificación roja en lalista Dominios y equipos, habrá terminado la instalación remota.

NotaSi realiza la instalación en varios equipos, OfficeScan registrará cualquier instalaciónincorrecta en los registros (para obtener información detallada, consulte Registros deinstalación nueva en la página 18-17), pero no retrasará las demás instalaciones. No es precisoque supervise la instalación tras hacer clic en Instalar. Compruebe los registros másadelante para ver los resultados de la instalación.

Instalar con Configuración de inicio de sesiónConfiguración de inicio de sesión automatiza la instalación del cliente de OfficeScan enequipos sin protección cuando éstos inician una sesión en la red. Configuración de inicio


5-24

de sesión añade el programa AutoPcc.exe a la secuencia de comandos de inicio desesión del servidor.

AutoPcc.exe instala el cliente de OfficeScan en equipos sin protección y actualiza loscomponentes y archivos del programa. Los equipos deben formar parte del dominiopara poder utilizar AutoPcc a través de la secuencia de comandos de inicio de sesión.


AutoPcc.exe instala automáticamente el cliente de OfficeScan en un equipo sinprotección con Windows Server 2003 cuando inicia sesión en el servidor cuyassecuencias de comandos de inicio de sesión se han modificado. Sin embargo,AutoPcc.exe no instala automáticamente el cliente de OfficeScan en los equipos conWindows Vista, 7, 8, Server 2008 y Server 2012. Los usuarios deben conectarse alequipo servidor, desplazarse hasta \\<nombre del equipo servidor>\ofcscan,hacer clic con el botón derecho en AutoPcc.exe, y, a continuación , seleccionarEjecutar como administrador.

Para realizar una instalación remota del escritorio con un AutoPcc.exe:

• El equipo debe ejecutarse en modo de consola Mstsc.exe. Esto obliga a que lainstalación de AutoPcc.exe se ejecute en la sesión 0.

• Asigne una unidad a la carpeta "ofcscan" y ejecute AutoPcc.exe desde ese punto.

Actualizaciones de programas y componentes

AutoPcc.exe actualiza los archivos de programa así como el antivirus, antispyware ylos componenetes de Damage Cleanup Services.

Las secuencias de comandos de Windows Server 2003，2008 y 2012

Si ya tiene una secuencia de comandos de inicio de sesión, Configuración de inicio desesión añade un comando que ejecuta AutoPcc.exe. De lo contrario, OfficeScancreará un archivo de lotes denominado ofcscan.bat que contiene el comandonecesario para ejecutar AutoPcc.exe.


5-25

Configuración de inicio de sesión añade el texto siguiente al final de la secuencia decomandos:

\\<Server_name>\ofcscan\autopcc

Donde:

• <Nombre_servidor> es el nombre del equipo o la dirección IP del equipo delservidor de OfficeScan.

• "ofcscan" es el nombre de la carpeta compartida de OfficeScan en el servidor.

• "autopcc" es el enlace al archivo ejecutable de autopcc que instala el cliente deOfficeScan.

Ubicación de la secuencia de comandos de inicio de sesión (a través de un directoriocompartido de inicio de sesión en red):

• Windows Server 2003: \\Windows 2003 server\system drive\windir\sysvol\domain\scripts\ofcscan.bat



Adición de Autopcc.exe a la secuencia de comandos deinicio de sesión mediante Configuración de inicio de sesión

Procedimiento

1. En el equipo que ha utilizado para ejecutar la instalación del servidor, haga clic enProgramas > Servidor de Trend Micro OfficeScan<Nombre del servidor> >Configuración de inicio de sesión en el menú Inicio de Windows.

Se cargará la utilidad Configuración de inicio de sesión. La consola muestra unárbol en el que aparecen todos los dominios de la red.

2. Busque el servidor cuya secuencia de comandos de inicio de sesión deseemodificar, márquelo y haga clic en Seleccionar. Asegúrese de que el servidor es un


5-26

controlador de dominio principal y que dispone de derechos de administrador paraacceder al servidor.

Configuración de inicio de sesión le solicitará un nombre de usuario y unacontraseña.

3. Escriba el nombre de usuario y la contraseña. Haga clic en Aceptar para continuar.

Aparecerá la ventana Selección de usuario. La lista Usuarios muestra los perfilesde los usuarios que inician la sesión en el servidor. La lista Usuariosseleccionados muestra los perfiles de usuario cuya secuencia de comandos deinicio de sesión desea modificar.

4. Para modificar la secuencia de comandos de inicio de sesión de un perfil deusuario, seleccione dicho perfil en la lista de usuarios y, a continuación, haga clic enAgregar.

5. Para modificar la secuencia de comandos de inicio de sesión de todos los usuarios,haga clic en Agregar todos.

6. Para excluir un perfil de usuario seleccionado con anterioridad, seleccione elnombre correspondiente en la lista Usuarios seleccionados y haga clic enEliminar.

7. Para restablecer las selecciones, haga clic en Eliminar todos.

8. Haga clic en Aplicar cuando todos los perfiles de usuario de destino se encuentrenen la lista Usuarios seleccionados.

Aparecerá un mensaje en el que se indica que ha modificado correctamente lassecuencias de comando de inicio de sesión del servidor.

9. Haga clic en Aceptar.

Configuración de inicio de sesión vuelve a la pantalla inicial.

10. Para modificar las secuencias de comandos de inicio de sesión de otros servidores,repita los pasos 2 a 4.

11. Para cerrar la utilidad Configuración de inicio de sesión, haga clic en Salir.


5-27

Instalar con Client PackagerClient Packager crea un paquete de instalación que se puede enviar a los usuarios através de soportes convencionales, como puede ser un CD-ROM. Los usuarios ejecutanel paquete en el equipo cliente para instalar o actualizar el cliente de OfficeScan yactualizar los componentes.

La herramienta Client Packager resulta especialmente útil al implementar el cliente deOfficeScan o componentes en clientes ubicados en oficinas remotas con un ancho debanda reducido. Los clientes de OfficeScan que se instalan mediante Client Packagerenvían un informe al servidor en el que se creó el paquete.

Client Packager requiere lo siguiente:

• 350 MB de espacio libre en disco

• Windows Installer 2.0 (para ejecutar un paquete MSI)

Creación de un paquete de instalación con Client Packager

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\ClientPackager.

2. Haga doble clic en ClnPack.exe para ejecutar la herramienta. Se abrirá la consolade Client Packager.

3. Seleccione el tipo de paquete que desee crear.


5-28

TABLA 5-5. Tipos de paquete del cliente

TIPO DE PAQUETE DESCRIPCIÓN

configuración Seleccione Instalar para crear el paquete como un archivoejecutable. El paquete instala el programa cliente deOfficeScan con los componentes que se encuentrandisponibles en el servidor en ese momento. Si el equipo dedestino tiene instalada una versión cliente de OfficeScananterior, el cliente se actualiza al ejecutar el archivoejecutable.

Actualizar Seleccione Actualizar para crear un paquete quecontenga los componentes disponibles en el servidor enese momento. El paquete se creará como un archivoejecutable. Utilice este paquete en caso de que hayaproblemas para actualizar los componentes en un equipocliente.

MSI Seleccione MSI para crear un paquete que se ajuste alformato del paquete de Microsoft Installer. El paqueteinstala el programa cliente de OfficeScan con loscomponentes que se encuentran disponibles en el servidoren ese momento. Si el equipo de destino tiene instaladauna versión cliente de OfficeScan anterior, el cliente seactualiza al ejecutar el archivo MSI.

4. Defina los siguientes valores de configuración (algunos valores sólo estándisponibles si selecciona un tipo de paquete específico):

• Tipo de sistema operativo Windows en la página 5-30

• Método de exploración en la página 5-30

• Modo silencioso en la página 5-31

• Desactivar exploración previa en la página 5-32

• Sobrescribir con la versión más reciente en la página 5-32

• Actualizar características de agente en la página 5-32

• Outlook Mail Scan en la página 5-33

• Compatibilidad con Check Point SecureClient en la página 5-33


5-29

• Componentes en la página 5-34

5. Junto a Archivo de origen, compruebe que la ubicación del archivoofcscan.ini es correcta. Para modificar la ruta de acceso, haga clic en ( ) parabuscar el archivo ofcscan.ini. De manera predeterminada, este archivo seencuentra en la <Carpeta de instalación del servidor>\PCCSRV delservidor de OfficeScan.

6. En Archivo de salida, haga clic en ( ), especifique la ubicación donde desee crearel paquete del cliente de OfficeScan y escriba el nombre del archivo del paquete(por ejemplo, ClientSetup.exe).

7. Haga clic en Crear.

Cuando Client Packager cree el paquete, aparecerá el mensaje «Paquete creadocorrectamente». Localice el paquete en el directorio que haya especificado en elpaso anterior.

8. Implemente el paquete.

Directrices para la implementación del paquete

1. Envíe el paquete a los usuarios y pídales que ejecuten el paquete del cliente deOfficeScan en sus equipos haciendo doble clic en el archivo .exeo .msi.

Nota

Envíe el paquete solo a los usuarios cuyo cliente de OfficeScan informará al servidordonde se ha creado el paquete.

2. Si tiene usuarios que desean instalar el paquete .exe en equipos que ejecutanWindows Vista, Server 2008, 7, 8 o Server 2012, indíqueles que hagan clic con elbotón derecho del ratón en el archivo .exe y seleccionen Ejecutar comoadministrador.

3. Si ha creado un archivo .msi realice las tareas que se detallan a continuación paraimplementar el paquete:


5-30

• utilizar Active Directory o Microsoft SMS. Consulte el apartado Implementar unpaquete MSI mediante Active Directory en la página 5-34 O bien Implementar unpaquete MSI mediante Microsoft SMS en la página 5-36.

4. Inicie el paquete MSI desde una ventana de línea de comandos e instale sininterferir el cliente de OfficeScan en un equipo remoto que ejecute Windows XP,Vista, Server 2008, 7, 8 o Server 2012.

Tipo de sistema operativo WindowsSeleccione el sistema operativo para el que desea crear el paquete. Implementeúnicamente el paquete en equipos en los que se ejecute este tipo de sistema operativo.Cree otro paquete para implementarlo en un sistema operativo de otro tipo.

Método de exploraciónSeleccione el método de exploración para el paquete. Consulte Métodos de exploración en lapágina 7-7 para obtener más información.

Los componentes incluidos en el paquete dependen del método de exploraciónseleccionado. Para obtener información detallada acerca de los componentes disponiblespara cada método de exploración, consulte Actualizaciones del cliente de OfficeScan en lapágina 6-28.

Antes de seleccionar el método de exploración, tenga en cuenta las siguientes directricespara ayudarle a implementar el paquete de forma eficaz:

• En caso de que vaya a utilizar el paquete para actualizar un cliente a esta versión deOfficeScan, seleccione el método de exploración de nivel de dominio en la consolaWeb. En la consola, vaya a Equipos en red > Administración de clientes,seleccione el árbol de dominios de los clientes al que pertenece el cliente y, acontinuación, haga clic en Configuración > Configuración de la exploración >Métodos de exploración. El método de exploración de nivel de dominio debe sercoherente con el método de exploración seleccionado para el paquete.

• En caso de que vaya a utilizar el paquete para realizar una instalación nueva delcliente de OfficeScan, compruebe la configuración de la agrupación de clientes: Enla consola Web, vaya a Equipos en red > Agrupación de clientes.

• Si la agrupación del cliente está hecha mediante un domino NetBIOS, ActiveDirectory, o DNS, compruebe a qué dominio pertenece el equipo de destino. En


5-31

caso de que exista, compruebe el método de exploración configurado para eldominio. Si el dominio no existe, compruebe el método de exploración de nivelraíz (seleccione el icono del dominio raíz ( ) en el árbol de clientes y, acontinuación, haga clic en Configuración > Configuración de la exploración >Métodos de exploración). El método de exploración de nivel de dominio o denivel raíz debe ser coherente con el método de exploración seleccionado para elpaquete.

• Si la agrupación del cliente está hecha mediante grupos de clientes personalizados,compruebe la Propiedad de agrupación y Origen.

FIGURA 5-1. Panel vista previa Agrupación de clientes automática

Si el equipo de destino pertenece a un origen concreto, compruebe el Destinocorrespondiente. El destino es el nombre de dominio que aparecerá en el árbol declientes. El cliente aplicará el método de exploración para ese dominio después dela instalación.

• Si va a utilizar el paquete para actualizar componentes en un cliente mediante estaversión de OfficeScan, compruebe el método de exploración configurado para eldominio del árbol de clientes al que pertenece el cliente. El método de exploraciónde nivel de dominio debe ser coherente con el método de exploración seleccionadopara el paquete.

Modo silencioso

Esta opción crea un paquete que se instala en el equipo cliente en segundo plano, deforma que es inapreciable para el cliente y, además, no muestra ninguna ventana sobre el


5-32

estado de la instalación. Active esta opción si desea implementar el paquete de formaremota en el equipo de destino.

Desactivar exploración previa

Esta opción solo se aplica a las instalaciones nuevas.

En caso de que el equipo de destino no tenga instalado el cliente de OfficeScan, elpaquete primero explora el equipo para comprobar si existen riesgos de seguridad antesde instalar el cliente de OfficeScan. Si está seguro de que en el equipo de destino noexiste ningún riesgo de seguridad, desactive la exploración previa.

En caso de que esta opción esté activada, el programa de instalación busca virus ymalware en las zonas más vulnerables del equipo, entre las que se incluyen las siguientes:

• El área y el directorio de arranque (para virus de arranque)

• La carpeta Windows

• La carpeta Archivos de programa

Sobrescribir con la versión más reciente

Esta opción sobrescribe las versiones de los componentes del cliente con las versionesmás actualizadas disponibles en el servidor. Active esta opción para garantizar que loscomponentes del servidor y el cliente estén sincronizados.

Actualizar características de agente

Esta opción concede derechos de agente de actualización al cliente de OfficeScan en elequipo de destino. Los agentes de actualización ayudan al servidor de OfficeScan aimplementar los componentes en los clientes. Para conocer más detalles, consulteAgentes de actualización en la página 6-58.

Puede permitir que el agente de actualización realice las siguientes tareas:

• Implementar componentes

• Implementar configuración

• Implementar programas


5-33

Si asigna derechos de agente de actualización a un cliente de OfficeScan:

1. Recuerde que si el paquete se implementa en un cliente que solo utilice IPv6, elagente de actualización puede distribuir las actualizaciones únicamente a clientes dedoble pila o que solo utilicen IPv6.

2. Use la herramienta de configuración de actualizaciones programadas para activar yconfigurar actualizaciones programadas para el agente. Para conocer más detalles,consulte Métodos de actualización para los agentes de actualización en la página 6-65.

3. El servidor de OfficeScan que gestiona el agente de actualización no podrásincronizar ni implementar los siguientes valores de configuración en el agente:

• Derechos del agente de actualización

• Actualización programada del cliente

• Actualizaciones desde Trend Micro ActiveUpdate Server

• Actualizaciones desde otras fuentes de actualización

Por lo tanto, implemente el paquete del cliente de OfficeScan solo en equipos queno administrará un servidor de OfficeScan. A continuación, configure el agente deactualización para obtener sus actualizaciones de una fuente de actualización queno sea el servidor de OfficeScan, como una fuente de actualización personalizada.Si desea que el servidor de OfficeScan sincronice la configuración con el agente deactualización, no utilice Client Packager y, en su lugar, elija un método deinstalación de clientes de OfficeScan distinto.

Outlook Mail Scan

Mediante esta opción se instala el programa Outlook Mail Scan, que explora los buzonesde correo de Microsoft Outlook™ para comprobar si existen riesgos de seguridad. Paraconocer más detalles, consulte Derechos y otras configuraciones de la exploración del correo en lapágina 7-63.

Compatibilidad con Check Point SecureClient

Esta herramienta incluye soporte para Check Point™SecureClient™en el caso deequipos con Windows XP y Windows Server 2003. SecureClient comprueba la versión


5-34

del patrón de virus antes de permitir la conexión a la red. Para conocer más detalles,consulte Información general sobre la arquitectura y la configuración de Check Point en la página17-2.

Nota

SecureClient no comprueba las versiones del patrón de virus en clientes que utilicen smartscan.

Componentes

Seleccione los componentes y funciones que se incluirán en el paquete.

• Para obtener información detallada acerca de los componentes, consulteComponentes y programas de OfficeScan en la página 6-2.

• El módulo de protección de datos solo estará disponible si instala y activa laprotección de datos. Para obtener información detallada acerca de la Protección dedatos, consulte Uso de la Prevención de pérdida de datos en la página 10-1.

Implementar un paquete MSI mediante Active Directory

Aproveche las funciones que ofrece Active Directory para implementar el paquete MSIen múltiples equipos cliente de forma simultánea. Si desea obtener instrucciones sobrecómo crear un archivo MSI, consulte el apartado Instalar con Client Packager en la página5-27.

Procedimiento

1. Siga los pasos siguientes:

• Para Windows Server 2003 y versiones anteriores:

a. Abra la consola de Active Directory.

b. Haga clic con el botón derecho en la unidad organizativa (OU) dondedesea implementar el paquete MSI y haga clic en Propiedades.

c. En la pestaña Política de grupo, haga clic en Nueva.


5-35

• Para Windows Server 2008 y Windows Server 2008 R2:

a. Abra la Consola de administración de Política de grupo. Haga clic enIniciar > Panel de control > Herramientas administrativas >Administración de política de grupo.

b. En el árbol de la consola, amplíe Objetos de política de grupo en elbosque y el dominio que incluyen los objetos de política de grupo quedesea editar.

c. Haga doble clic en los Objetos de política de grupo que desee editar yluego haga clic en Editar. Esta acción abre el Editor de objetos depolítica de grupo.

• Para Windows Server 2012:

a. Abra la Consola de administración de política de grupo. Haga clic enGestión de servidores > Herramientas > Administración depolítica de grupo.

b. En el árbol de la consola, amplíe Objetos de política de grupo en elbosque y el dominio que incluyen los Objetos de política de grupo quedesea editar.

c. Haga clic con el botón derecho del ratón en los Objetos de política degrupo que desee editar y, a continuación, haga clic en Editar. Estaacción abre el Editor de objetos de política de grupo.

2. Elija entre la configuración de equipo y la de usuario, y abra Parámetros delsoftware más abajo.

Consejo

Trend Micro recomienda utilizar Configuración de equipo en lugar deConfiguración de usuario para garantizar una correcta instalación del paquete MSIindependientemente del usuario que inicie sesión en el equipo.

3. Debajo de Parámetros del software, haga clic con el botón derecho en Instalaciónde software y, a continuación, seleccione Nuevo y Paquete.

4. Ubique y seleccione el paquete MSI.


5-36

5. Seleccione un método de implementación y haga clic en Aceptar.

• Asignado: el paquete MSI se implementa automáticamente la próxima vezque los usuarios inician sesión en el equipo (si ha seleccionado Configuraciónde usuario) o cuando el equipo se reinicia (si ha seleccionado Configuraciónde equipo). Este método no requiere la intervención del usuario.

• Publicado: para ejecutar el paquete MSI, indique a los usuarios que se dirijanal Panel de control, abran la pantalla Agregar o quitar programas, yseleccionen la opción para agregar/instalar programas en la red. Cuando sevisualiza el paquete MSI del cliente de OfficeScan, los usuarios puedenproceder a instalar el cliente de OfficeScan.

Implementar un paquete MSI mediante Microsoft SMS

Implemente el paquete MSI con Microsoft System Management Server (SMS) en casode que Microsoft BackOffice SMS esté instalado en el servidor. Si desea obtenerinstrucciones sobre cómo crear un archivo MSI, consulte el apartado Instalar con ClientPackager en la página 5-27.

El servidor SMS necesita obtener el archivo MSI del servidor de OfficeScan antes depoder implementar el paquete en los equipos de destino.

• Local: el servidor SMS y el servidor de OfficeScan se encuentran en el mismoequipo.

• Remota: el servidor SMS y el servidor de OfficeScan se encuentran en equiposdiferentes.

Problemas conocidos al instalar con Microsoft SMS:

• En la columna Tiempo de ejecución de la consola de SMS aparece "Desconocido".

• Si la instalación no se ha realizado correctamente, el estado de la instalación puedecontinuar mostrando que está completa en el monitor del programa SMS. Si deseaobtener instrucciones sobre cómo comprobar que la instalación ha sido correcta,consulte Posterior a la instalación en la página 5-73.

Las siguientes instrucciones son pertinentes si se utiliza Microsoft SMS 2.0 y 2003.


5-37

Obtención del paquete localmente

Procedimiento

1. Abra la consola Administrador de SMS.

2. En la pestaña Árbol, haga clic en Paquetes.

3. En el menú Acción, haga clic en Nuevo > Paquete desde definición.

Aparecerá la pantalla Bienvenido del Asistente para la creación de un paquetedesde la definición.

4. Haga clic en Siguiente.

Aparecerá la pantalla Definición del paquete.

5. Haga clic en Examinar.

Aparecerá la pantalla Abrir.

6. Busque y seleccione el archivo del paquete MSI creado por Client Packager y, acontinuación, haga clic en Abrir.

El nombre del paquete MSI aparece en la pantalla Definición del paquete. Elpaquete muestra "cliente de OfficeScan" y la versión del programa.


Aparecerá la pantalla Archivos de origen.

8. Haga clic en Obtener siempre los archivos desde un directorio de origen yhaga clic a continuación en Siguiente.

Aparecerá la pantalla Directorio de origen, con el nombre del paquete que deseacrear y el directorio de origen.

9. Haga clic en Unidad local en el servidor del sitio.

10. Haga clic en Examinar y seleccione el directorio de origen que contiene el archivoMSI.



5-38

El asistente llevará a cabo el proceso de creación del paquete. Cuando hayafinalizado el proceso, en la consola Administrador de SMS aparecerá el nombredel paquete.

Obtención del paquete remotamente

Procedimiento

1. En el servidor de OfficeScan, utilice Client Packager para crear un paquete deinstalación con una extensión .exe (no puede crear un paquete .msi). ConsulteInstalar con Client Packager en la página 5-27 para obtener más información.

2. En el equipo en el que desea almacenar el origen, cree una carpeta compartida.

3. Abra la consola Administrador de SMS.

4. En la pestaña Árbol, haga clic en Paquetes.

5. En el menú Acción, haga clic en Nuevo > Paquete desde definición.

Aparecerá la pantalla Bienvenido del Asistente para la creación de un paquetedesde la definición.


Aparecerá la pantalla Definición del paquete.

7. Haga clic en Examinar.

Aparecerá la pantalla Abrir.

8. Busque el archivo del paquete MSI. El archivo se encuentra en la carpetacompartida que ha creado.


Aparecerá la pantalla Archivos de origen.

10. Haga clic en Obtener siempre los archivos desde un directorio de origen yhaga clic a continuación en Siguiente.

Aparecerá la pantalla Directorio de origen.


5-39

11. Haga clic en Ruta de red (nombre UNC).

12. Haga clic en Examinar y seleccione el directorio de origen que contiene el archivoMSI (la carpeta compartida que ha creado).


El asistente llevará a cabo el proceso de creación del paquete. Cuando hayafinalizado el proceso, en la consola Administrador de SMS aparecerá el nombredel paquete.

Distribución del paquete a los equipos de destino

Procedimiento

1. En la pestaña Árbol, haga clic en Anuncios.

2. En el menú Acción, haga clic en Todas las tareas > Distribuir software.

Aparecerá la pantalla Bienvenido del asistente para la distribución de software.


Aparecerá la pantalla Paquete.

4. Haga clic en Distribuir un paquete existente y haga clic en el nombre delpaquete de instalación que haya creado.


Aparecerá la pantalla Puntos de distribución.

6. Seleccione el punto de distribución en el que desea copiar el paquete y, acontinuación, haga clic en Siguiente.

Aparecerá la pantalla Anunciar un programa.

7. Haga clic en Sí para anunciar el paquete de instalación del cliente de OfficeScan y, acontinuación, haga clic en Siguiente.

Aparecerá la pantalla Destino del anuncio.

8. Haga clic en Examinar para seleccionar los equipos de destino.


5-40

Aparecerá la pantalla Examinar colección.

9. Haga clic en Todos los sistemas Windows NT.


Volverá a aparecer la pantalla Destino del anuncio.


Aparecerá la pantalla Nombre del anuncio.

12. En los cuadros de texto, escriba el nombre y los comentarios del anuncio y, acontinuación, haga clic en Siguiente.

Aparecerá la pantalla Anuncio para subcolecciones.

13. Decida si desea anunciar el paquete en las subcolecciones. Seleccione la opciónhabilitada para anunciar el programa únicamente a los miembros de la colecciónespecificada o a los miembros de las subcolecciones.


Aparecerá la pantalla Programa de anuncios.

15. Especifique cuándo se anunciará el paquete de instalación del cliente de OfficeScanescribiendo o seleccionando la fecha y la hora.

NotaSi desea que Microsoft SMS detenga el anuncio del paquete en una fechadeterminada, haga clic en Sí. Este anuncio debería caducar y especifique acontinuación la fecha y la hora en los cuadros de lista Fecha y hora de caducidad.


Aparecerá la pantalla Asignar programa.

17. Haga clic en Sí. Asignar el programa y haga clic a continuación en Siguiente.

Microsoft SMS crea el anuncio y lo muestra en la consola de administración deSMS.

18. Cuando Microsoft SMS distribuya el programa anunciado (es decir, el programacliente de OfficeScan) a los equipos de destino, se visualizará una pantalla en cada


5-41

equipo de destino. Indique a los usuarios que hagan clic en Sí y que sigan lasinstrucciones del asistente para instalar el cliente de OfficeScan en los equipos.

Instalaciones mediante una imagen de disco de cliente

La tecnología de copia de disco le permite crear una imagen de un cliente de OfficeScanmediante software de copia de disco y crear clones del mismo en otros equipos de la red.

La instalación de cada cliente de OfficeScan necesita un GUID (identificador exclusivoglobal) para que el servidor pueda identificar a los clientes de forma individual. Utilice elprograma de OfficeScan ImgSetup.exe para crear un GUID distinto para cada clon.

Creación de una imagen de disco de un cliente deOfficeScan

Procedimiento

1. Instale el cliente de OfficeScan en un equipo.

2. Copie ImgSetup.exe desde <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\ImgSetup a este equipo.

3. Ejecute el programa ImgSetup.exe en este equipo.

Esto creará una clave de registro RUN en HKEY_LOCAL_MACHINE.

4. Realice una imagen del disco del cliente de OfficeScan mediante el softwarecorrespondiente.

5. Reinicie el clon.

ImgSetup.exe se iniciará automáticamente y creará un nuevo valor GUID. Elcliente de OfficeScan informará al servidor de este nuevo GUID y el servidorcreará un registro nuevo para el nuevo cliente de OfficeScan.


5-42

¡ADVERTENCIA!

Para no tener dos equipos con el mismo nombre en la base de datos de OfficeScan,modifique manualmente el nombre del equipo o del dominio del cliente de OfficeScan quehaya clonado.

Uso de Vulnerability ScannerUse Vulnerability Scanner para detectar las soluciones antivirus instaladas, buscar losequipos de la red que no dispongan de protección e instalar el cliente de OfficeScan endichos equipos.

Consideraciones para utilizar Vulnerability Scanner

Para ayudarle a decidir si utilizar Vulnerability Scanner, tenga en cuenta lo siguiente:

• Administración de red en la página 5-42

• Arquitectura y topología de red en la página 5-43

• Especificaciones de software y hardware en la página 5-43

• Estructura de dominios en la página 5-44

• Tráfico de red en la página 5-45

• Tamaño de la red en la página 5-45

Administración de red

TABLA 5-6. Administración de red

CONFIGURACIÓN EFICACIA DE VULNERABILITY SCANNER

Administración con la política deseguridad estricta

Muy efectivo. Vulnerability Scanner indica si todoslos equipos tienen algún software antivirus instalado.

Responsabilidad administrativadistribuida a través de sitiosdiferentes

Eficacia moderada


5-43


Administración centralizada Eficacia moderada

Servicio de tercerización Eficacia moderada

Los usuarios administran suspropios equipos

No efectivo. Porque Vulnerability Scanner explora lared para comprobar si hay algún programa antivirusinstalado y no es flexible para dejar que los usuariosexploren sus propios equipos.

Arquitectura y topología de red

TABLA 5-7. Arquitectura y topología de red


Ubicación única Muy efectivo. Vulnerability Scanner le permiteexplorar un segmento IP completo e instalar elcliente de OfficeScan en la LAN con facilidad.

Varias ubicaciones con conexiónde alta velocidad

Eficacia moderada

Varias ubicaciones con conexiónde baja velocidad

No efectivo. Es necesario que ejecute VulnerabilityScanner en cada ubicación y, además, la instalacióndel cliente de OfficeScan debe dirigirse a un servidorlocal de OfficeScan.

Equipos remotos y aislados Eficacia moderada

Especificaciones de software y hardware

TABLA 5-8. Especificaciones de software y hardware


Sistemas operativos basados enWindows NT

Muy efectivo. Vulnerability Scanner puede instalarcon facilidad el cliente de OfficeScan de formaremota en equipos en los que se ejecuten sistemasoperativos basados en NT.


5-44


Sistemas operativos mixtos Eficacia moderada. Vulnerability Scanner sólo puederealizar la instalación en equipos en los que seejecuten sistemas operativos basados en WindowsNT.

Software para la gestión deescritorio

No efectivo. Vulnerability Scanner no se puedeutilizar con el software de gestión de escritorio. Noobstante, puede ayudar a realizar un seguimiento delprogreso de la instalación del cliente de OfficeScan.

Estructura de dominios

TABLA 5-9. Estructura de dominios


Microsoft Active Directory Muy efectivo. Especifique la cuenta del administradorde dominios en Vulnerability Scanner para permitir lainstalación remota del cliente de OfficeScan.

Grupo de trabajo No efectivo. Vulnerability Scanner puede encontrardificultades a la hora de realizar la instalación enequipos que usen contraseñas y cuentasadministrativas diferentes.

Novell™ Directory Service No efectivo. Vulnerability Scanner necesita unacuenta de dominios de Windows para instalar elcliente de OfficeScan.

Programas Peer To Peer (P2P) No efectivo. Vulnerability Scanner puede encontrardificultades a la hora de realizar la instalación enequipos que usen contraseñas y cuentasadministrativas diferentes.


5-45

Tráfico de red

TABLA 5-10. Tráfico de red


Conexión LAN Muy efectivo

512 Kbps Eficacia moderada

Conexión T1 y superior Eficacia moderada

Marcación telefónica No efectivo. La instalación del cliente de OfficeScantardará mucho tiempo en realizarse.

Tamaño de la red

TABLA 5-11. Tamaño de la red


Empresa muy grande Muy efectivo. Mientras más grande sea la red, másnecesario será Vulnerability Scanner para comprobarlas instalaciones del cliente de OfficeScan.

Pequeña y mediana empresa Eficacia moderada. En el caso de redes pequeñas,Vulnerability Scanner puede utilizarse como unaopción para instalar el cliente de OfficeScan. Esposible que sea mucho más sencillo aplicar otrosmétodos de instalación del cliente de OfficeScan.

Directrices para la instalación del cliente de OfficeScan conVulnerability Scanner

Vulnerability Scanner no instalará el cliente de OfficeScan si:

• El servidor de OfficeScan u otro software de seguridad está instalado en el equipohost de destino.

• El equipo remoto ejecuta Windows XP Home, Windows Vista Home Basic,Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 HomePremium o Windows 8 (version básica).


5-46

Nota

Puede instalar el cliente de OfficeScan en el equipo host de destino mediante los otrosmétodos de instalación que se describen en Consideraciones sobre la implementación en la página5-11.

Antes de utilizar Vulnerability Scanner para instalar el cliente de OfficeScan, siga lospasos que se detallan a continuación:

• Para Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7(Professional, Enterprise o Ultimate Edition), Windows 8 (Pro, Enterprise),Windows Server 2012 (Standard):

1. Active una cuenta de administrador integrado y defina la contraseña para lacuenta.

2. Haga clic en Iniciar > Programas > Herramientas administrativas >Cortafuegos de Windows con seguridad avanzada.

3. En Perfil de dominio, Perfil privado y Perfil público, establezca el estado delcortafuegos en "Desactivado".

4. Abra la Consola de administración de Microsoft (haga clic en Iniciar >Ejecutar y escriba services.msc) e inicie el servicio Registro remoto.Cuando instale el cliente de OfficeScan utilice la cuenta de administradorintegrado y la contraseña.

• Para Windows XP Professional (versión de 32 bits o 64 bits):

1. Abra Windows Explorer y haga clic en Herramientas > Opciones decarpeta.

2. Haga clic en la pestaña Ver y desactive la opción Utilizar uso compartidosimple de archivos (recomendado).

Métodos de exploración de vulnerabilidades

La exploración de vulnerabilidades comprueba la presencia de software de seguridad enequipos host y puede instalar el cliente de OfficeScan en aquellos equipos host que noestén protegidos.


5-47

Hay varios modos de ejecutar una exploración de vulnerabilidades.

TABLA 5-12. Métodos de exploración de vulnerabilidades

MÉTODO DETALLES

Exploración devulnerabilidadesmanual

Los administradores pueden ejecutar exploraciones devulnerabilidades bajo petición.

Exploración DHCP Los administradores pueden ejecutar exploraciones devulnerabilidades en equipos host que soliciten direcciones IPdesde un servidor DHCP.

Vulnerability Scanner utiliza el puerto de escucha 67, que es elpuerto de escucha del servidor DHCP para solicitudes DHCP. Sidetecta una solicitud DHCP desde un equipo host, se ejecutaráuna exploración de vulnerabilidades en dicho equipo.

NotaVulnerability Scanner no puede detectar solicitudes DHCPsi se ha iniciado en Windows Server 2008, Windows 7,Windows 8 o Windows Server 2012.

Exploración devulnerabilidadesprogramada

Las exploraciones de vulnerabilidades se ejecutan de formaautomática en función del programa configurado por losadministradores.

Una vez que se ejecute Vulnerability Scanner, esta aplicación mostrará el estado delcliente de OfficeScan en los equipos host de destino. El estado puede ser cualquiera delos siguientes:

• Normal: el cliente de OfficeScan se está ejecutando correctamente

• Anómalo: los servicios del cliente de OfficeScan no se están ejecutando o el clienteno tiene protección en tiempo real

• No instalado: falta el servicio TMListen o el cliente de OfficeScan no se hainstalado

• No accesible: Vulnerability Scanner no ha podido establecer conexión con elequipo host para determinar el estado del cliente de OfficeScan


5-48

Ejecución de una exploración de vulnerabilidades manual

Procedimiento

1. Para ejecutar una exploración de vulnerabilidades en el equipo del servidor deOfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS y haga doble clic en TMVS.exe. Aparecerá la consola de Trend MicroVulnerability Scanner. Para ejecutar una exploración de vulnerabilidades en otroequipo que esté ejecutando Windows Server 2003, Server 2008, Vista, 7, 8 o Server2012:

a. En el equipo del servidor de OfficeScan, vaya a la <Carpeta deinstalación del servidor>\PCCSRV\Admin\Utility.

b. Copie la carpeta TMVS en el otro equipo.

c. En el otro equipo, abra la carpeta TMVS y haga doble clic en TMVS.exe.

Aparecerá la consola de Trend Micro Vulnerability Scanner.

Nota

No puede utilizar Terminal Server para iniciar la herramienta.

2. Vaya a la sección Exploración manual.

3. Escriba el intervalo de direcciones IP de los equipos que desee comprobar.

a. Escriba un intervalo de direcciones IPv4.

Nota

Vulnerability Scanner solo puede realizar consultas en un intervalo dedirecciones IPv4 si se ejecuta en un equipo host de doble pila o que solo utiliceIPv4. Vulnerability Scanner sólo admite un rango de direcciones IP de clase B;por ejemplo, de 168.212.1.1 a 168.212.254.254.

b. Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud de IPv6.


5-49

NotaVulnerability Scanner solo puede realizar consultas en un intervalo dedirecciones IPv6 si se ejecuta en un equipo host de doble pila o que solo utiliceIPv6.

4. Haga clic en Settings.

Aparecerá la pantalla Settings.

5. Defina los siguientes valores de configuración:

a. Configuración del comando ping: la exploración de vulnerabilidades puedeenviar comandos "ping" a las direcciones IP que se hayan especificado en elpaso anterior para comprobar que estén en uso. Si un equipo host de destinoestá utilizando una dirección IP, Vulnerability Scanner puede determinar elsistema operativo del equipo host. Para conocer más detalles, consulteConfiguración del comando ping en la página 5-64.

b. Método de recuperación de las descripciones de los equipos: paraequipos host que respondan al comando "ping", Vulnerability Scanner puederecuperar información adicional acerca de los equipos host. Para conocer másdetalles, consulte Método de recuperación de las descripciones de los equipos en la página5-60.

c. Consulta del producto: Vulnerability Scanner puede comprobar la presenciade software de seguridad en los equipos host de destino. Para conocer másdetalles, consulte Consulta del producto en la página 5-57.

d. Configuración del servidor de OfficeScan: defina esta configuración sidesea que Vulnerability Scanner instale el cliente de OfficeScan de formaautomática en equipos host que no estén protegidos. Esta configuraciónidentifica el servidor principal del cliente de OfficeScan y las credencialesadministrativas que se utilizan para iniciar sesión en los equipos host. Paraconocer más detalles, consulte Configuración del servidor de OfficeScan en la página5-65.


5-50

NotaDeterminadas circunstancias pueden impedir la instalación del cliente deOfficeScan en los equipos host de destino. Para conocer más detalles, consulteDirectrices para la instalación del cliente de OfficeScan con Vulnerability Scanner en lapágina 5-45.

e. Notificaciones: Vulnerability Scanner puede enviar los resultados de laexploración de vulnerabilidades a los administradores de OfficeScan. Tambiénpuede mostrar notificaciones en los equipos host que no estén protegidos.Para conocer más detalles, consulte Notificaciones en la página 5-61.

f. Guardar resultados: además de enviar los resultados de la exploración devulnerabilidades a los administradores, la exploración de vulnerabilidadestambién puede guardar los resultados en un archivo .csv. Para conocer másdetalles, consulte Resultados de la exploración de vulnerabilidades en la página 5-63.


Se cerrará la pantalla Configuración.

7. Haga clic en Iniciar.

Los resultados de la exploración de vulnerabilidades aparecen en la tablaResultados de la pestaña Exploración manual.

NotaLa información de la dirección MAC no aparece en la tabla Resultados si el equipoejecuta Windows Server 2008 o Windows Server 2012.

8. Para guardar los resultados en un archivo de valores separados por comas (CSV),haga clic en Exportar, localice la carpeta en la que desea guardarlo, escriba elnombre del archivo y, a continuación, haga clic en Guardar.


5-51

Ejecución de una exploración DHCP

Procedimiento

1. Defina los valores de configuración de DHCP en el archivo TMVS.ini que seencuentra en la siguiente carpeta: <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS.

TABLA 5-13. Configuración de DHCP en el archivo TMVS.ini

PARÁMETRO DESCRIPCIÓN

DhcpThreadNum=x Especifique el número de amenaza para el modo DHCP. Elmínimo es 3 y el máximo 100. El valor predeterminado es3.

DhcpDelayScan=x Se trata del tiempo de demora en segundos antes decomprobar si en el equipo solicitante se encuentrainstalado algún software antivirus.

El mínimo es 0 (sin tiempo de espera) y el máximo 600. Elvalor predeterminado es 60.

LogReport=x 0 desactiva el inicio de sesión y 1 lo activa.

Vulnerability Scanner envía los resultados de laexploración al servidor de OfficeScan. Los registros semuestran en la pantalla Registros de sucesos delsistema de la consola Web.

OsceServer=x Se trata del nombre DNS o de la dirección IP del servidorde OfficeScan.

OsceServerPort=x Se trata del puerto del servidor Web del servidor deOfficeScan.

2. Para ejecutar una exploración de vulnerabilidades en el equipo del servidor deOfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS y haga doble clic en TMVS.exe. Aparecerá la consola deTrend Micro Vulnerability Scanner.




5-52



NotaNo puede utilizar Terminal Server para iniciar la herramienta.

3. En la sección Exploración manual, haga clic en Configuración.



a. Consulta del producto: Vulnerability Scanner puede comprobar la presenciade software de seguridad en los equipos host de destino. Para conocer másdetalles, consulte Consulta del producto en la página 5-57.

b. Configuración del servidor de OfficeScan: defina esta configuración sidesea que Vulnerability Scanner instale el OfficeScan cliente de formaautomática en equipos host que no estén protegidos. Esta configuraciónidentifica el servidor principal del cliente de OfficeScan y las credencialesadministrativas que se utilizan para iniciar sesión en los equipos host. Paraconocer más detalles, consulte Configuración del servidor de OfficeScan en la página5-65.

NotaDeterminadas circunstancias pueden impedir la instalación del cliente deOfficeScan en los equipos host de destino. Para conocer más detalles, consulteDirectrices para la instalación del cliente de OfficeScan con Vulnerability Scanner en lapágina 5-45.

c. Notificaciones: Vulnerability Scanner puede enviar los resultados de laexploración de vulnerabilidades a los administradores de OfficeScan. Tambiénpuede mostrar notificaciones en los equipos host que no estén protegidos.Para conocer más detalles, consulte Notificaciones en la página 5-61.

d. Guardar resultados: además de enviar los resultados de la exploración devulnerabilidades a los administradores, la exploración de vulnerabilidadestambién puede guardar los resultados en un archivo .csv. Para conocer másdetalles, consulte Resultados de la exploración de vulnerabilidades en la página 5-63.


5-53


Se cerrará la pantalla Configuración.

6. En la tabla de resultados, haga clic en la pestaña DHCP Scan (Exploración deDHCP).

NotaLa pestaña Exploración DHCP no está disponible en equipos en los que se ejecuteWindows Server 2008, Windows 7, Windows 8 y Windows Server 2012.

7. Haga clic en Iniciar.

Vulnerability Scanner comienza a escuchar las solicitudes DHCP y realiza laexploración de vulnerabilidades en los equipos a medida que inician sesión en lared.


Configuración de una exploración de vulnerabilidadesprogramada

Procedimiento

1. Para ejecutar una exploración de vulnerabilidades en el equipo del servidor deOfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS y haga doble clic en TMVS.exe. Aparecerá la consola de Trend MicroVulnerability Scanner. Para ejecutar una exploración de vulnerabilidades en otroequipo que esté ejecutando Windows Server 2003, Server 2008, Vista, 7, 8 o Server2012:





5-54


Nota

No puede utilizar Terminal Server para iniciar la herramienta.

2. Vaya a la sección Exploración programada.

3. Haga clic en Agregar/editar.

Aparecerá la pantalla Exploración programada.


a. Nombre: escriba un nombre para la exploración de vulnerabilidadesprogramada.

b. Intervalo de direcciones IP: Escriba el intervalo de direcciones IP de losequipos que desee comprobar.

i. Escriba un intervalo de direcciones IPv4.

Nota

Vulnerability Scanner solo puede realizar consultas en un intervalo dedirecciones IPv4 si se ejecuta en un equipo host de doble pila o de soloIPv4 que tenga una dirección IPv4 disponible. Vulnerability Scanner sóloadmite un rango de direcciones IP de clase B; por ejemplo, de 168.212.1.1a 168.212.254.254.

ii. Para un intervalo de direcciones IPv6, escriba el prefijo y la longitud deIPv6.

Nota

Vulnerability Scanner solo puede realizar consultas en un intervalo dedirecciones IPv6 si se ejecuta en un equipo host de doble pila o de soloIPv6 que tenga una dirección IPv6 disponible.

c. Programa: especifique la hora de inicio con un formato horario de 24 horasy, después, seleccione con qué frecuencia se ejecutará la exploración. Las


5-55

opciones entre las que puede elegir son diariamente, semanalmente omensualmente.

d. Configuración: seleccione la configuración que vaya a usar para unaexploración de vulnerabilidades.

• Seleccione Usar la configuración actual si ha definido y quiere usar laconfiguración de exploración de vulnerabilidades manual. Para obtenerinformación detallada acerca de la configuración de la exploración devulnerabilidades manual, consulte Ejecución de una exploración devulnerabilidades manual en la página 5-48.

• Si no ha especificado una configuración de la exploración devulnerabilidades manual o si quiere utilizar otra configuración, seleccioneModificar la configuración y, después, haga clic en Configuración.Aparecerá la pantalla Settings.

Puede definir los siguientes parámetros de configuración y, después,hacer clic en Aceptar:

• Configuración del comando ping: la exploración devulnerabilidades puede enviar comandos "ping" a las direcciones IPque se hayan especificado en el paso 4b para comprobar que esténen uso. Si un equipo host de destino está utilizando una direcciónIP, Vulnerability Scanner puede determinar el sistema operativo delequipo host. Para conocer más detalles, consulte Configuración delcomando ping en la página 5-64.

• Método de recuperación de las descripciones de los equipos:para equipos host que respondan al comando "ping", VulnerabilityScanner puede recuperar información adicional acerca de losequipos host. Para conocer más detalles, consulte Método derecuperación de las descripciones de los equipos en la página 5-60.

• Consulta del producto: Vulnerability Scanner puede comprobar lapresencia de software de seguridad en los equipos host de destino.Para conocer más detalles, consulte Consulta del producto en la página5-57.

• Configuración del servidor de OfficeScan: defina estaconfiguración si desea que Vulnerability Scanner instale el


5-56

OfficeScan cliente de forma automática en equipos host que noestén protegidos. Esta configuración identifica el servidor principaldel cliente de OfficeScan y las credenciales administrativas que seutilizan para iniciar sesión en los equipos host. Para conocer másdetalles, consulte Configuración del servidor de OfficeScan en la página5-65.

Nota

Determinadas circunstancias pueden impedir la instalación delcliente de OfficeScan en los equipos host de destino. Para conocermás detalles, consulte Directrices para la instalación del cliente de OfficeScancon Vulnerability Scanner en la página 5-45.

• Notificaciones: Vulnerability Scanner puede enviar los resultadosde la exploración de vulnerabilidades a los administradores deOfficeScan. También puede mostrar notificaciones en los equiposhost que no estén protegidos. Para conocer más detalles, consulteNotificaciones en la página 5-61.

• Guardar resultados: además de enviar los resultados de laexploración de vulnerabilidades a los administradores, laexploración de vulnerabilidades también puede guardar losresultados en un archivo .csv. Para conocer más detalles, consulteResultados de la exploración de vulnerabilidades en la página 5-63.


La pantalla Exploración programada se cerrará. La exploración devulnerabilidades programada que haya creado aparecerá en la sección Exploraciónprogramada. Si ha activado las notificaciones, Vulnerability Scanner le enviará losresultados de la exploración de vulnerabilidades programada.

6. Si desea ejecutar la exploración de vulnerabilidades programada inmediatamente,haga clic en Ejecutar ahora.

Los resultados de la exploración de vulnerabilidades aparecen en la tablaResultados de la pestaña Exploración programada.


5-57

Nota

La información de la dirección MAC no aparece en la tabla Resultados si el equipoejecuta Windows Server 2008 o Windows Server 2012.


Configuración de la exploración de vulnerabilidades

La configuración de la exploración de vulnerabilidades se define desde Trend MicroVulnerability Scanner TMVS.exe) o desde el archivo TMVS.ini.

Nota

Consulte Registros de depuración del servidor con LogServer.exe en la página 18-3 para obtenerinformación sobre cómo recopilar registros de depuración para Vulnerability Scanner.

Consulta del producto

Vulnerability Scanner puede comprobar la presencia de software de seguridad enclientes. En la siguiente tabla se indica cómo Vulnerability Scanner comprueba losproductos de seguridad:

TABLA 5-14. Productos de seguridad comprobados por Vulnerability Scanner

PRODUCTO DESCRIPCIÓN

ServerProtect paraWindows

Vulnerability Scanner utiliza el punto final RPC paracomprobar si SPNTSVC.exe se está ejecutando. Devuelveinformación que incluye las versiones del sistema operativo,del motor de escaneo de virus y también del patrón de virus.Vulnerability Scanner no puede detectar el servidor deinformación ni la consola de administración de ServerProtect.

ServerProtect para Linux Si el equipo de destino no ejecuta Windows, VulnerabilityScanner comprueba si tiene instalado ServerProtect paraLinux. Para ello, intenta conectarse al puerto 14942.


5-58


Cliente de OfficeScan Vulnerability Scanner utiliza el puerto del cliente deOfficeScan para comprobar si dicho cliente está instalado.También comprueba si el proceso TmListen.exe se estáejecutando. Recupera el número de puerto automáticamentesi se ejecuta desde su ubicación predeterminada.

Si ha iniciado Vulnerability Scanner en un equipo que no seael servidor de OfficeScan, compruebe los demás puertos decomunicación del equipo y, a continuación, utilícelos.

PortalProtect™ Vulnerability Scanner carga la página Web http://localhost:port/PortalProtect/index.html paracomprobar la instalación del producto.

ScanMail™ for MicrosoftExchange™

Vulnerability Scanner carga la página Web http://direcciónIP:puerto/scanmail.html para comprobar siestá instalado ScanMail. ScanMail utiliza el puerto 16372 deforma predeterminada. En caso de que utilice un número depuerto distinto, especifíquelo. De lo contrario, VulnerabilityScanner no puede detectar ScanMail.

Familia InterScan™ Vulnerability Scanner carga cada una de las páginas Web delos diferentes productos para comprobar la instalación de losmismos.

• InterScan Messaging Security Suite 5.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan eManager 3.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgi-bin/interscan.dll

Trend Micro InternetSecurity™ (PC-cillin)

Vulnerability Scanner utiliza el puerto 40116 para comprobarsi está instalado Trend Micro Internet Security.

McAfee VirusScanePolicy Orchestrator

Vulnerability Scanner envía un símbolo especial al puertoTCP 8081, el puerto predeterminado de ePolicy Orchestratorpara ofrecer conexión entre el servidor y el cliente. El equipoque tenga instalado este producto antivirus responde con untipo de símbolo especial. Vulnerability Scanner no puededetectar el producto McAfee VirusScan independiente.


5-59


Norton Antivirus™Corporate Edition

Vulnerability Scanner envía un símbolo especial al puertoUDP 2967, el puerto predeterminado de Norton AntivirusCorporate Edition RTVScan. El equipo que tenga instaladoeste producto antivirus responde con un tipo de símboloespecial. Por tanto, el índice de precisión no se garantiza porel hecho de que Norton Antivirus Corporate Edition secomunica mediante UDP. Asimismo, el tráfico de red puedeinfluir en el tiempo de espera de UDP.

Vulnerability Scanner detecta productos y equipos que utilizan los siguientes protocolos:

• RPC: detecta ServerProtect for NT

• UDP: detecta clientes de Norton AntiVirus Corporate Edition

• TCP: detecta McAfee VirusScan ePolicy Orchestrator

• ICMP: detecta equipos mediante el envío de paquetes ICMP

• HTTP: detecta clientes de OfficeScan

• DHCP: si se detecta una solicitud DHCP, Vulnerability Scanner comprueba si yase ha instalado el software antivirus en el equipo solicitante.

Configuración de consultas del producto

La configuración de consultas del producto es un subconjunto de la configuración de laexploración de vulnerabilidades. Para obtener información detallada acerca de laconfiguración de la exploración de vulnerabilidades, consulte Métodos de exploración devulnerabilidades en la página 5-46.

Procedimiento

1. Para especificar la configuración de consultas del producto desde VulnerabilityScanner (TMVS.exe):

a. Inicie TMVS.exe.

b. Haga clic en Settings.



5-60

c. Vaya a la sección Consulta del producto.

d. Seleccione los productos que se van a comprobar.

e. Haga clic en Configuración junto al nombre del producto y, después,especifique el número de puerto que comprobará Vulnerability Scanner.

f. Haga clic en Aceptar.

La pantalla Configuración se cerrará.

2. Para definir el número de equipos que Vulnerability Scanner comprobarásimultáneamente a fin de determinar si disponen de software de seguridad:

a. Vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un editor de texto como el bloc de notas.

b. Para definir el número de equipos que se comprobarán durante lasexploraciones de vulnerabilidades manuales, cambie el valor deThreadNumManual. Especifique un valor comprendido entre 8 y 64.

Por ejemplo, escriba ThreadNumManual=60 si desea que VulnerabilityScanner compruebe 60 equipos de forma simultánea.

c. Para definir el número de equipos que se comprobarán durante lasexploraciones de vulnerabilidades programadas, cambie el valor deThreadNumSchedule. Especifique un valor comprendido entre 8 y 64.

Por ejemplo, escriba ThreadNumSchedule=50 si desea que VulnerabilityScanner compruebe 50 equipos de forma simultánea.

d. Guarde TMVS.ini.

Método de recuperación de las descripciones de los equipos

Cuando Vulnerability Scanner pueda enviar comandos "ping" a equipos host, podrárecuperar información adicional acerca de dichos equipos. Hay dos métodos pararecuperar información:

• Recuperación rápida: solo recupera el nombre del equipo


5-61

• Recuperación normal: recupera tanto información sobre el dominio como sobreel equipo

Configuración de la recuperación

La configuración de la recuperación es un subconjunto de la configuración de laexploración de vulnerabilidades. Para obtener información detallada acerca de laconfiguración de la exploración de vulnerabilidades, consulte Métodos de exploración devulnerabilidades en la página 5-46.

Procedimiento

1. Inicie TMVS.exe.



3. Vaya a la sección Método de recuperación de las descripciones de losequipos.

4. Seleccione Normal o Rápida.

5. Si ha seleccionado Normal, elija Recuperar descripciones de los equiposcuando estén disponibles.



Notificaciones

Vulnerability Scanner puede enviar los resultados de la exploración de vulnerabilidades alos administradores de OfficeScan. También puede mostrar notificaciones en losequipos host que no estén protegidos.

Configuración de la notificación

La configuración de las notificaciones es un subconjunto de la configuración de laexploración de vulnerabilidades. Para obtener información detallada acerca de la


5-62

configuración de la exploración de vulnerabilidades, consulte Métodos de exploración devulnerabilidades en la página 5-46.

Procedimiento

1. Inicie TMVS.exe.



3. Vaya a la sección Notificaciones.

4. Para enviarse automáticamente los resultados de la exploración de vulnerabilidadesa sí mismo o a otros administradores de la organización:

a. Seleccione Enviar por correo electrónico los resultados al administradordel sistema.

b. Haga clic en Configurar para especificar la configuración del correoelectrónico.

c. En To, escriba la dirección de correo electrónico del destinatario.

d. En De, escriba la dirección de correo electrónico del remitente.

e. En Servidor SMTP, escriba la dirección del servidor SMTP.

Por ejemplo, puede escribir smtp.empresa.com. La información sobre elservidor SMTP es necesaria.

f. En Subject, escriba un nuevo asunto de mensaje o acepte el que se muestrade manera predeterminada.

g. Haga clic en Aceptar.

5. Para informar a los usuarios de que sus equipos no tienen instalado software deseguridad:

a. Seleccione Mostrar una notificación en los equipos sin protección.

b. Haga clic en Personalizar para configurar el mensaje de notificación.


5-63

c. En la pantalla Mensaje de notificación, escriba un mensaje nuevo o acepteel predeterminado.

d. Haga clic en Aceptar.



Resultados de la exploración de vulnerabilidades

Puede configurar Vulnerability Scanner para guardar los resultados de la exploración devulnerabilidades en un archivo de valores separados por comas (CSV).

Configuración de los resultados de la exploración

La configuración de los resultados de la exploración de vulnerabilidades es unsubconjunto de la configuración de la exploración de vulnerabilidades. Para obtenerinformación detallada acerca de la configuración de la exploración de vulnerabilidades,consulte Métodos de exploración de vulnerabilidades en la página 5-46.

Procedimiento

1. Inicie TMVS.exe.



3. Vaya a la sección Guardar resultados.

4. Seleccione Guardar automáticamente los resultados en un archivo CSV.

5. Para cambiar la carpeta predeterminada donde se guardan los archivos CSV:

a. Haga clic en Examinar.

b. Seleccione una carpeta de destino en el equipo o en la red.

c. Haga clic en Aceptar.



5-64


Configuración del comando ping

Utilice la configuración del comando "ping" para validar la existencia de un equipo dedestino y determinar su sistema operativo. Si esta configuración está desactivada,Vulnerability Scanner explora todas las direcciones IP del intervalo de direcciones IPespecificado, incluso aquellas que no se utilicen en ningún equipo host, por lo que elintento de exploración durará más de lo que debiera.

Configuración del comando ping

La configuración del comando ping es un subconjunto de la configuración de laexploración de vulnerabilidades. Para obtener información detallada acerca de laconfiguración de la exploración de vulnerabilidades, consulte Métodos de exploración devulnerabilidades en la página 5-46.

Procedimiento

1. Para especificar la configuración del comando ping desde Vulnerability Scanner(TMVS.exe):

a. Inicie TMVS.exe.

b. Haga clic en Settings.


c. Vaya a la sección de configuración del Comando ping.

d. Seleccione Permitir que Vulnerability Scanner envíe comandos ping alos equipos de la red para comprobar su estado.

e. En los campos Tamaño del paquete y Tiempo de espera, acepte omodifique los valores predeterminados.

f. Seleccione Detectar el tipo de sistema operativo mediante la opción dehuellas de sistema operativo ICMP.

Si selecciona esta opción, Vulnerability Scanner determina si un equipo hostejecuta Windows u otro sistema operativo. Vulnerability Scanner puede


5-65

identificar la versión de Windows en aquellos equipos host que ejecuten dichosistema operativo.

g. Haga clic en Aceptar.


2. Para definir el número de equipos a los que Vulnerability Scanner enviarácomandos ping simultáneamente:

a. Vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TMVS y abra TMVS.ini con un editor de texto como el bloc de notas.

b. Cambie el valor de EchoNum. Especifique un valor comprendido entre 1 y 64.

Por ejemplo, escriba EchoNum=60 si desea que Vulnerability Scanner envíecomandos ping a 60 equipos de forma simultánea.

c. Guarde TMVS.ini.

Configuración del servidor de OfficeScan

La configuración del servidor de OfficeScan se utiliza cuando:

• Vulnerability Scanner instala el cliente de OfficeScan en equipos de destino que noestén protegidos. La configuración del servidor permite que Vulnerability Scanneridentifique el servidor principal del cliente de OfficeScan y las credencialesadministrativas que utilizarán para iniciar sesión en los equipos de destino.

NotaDeterminadas circunstancias pueden impedir la instalación del cliente de OfficeScanen los equipos host de destino. Para conocer más detalles, consulte Directrices para lainstalación del cliente de OfficeScan con Vulnerability Scanner en la página 5-45.

• Vulnerability Scanner envía registros de la instalación del cliente al servidor deOfficeScan.

Configuración del servidor de OfficeScan

La configuración del servidor de OfficeScan es un subconjunto de la configuración de laexploración de vulnerabilidades. Para obtener información detallada acerca de la


5-66

configuración de la exploración de vulnerabilidades, consulte Métodos de exploración devulnerabilidades en la página 5-46.

Procedimiento

1. Inicie TMVS.exe.



3. Vaya a la sección Configuración del servidor de OfficeScan.

4. Escriba el nombre y el número de puerto del servidor de OfficeScan.

5. Seleccione Instalar automáticamente el cliente de OfficeScan en equipos sinprotección.

6. Para configurar las credenciales administrativas:

a. Haga clic en Instalar en cuenta.

b. En la pantalla Información de la cuenta, escriba un nombre de usuario yuna contraseña.

c. Haga clic en Aceptar.

7. Seleccione Enviar registros al servidor de OfficeScan.



Instalar de conformidad con las normas de seguridad

Instale clientes de OfficeScan en equipos dentro de los dominios de la red o instale elcliente de OfficeScan en un equipo de destino mediante su dirección IP.

Antes de instalar el cliente de OfficeScan, tenga en cuenta los siguientes aspectos:


5-67

Procedimiento

1. Registre las credenciales de inicio de sesión de cada equipo. OfficeScan le pediráque especifique las credenciales de inicio de sesión durante la instalación.

2. El cliente de OfficeScan no se instalará en un equipo si:

• El servidor de OfficeScan está instalado en el equipo.

• El equipo ejecuta Windows XP Home, Windows Vista Home Basic, WindowsVista Home Premium, Windows 7™ Starter, Windows 7 Home Basic,Windows 7 Home Premium y Windows 8 (versiones básicas). Si cuenta conequipos en los que se ejecuten estas plataformas, seleccione otro método deinstalación. Consulte el apartado Consideraciones sobre la implementación en la página5-11 para obtener información detallada.

3. Si el equipo de destino ejecuta Windows Vista (Business, Enterprise o UltimateEdition), Windows 7 (Professional, Enterprise o Ultimate Edition), Windows 8(Pro, Enterprise) o Windows Server 2012 (Standard), aplique los siguientes pasosen dicho equipo:

a. Active una cuenta de administrador integrado y defina la contraseña para lacuenta.

b. Desactive el cortafuegos de Windows.

c. Haga clic en Iniciar > Programas > Herramientas administrativas >Cortafuegos de Windows con seguridad avanzada.

d. En Perfil de dominio, Perfil privado y Perfil público, establezca el estado delcortafuegos en "Desactivado".

e. Abra la Consola de administración de Microsoft (haga clic en Inicio >Ejecutar y escriba services.msc) e inicie el servicio Registro remoto.Cuando instale el cliente de OfficeScan utilice la cuenta de administradorintegrado y la contraseña.

4. En caso de que en el equipo esté instalado algún programa de seguridad de puntofinal de Trend Micro o de otros fabricantes, compruebe si OfficeScan puededesinstalar dicho software automáticamente a fin de sustituirlo por el cliente deOfficeScan. Para acceder a una lista de programas de seguridad de clientes queOfficeScan puede desinstalar automáticamente, abra los siguientes archivos en la


5-68

<Carpeta de instalación del servidor>\PCCSRV\Admin. Puede abrir estos archivosmediante un editor de texto como el Bloc de notas

• tmuninst.ptn

• tmuninst_as.ptn

En caso de que el software que está instalado en el equipo de destino no seencuentre en la lista, primero desinstálelo manualmente. Dependiendo del procesode desinstalación del software, se tendrá que reiniciar o no el equipo tras ladesinstalación.


Procedimiento

1. Vaya a Conformidad con las normas de seguridad > Administración deservidores externos.

2. Haga clic en Instalar en la parte superior del árbol de clientes.

• Si hace clic en Instalar y en el equipo ya hay instalada una versión anterior delcliente de OfficeScan, se omitirá la instalación y, por tanto, el cliente no seactualizará a esta versión. Se debe desactivar una opción para actualizar elcliente.

a. Vaya a Equipos en red > Administración de clientes.

b. Haga clic en la pestaña Configuración > Derechos y otrasconfiguraciones > Otras configuraciones.

c. Desactive la opción Los clientes pueden actualizar componentespero no pueden actualizar el programa del cliente ni implementararchivos hotfix.

3. Especifique la cuenta de administrador con derecho a inicio de sesión para cadaequipo y, a continuación, haga clic en Iniciar sesión. OfficeScan empezará ainstalar el cliente en el equipo de destino.


5-69

4. Consulte el estado de la instalación.

Migrar al cliente de OfficeScanReemplace el software de seguridad del cliente instalado en un equipo de destino con elcliente de OfficeScan.

Migrar desde otro software de seguridad de punto finalAl instalar el cliente de OfficeScan, el programa de instalación comprueba si existe otrosoftware de seguridad de punto final de Trend Micro o de otro fabricante instalado en elequipo de destino. El programa de instalación puede desinstalar dicho softwareautomáticamente y sustituirlo por el cliente de OfficeScan.

Para acceder a una lista de programas de seguridad de punto final que OfficeScan puededesinstalar automáticamente, abra los siguientes archivos en la <Carpeta de instalación delservidor>\PCCSRV\Admin. Abra estos archivos con un editor de texto como el Bloc denotas.

• tmuninst.ptn

• tmuninst_as.ptn

En caso de que el software que está instalado en el equipo de destino no se encuentre enla lista, primero desinstálelo manualmente. Dependiendo del proceso de desinstalacióndel software, se tendrá que reiniciar o no el equipo tras la desinstalación.

Problemas de migración de clientes de OfficeScan

• Si la migración de clientes automática se ha realizado correctamente pero unusuario tiene problemas con el cliente de OfficeScan justo después de lainstalación, reinicie el equipo.

• En caso de que el programa de instalación de OfficeScan siga con la instalación delcliente de OfficeScan y no haya podido desinstalar el otro software de seguridad,ambos software entrarán en conflicto. Desinstale ambos software y, a continuación,


5-70

instale el cliente de OfficeScan mediante cualquiera de los métodos de instalaciónmencionados en Consideraciones sobre la implementación en la página 5-11.

Migrar desde servidores ServerProtect normalesServerProtect Normal™ Server Migration Tool es una herramienta que ayuda a realizarla migración de los equipos que ejecutan Trend Micro ServerProtect Normal Server alcliente de OfficeScan.

La herramienta ServerProtect Normal Server Migration Tool comparte la mismaespecificación de hardware y software que el servidor de OfficeScan. Ejecute laherramienta en equipos que ejecuten Windows Server 2003 o Windows Server 2008.

Cuando la desinstalación del servidor ServerProtect normal es correcta, la herramientainstala el cliente de OfficeScan. También migra la configuración de la Lista deExclusiones de la exploración (para todos los tipos de exploración) al cliente deOfficeScan.

Mientras se instala el cliente de OfficeScan, el instalador de clientes de la herramienta demigración a veces puede exceder el tiempo de espera y notificarle que la instalación nose ha realizado con éxito. Sin embargo, el cliente de OfficeScan se puede haber instaladocorrectamente. Compruebe la instalación en el equipo cliente desde la consolaOfficeScan Web.

La migración no se realiza correctamente en los casos siguientes:

• El cliente remoto únicamente tiene una dirección IPv6. La herramienta demigración no es compatible con las direcciones IPv6.

• El cliente remoto no puede utilizar el protocolo NetBIOS.

• Los puertos 455, 337 y 339 están bloqueados.

• El cliente remoto no puede utilizar el protocolo RPC.

• El servicio Remote Registry Service se detiene.


5-71

NotaServerProtect Normal Server Migration Tool no desinstala el agente de Control Manager™para ServerProtect. Para conocer más instrucciones sobre cómo desinstalar el agente,consulte la documentación correspondiente de ServerProtect y/o Control Manager.

Uso de la herramienta ServerProtect Normal ServerMigration Tool

Procedimiento

1. En el equipo del servidor de OfficeScan, abra la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\SPNSXfr y copie los archivos SPNSXfr.exe ySPNSX.ini en la <Carpeta de instalación del servidor>\PCCSRV\Admin.

2. Haga doble clic en SPNSXfr.exe para abrir la herramienta.

Aparecerá la consola de ServerProtect Normal Server Migration Tool.

3. Seleccione el servidor de OfficeScan. La ruta de acceso del servidor de OfficeScanaparece en OfficeScan server path. Si no es correcta, haga clic en Browse yseleccione la carpeta PCCSRV en el directorio en el que está instalado OfficeScan.Para que la herramienta vuelva a buscar automáticamente el servidor de OfficeScanla próxima vez que se ejecute la herramienta, active la casilla de verificación Buscarautomáticamente la ruta del servidor (activada de forma predeterminada).

4. Para seleccionar los equipos que ejecutan ServerProtect Normal Server en los quese llevará a cabo la migración, haga clic en una de las siguientes opciones de Targetcomputer:

• Árbol de red de Windows: muestra un árbol con los dominios de la red. Paraseleccionar los equipos mediante este método, haga clic en los dominios enlos que desee buscar los equipos cliente.

• Nombre del servidor de información: permite buscar por nombre delservidor de información. Para seleccionar equipos con este método, escriba enel cuadro de texto el nombre de un servidor de información de la red. Parabuscar varios servidores de información, introduzca punto y coma “;” paraseparar los nombres de los servidores.


5-72

• Nombre de servidor normal: permite buscar por nombre del servidornormal. Para seleccionar equipos con este método, escriba en el cuadro detexto el nombre de un servidor normal de la red. Para buscar varios servidoresNormal Server, introduzca punto y coma “;” para separar los nombres de losservidores.

• Búsqueda de intervalos de IP: permite buscar por rango de direcciones IP.Para seleccionar equipos mediante este método, escriba un rango dedirecciones IP de clase B en el rango IP.

Nota

Si un servidor DNS de la red no responde durante la búsqueda de clientes, labúsqueda dejará de responder. Respete el tiempo de espera de la búsqueda.

5. Seleccione Reiniciar después de la instalación para reiniciar automáticamentelos equipos de destino tras la migración.

Se requiere reiniciar para que la migración se complete correctamente. Si noselecciona esta opción, reinicie manualmente los equipos tras la migración.

6. Haga clic en Buscar.

Los resultados de la búsqueda aparecen en ServerProtect Normal Servers.

7. Haga clic en los equipos en que desea realizar la migración

a. Para seleccionar todos los equipos, haga clic en Seleccionar todo.

b. Para borrar todos los equipos, haga clic en Deseleccionar todo.

c. Para exportar la lista a un archivo de datos de valores separados por comas(CSV), haga clic en Exportar a CSV.

8. Si se requiere un nombre de usuario y una contraseña para iniciar sesión en losequipos de destino, lleve a cabo lo siguiente:

a. Active la casilla de verificación Utilizar cuenta/contraseña de grupo.

b. Haga clic en Establecer cuenta de inicio de sesión.

Aparecerá la ventana Enter Administration Information.


5-73

c. Escriba el nombre de usuario y la contraseña.

NotaUse la cuenta de administrador local o de dominio para iniciar sesión en elequipo de destino. Si inicia sesión sin los derechos suficientes como "invitado"o "usuario normal", no podrá realizar la instalación.

d. Haga clic en Aceptar.

e. Haga clic en Volver a preguntar si el inicio de sesión se realizaincorrectamente para poder escribir el nombre de usuario y la contraseñaotra vez durante el proceso de migración si no puede iniciar la sesión.

9. Haga clic en Migrate.

10. Si no seleccionó la opción Reiniciar después de la instalación, reinicie losequipos de destino para completar la migración.

Posterior a la instalaciónDespués del proceso de instalación, compruebe lo siguiente:

• Acceso directo al cliente de OfficeScan en la página 5-74

• Lista de programas en la página 5-74

• Servicios del cliente de OfficeScan en la página 5-74

• Registros de instalación del cliente de OfficeScan en la página 5-75


5-74

Acceso directo al cliente de OfficeScanLos accesos directos del cliente de OfficeScan aparecen en el menú de Inicio del equipodel cliente.

FIGURA 5-2. Acceso directo al cliente de OfficeScan

Lista de programasCliente de OfficeScan se encuentra en la lista de la opción Agregar o quitarprogramas a la que se accede a través del Panel de control del equipo cliente.

Servicios del cliente de OfficeScanLos siguientes servicios del cliente de OfficeScan aparecen en la Consola deadministración de Microsoft:

• Servicio de escucha de OfficeScan NT (TmListen.exe)

• Exploración en tiempo real de OfficeScan NT (NTRtScan.exe)

• Servicio proxy de OfficeScan NT (TmProxy.exe)

NotaEl Servicio proxy de OfficeScan NT no existe en plataformas de Windows 8 oWindows Server 2012.


5-75

• Cortafuegos de OfficeScan NT (TmPfw.exe); si se activó el cortafuegos durante lainstalación

• Servicio de prevención de cambios no autorizados de Trend Micro(TMBMSRV.exe)

Registros de instalación del cliente de OfficeScan

El registro de instalación del cliente de OfficeScan, OFCNT.LOG, existe en las siguientesubicaciones:

• %windir% para todos los métodos de instalación excepto para la instalación delpaquete MSI

• %temp% para el método de instalación del paquete MSI

Tareas posteriores a la instalación recomendadas

Trend Micro recomienda realizar las siguientes tareas posteriores a la instalación.

Actualizaciones de los componentes

Actualice los componentes del cliente de OfficeScan para asegurarse de que los clientescuenten con la protección más actualizada frente a los riesgos de seguridad. Puedeejecutar las actualizaciones manuales del cliente desde la consola Web o indicar a losusuarios que utilicen la función "Actualizar ahora" desde sus equipos.

Exploración de prueba mediante la secuencia de comandosde prueba EICAR

El Instituto europeo de investigación antivirus (EICAR) ha desarrollado una secuenciade comandos de prueba para confirmar de forma segura la instalación y la configuracióncorrectas del software antivirus. Visite el sitio Web de EICAR para obtener másinformación:

http://www.eicar.org

http://www.eicar.org


5-76

La secuencia de comandos de prueba EICAR es un archivo de texto inerte con unaextensión .com. No es un virus y no contiene ningún fragmento de código de virus,pero la gran parte de los programas antivirus reaccionan ante él como si se tratara de unvirus. Utilícelo para simular un incidente de virus y confirmar que las notificaciones porcorreo electrónico y los registros de virus funcionan correctamente.

¡ADVERTENCIA!No utilice nunca virus reales para probar el producto antivirus.

Realización de una exploración de prueba

Procedimiento

1. Active la exploración en tiempo real en el cliente.

2. Copie la siguiente cadena y péguela en el Bloc de notas o cualquier otro editor detextos. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Guarde el archivo como EICAR.com en un directorio temporal. OfficeScandetectará el archivo de inmediato.

4. Para probar otros equipos de la red, adjunte el archivo EICAR.com a un mensajede correo electrónico y envíelo a uno de los equipos.

ConsejoTrend Micro recomienda comprimir el archivo EICAR mediante un softwarehabilitado para ello (como WinZip) y realizar a continuación otra prueba deexploración.

Desinstalación del cliente de OfficeScanHay dos formas de desinstalar el cliente de OfficeScan de los equipos:

• Desinstalación del cliente de OfficeScan desde la consola Web en la página 5-77


5-77

• Ejecución del programa de desinstalación del cliente de OfficeScan en la página 5-79

Si en el cliente de OfficeScan también se ha instalado un agente Cisco Trust Agent(CTA) es posible que éste no se desinstale junto con el programa cliente de OfficeScan.Esto depende de los valores de configuración definidos al implementar el agente. Paraobtener más información, consulte Implementación de Cisco Trust Agent en la página 16-30.

Si el agente Cisco Trust Agent permanece después de desinstalar el cliente deOfficeScan, elimínelo manualmente desde la pantalla Agregar o quitar programas.

En caso de que no se pueda desinstalar el cliente de OfficeScan con los métodosmencionados anteriormente, desinstálelo manualmente. Para conocer más detalles,consulte Desinstalar manualmente el cliente de OfficeScan en la página 5-79.

Desinstalación del cliente de OfficeScan desde la consolaWeb

Desinstale el programa cliente de OfficeScan desde la consola Web. Realice ladesinstalación sólo si experimenta problemas con el programa y, a continuación, vuelvaa instalarlo inmediatamente para mantener al equipo protegido frente a los riesgos deseguridad.

Procedimiento


2. En el árbol de clientes, haga clic en el icono de dominio raíz ( ) para incluir todoslos clientes o seleccione dominios o clientes específicos.

3. Haga clic en Tareas > Desinstalación del cliente.

4. En la pantalla Desinstalación del cliente, haga clic en Iniciar la desinstalación.El servidor envía una notificación a los clientes.

5. Compruebe el estado de la notificación y si hay clientes que no la recibieron.

a. Haga clic en Seleccionar equipos no notificados y luego en Iniciar ladesinstalación para volver a enviar la notificación de inmediato a los clientesque no la recibieron.


5-78

b. Haga clic en Detener desinstalación para indicar a OfficeScan que deje deenviar la notificación a los clientes que ya la han recibido. Los clientes que yahan recibido la notificación y que ya están realizando la desinstalaciónignorarán este comando.

El programa de desinstalación del cliente de OfficeScanConceda a los usuarios el derecho de desinstalar el programa cliente de OfficeScan y,después, indíqueles que ejecuten el programa de desinstalación del cliente desde susequipos.

En función de cuál sea su configuración, puede que necesite una contraseña para ladesinstalación. En caso de que necesite una contraseña, asegúrese de compartirlaúnicamente con aquellos usuarios que vayan a ejecutar el programa de desinstalación y,después, modifíquela de inmediato si la ha divulgado a otros usuarios.

Concesión del derecho de desinstalación del cliente deOfficeScan

Procedimiento



3. Haga clic en Configuración > Derechos y otras configuraciones.

4. En la pestaña Derechos, vaya a la sección Desinstalación.

5. Para permitir la desinstalación sin contraseña, seleccione Permitir al usuariodesinstalar el cliente de OfficeScan. Si se precisa una contraseña, seleccioneExigir una contraseña al usuario para desinstalar el cliente de OfficeScan,escriba dicha contraseña y, después, confírmela.

6. En caso de que haya seleccionado dominios o clientes en el árbol de clientes, hagaclic en Guardar. En caso de que haya hecho clic en el icono del dominio raíz,seleccione alguna de las siguientes opciones:


5-79

• Aplicar a todos los clientes: Esta opción aplica la configuración a todos losclientes existentes y a los nuevos clientes que se añadan a un dominioexistente o futuro. Los futuros dominios son dominios todavía no creados enel momento en que haya realizado la configuración.


Ejecución del programa de desinstalación del cliente deOfficeScan

Procedimiento

1. En el menú Iniciar de Windows, haga clic en Programas > Trend MicroOfficeScan Client > Desinstalar Cliente de OfficeScan.

También puede aplicar los siguientes pasos:

a. Haga clic en Panel de control > Agregar o quitar programas.

b. Localice Trend Micro OfficeScan Client y, a continuación, haga clic enCambiar.

c. Siga las instrucciones que aparecen en pantalla.

2. Escriba la contraseña de desinstalación en caso de que se le solicite. OfficeScannotifica al usuario sobre el progreso y la finalización de la desinstalación. No esnecesario que el usuario reinicie el equipo cliente para completar la desinstalación.

Desinstalar manualmente el cliente de OfficeScan

Realice la desinstalación manual únicamente si tiene problemas para desinstalar el clientede OfficeScan desde la consola Web o después de ejecutar el programa dedesinstalación.


5-80

Procedimiento

1. Inicie sesión en el equipo cliente con una cuenta que tenga derechos deadministrador.

2. Haga clic con el botón derecho del ratón en el icono del cliente de OfficeScan de labandeja del sistema y seleccione Descargar OfficeScan. Si se le solicita unacontraseña, especifique la de descarga y, a continuación, haga clic en Aceptar.

Nota

• Para Windows 8 y Windows Server 2012, cambie al modo de escritorio paradescargar el cliente de OfficeScan.

• Desactive la contraseña en los equipos en los que se vaya a descargar el clientede OfficeScan. Para conocer más detalles, consulte Configurar derechos y otrasconfiguraciones de los clientes en la página 14-95.

3. En caso de que no se haya especificado la contraseña de descarga, detenga lossiguientes servicios en la Consola de administración de Microsoft.

• Servicio de escucha de OfficeScan NT

• Cortafuegos de OfficeScan NT

• Exploración en tiempo real de OfficeScan NT

• Servicio proxy de OfficeScan NT

Nota

El Servicio proxy de OfficeScan NT no existe en plataformas de Windows 8 oWindows Server 2012.

• Servicio de prevención de cambios no autorizados de Trend Micro

4. Elimine el acceso directo del cliente de OfficeScan del menú Inicio.

• En Windows 8 y Windows Server 2012:

a. Cambie al modo de escritorio.


5-81

b. Mueva el cursor del mouse a la esquina inferior derecha de la pantalla yhaga clic en Inicio desde el menú que aparece.

Aparecerá la pantalla Inicio.

c. Haga clic con el botón derecho en Trend Micro OfficeScan.

d. Haga clic en Desanclar de Inicio.

• En el resto de plataformas Windows:

Haga clic en Inicio > Programas, haga clic con el botón derecho en TrendMicro OfficeScan Client y, a continuación, haga clic en Eliminar.

5. Abra el Editor del registro (regedit.exe).

¡ADVERTENCIA!Para aplicar los siguientes pasos, es necesario que elimine las claves de registro.Realizar cambios incorrectos en el registro puede causar graves problemas en elsistema. Haga siempre una copia de seguridad antes de realizar cambios en el registro.Para obtener más información, consulte la ayuda del editor del registro.

6. Elimine las siguientes claves de registro:

• En caso de que no haya ningún otro producto de Trend Micro instalado en elequipo:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro

Para equipos de 64 bits:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro

• En el caso de que sí los haya, elimine sólo las siguientes claves:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\OfcWatchDog


5-82

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp

7. Elimine las siguientes claves o valores de registro:

• Para sistemas de 32 bits:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• Supervisor de OfficeScanNT (REG_SZ) en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Para sistemas de 64 bits:

• HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• Supervisor de OfficeScanNT (REG_SZ) en HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run

8. Elimine todas las instancias de las siguientes claves de registro en las ubicacionesque se indican a continuación:

• Ubicaciones:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services



• Claves:

• NTRtScan

• tmcfw


5-83

• tmcomm

• TmFilter

• TmListen

• tmpfw

• TmPreFilter

• TmProxy

NotaTmProxy no existe en las plataformas de Windows 8 o Windows Server2012.

• tmtdi

Notatmtdi no existe en las plataformas de Windows 8 o Windows Server 2012.

• VSApiNt

• tmlwf (para equipos con Windows Vista/Server 2008/7/8/Server 2012)

• tmwfp (para equipos con Vista/Server 2008/7/8/Server 2012)

• tmactmon

• TMBMServer

• TMebc

• tmevtmgr

• tmeevw (para Windows 8/Server 2012)

• tmusa (para Windows 8/Server 2012)

9. Cierre el Editor del Registro.

10. Haga clic en Iniciar > Configuración > Panel de control y, a continuación, hagadoble clic en Sistema.


5-84

Nota

Para sistemas Windows 8 y Windows Server 2012, omita este paso.

11. Haga clic en la pestaña Hardware y, a continuación, haga clic en Administradorde dispositivos.

Nota


12. Haga clic en Ver > Mostrar dispositivos ocultos.

Nota


13. Expanda Controladores que no son Plug and Play y, a continuación, desinstalelos siguientes dispositivos (para Windows XP/Vista/7/Server 2003/Server 2008):

• tmcomm

• tmactmon

• tmevtmgr

• Trend Micro Filter

• Trend Micro PreFilter

• Trend Micro TDI Driver

• Trend Micro VSAPI NT

• Trend Micro Unauthorized Change Prevention Service

• Trend Micro WFP Callout Driver (para equipos con Windows Vista/Server2008/7)

14. Elmine manualmente los controladores de Trend Micro mediante el uso de uneditor de línea de comandos (Windows 8/Server 2012 solamente) mediante el usode los siguientes comandos:


5-85

• sc delete tmcomm

• sc delete tmactmon

• sc delete tmevtmgr

• sc delete tmfilter

• sc delete tmprefilter

• sc delete tmwfp

• sc delete vsapint

• sc delete tmeevw

• sc delete tmusa

• sc delete tmebc

NotaEjecute el editor de línea de comandos mediante privilegios administrados (porejemplo, haga clic con el botón derecho en cmd.exe y haga clic en Ejecutar comoadministrador) para asegurarse de que los comandos se ejecuten correctamente.

15. Desinstale el controlador del cortafuegos común.

a. Haga clic con el botón derecho del ratón en Mis sitios de red y, acontinuación, haga clic en Propiedades.

b. Haga clic con el botón derecho del ratón en Conexión de área local y, acontinuación, haga clic en Propiedades.

c. En la pestaña General, seleccione driver del cortafuegos común de TrendMicro y haga clic en Desinstalar.

NotaLos siguientes pasos solo son aplicables a sistemas operativos Windows Vista/Server 2008/7/8/Server 2012. Los clientes que utilicen cualquier otro sistemaoperativo deben ir directamente al paso 15.

d. Haga clic con el botón derecho del ratón en Red y haga clic en Propiedades.


5-86

e. Haga clic en Administrar conexiones de red.

f. Haga clic con el botón derecho del ratón en Conexión de área local y, acontinuación, haga clic en Propiedades.

g. En la pestaña Redes, seleccione Trend Micro NDIS 6.0 Filter Driver yhaga clic en Desinstalar.

16. Reinicie el equipo cliente.

17. En caso de que no haya ningún otro producto de Trend Micro instalado en elequipo, elimine la carpeta de instalación de Trend Micro (normalmente seencuentra en C:\Archivos de programa\\Trend Micro). En el caso deequipos de 64 bits, ésta puede encontrarse en C:\Archivos de programa(x86)\\Trend Micro.

18. En caso de que sí haya otros productos de Trend Micro instalados, elimine lassiguientes carpetas:

• <Carpeta de instalación del cliente>

• La carpeta BM de la carpeta de instalación de Trend Micro (normalmente seencuentra en C:\Archivos de programa\Trend Micro\BM para lossistemas de 32 bits y C:\Archivos de programa (x86)\Trend Micro\BM para los sistemas de 64 bits)

6-1

Capítulo 6

Mantener actualizada la protecciónEn este capítulo se describen los componentes y los procedimientos de actualización deTrend Micro™OfficeScan™.


• Componentes y programas de OfficeScan en la página 6-2

• Información general de actualizaciones en la página 6-11

• Actualizaciones del servidor de OfficeScan en la página 6-15

• Actualizaciones del Smart Protection Server Integrado en la página 6-28

• Actualizaciones del cliente de OfficeScan en la página 6-28

• Agentes de actualización en la página 6-58

• Resumen de la actualización de componentes en la página 6-67


6-2

Componentes y programas de OfficeScanOfficeScan utiliza componentes y programas para proteger los equipos cliente frente alos últimos riesgos de seguridad. Utilice las actualizaciones manuales o programadas paramantener estos componentes y programas siempre actualizados.

Además de estos componentes, los clientes de OfficeScan también reciben los archivosde configuración actualizados del servidor de OfficeScan. Los clientes necesitan losarchivos de configuración para aplicar la nueva configuración. Cada vez que se modificala configuración de OfficeScan desde la consola Web también se modifican los archivosde configuración.

Los componentes se agrupan de la forma siguiente:

• Componentes antivirus en la página 6-2

• Componentes de Damage Cleanup Services en la página 6-5

• Componentes antispyware en la página 6-6

• Componentes del cortafuegos en la página 6-7

• Componente de Reputación Web en la página 6-7

• Componentes de supervisión de comportamiento en la página 6-7

• Programas en la página 6-9

• Componente de servicio de alerta de contacto de C&C en la página 6-11

Componentes antivirus

Los componentes antivirus constan de los siguientes patrones, controladores y motores:

• Patrones de virus en la página 6-3

• Motor de Escaneo de Virus en la página 6-4

• Controlador de la exploración antivirus en la página 6-4

• Patrón IntelliTrap en la página 6-5

Mantener actualizada la protección

6-3

• Patrón de Excepciones Intellitrap en la página 6-5

Patrones de virus

El patrón de virus disponible en un equipo cliente depende del método de exploraciónque utilice el cliente. Para obtener información acerca de los métodos de exploración,consulte Métodos de exploración en la página 7-7.

TABLA 6-1. Patrones de virus

MÉTODO DEEXPLORACIÓN

PATRÓN EN USO

Exploraciónconvencional

El Patrón de virus contiene información que ayuda a OfficeScan aidentificar los virus y el malware más recientes y los ataques deamenazas mixtas. Trend Micro crea y publica nuevas versiones delpatrón de virus varias veces por semana y siempre que se detecta unvirus/malware especialmente dañino.

Trend Micro recomienda programar las actualizaciones automáticas almenos cada hora (opción predeterminada en todos sus productos).

Smart Scan En el modo smart scan, los clientes de OfficeScan utilizan dospatrones ligeros que funcionan juntos para proporcionar la mismaprotección que ofrecen los patrones antimalware y antispywareconvencionales.

Una fuente de protección inteligente aloja el Smart Scan Pattern. Estepatrón se actualiza cada hora y contiene la mayoría de las definicionesde patrones. Los clientes de Smart scan no descargan este patrón. Losclientes verifican las posibles amenazas del patrón enviando consultasde exploración a la fuente de protección inteligente.

La fuente de actualización de los clientes (el servidor de OfficeScan ouna fuente de actualización personalizada) aloja el Smart Scan AgentPattern. Este patrón se actualiza cada día y contiene el resto dedefiniciones de patrones que no se encuentran en el Smart ScanPattern. Los clientes descargan este patrón desde la fuente deactualización con los mismos métodos que utilizan para descargarotros componentes de OfficeScan.

Para obtener información acerca de Smart Scan Pattern y Smart ScanAgent Pattern, consulte Archivos de patrones de Protección Inteligenteen la página 4-8.


6-4

Motor de Escaneo de VirusEn el núcleo de todos los productos de Trend Micro se encuentra el motor deexploración, que originalmente se desarrolló en respuesta a los primeros virusinformáticos basados en archivos. El motor de exploración es en la actualidad muysofisticado y es capaz de detectar varios tipos de Virus y malware en la página 7-2.Asimismo, el motor de exploración detecta virus controlados que se desarrollan yutilizan para la investigación.

En vez de explorar todos los bytes de cada archivo, el motor y el archivo de patronestrabajan conjuntamente para identificar lo siguiente:

• Las características delatoras del código de virus

• La ubicación exacta dentro del archivo donde el virus reside

OfficeScan elimina virus/malware en cuanto los detecta y restaura la integridad delarchivo.

Actualizar el motor de exploración

Al almacenar la información más reciente sobre virus/malware en los patrones de virus,Trend Micro minimiza el número de actualizaciones del motor de exploración a la vezque mantiene la protección actualizada. No obstante, Trend Micro publica regularmentenuevas versiones del motor de exploración. Trend Micro pone en circulación losmotores nuevos cuando:

• Se incorporan nuevas tecnologías de exploración y detección en el software.

• Se descubre un nuevo virus/malware potencialmente dañino que el motor deexploración no puede gestionar.

• Se mejora el rendimiento de la exploración.

• Se añaden formatos de archivo, lenguajes de secuencias de comandos, y formatosde codificación o compresión.

Controlador de la exploración antivirusControlador de la exploración antivirus que supervisa las operaciones del usuario con losarchivos. Las operaciones incluyen la apertura y el cierre de un archivo y la ejecución de


6-5

una aplicación. Existen dos versiones para este controlador. Éstas son TmXPFlt.sys yTmPreFlt.sys. TmXPFlt.sys se utiliza para la configuración en tiempo real delmotor de escaneo de virus y TmPreFlt.sys para supervisar las operaciones delusuario.

Nota

Este componente no se muestra en la consola. Para comprobar la versión, vaya a la<Carpeta de instalación del servidor>\PCCSRV\Pccnt\Drv. Haga clic con el botón derechodel ratón en el archivo .sys, seleccione Propiedades y vaya a la pestaña Versión.

Patrón IntelliTrap

El patrón IntelliTrap (para obtener información detallada, consulte IntelliTrap en la páginaE-7). El patrón detecta los archivos de compresión en tiempo real empaquetados comoarchivos ejecutables.

Patrón de Excepciones Intellitrap

El Patrón de Excepciones de Intellitrap contiene una lista de archivos comprimidos"permitidos".

Componentes de Damage Cleanup Services

Los componentes de Damage Cleanup Services se componen del motor y la plantillasiguientes.

• Motor de limpieza de virus en la página 6-5

• Plantilla de limpieza de virus en la página 6-6

Motor de limpieza de virus

El motor de limpieza de virus busca y elimina los troyanos y los procesos troyanos. Estemotor es compatible con las plataformas de 32 y 64 bits.


6-6

Plantilla de limpieza de virus

El motor de limpieza de virus utiliza la plantilla de limpieza de virus para identificar losarchivos y procesos troyanos, de forma que el motor los pueda eliminar.

Componentes antispywareLos componentes antispyware constan de los siguientes patrones, controladores ymotores:

• Motor Anti-Spyware en la página 6-6

• Motor de Escaneo de Spyware en la página 6-6

• Patrón de monitorización activa de Spyware en la página 6-6

Motor Anti-Spyware

El Motor Anti-Spyware identifica los spyware/grayware contenidos en archivos yprogramas, los módulos de la memoria, el registro de Windows y los accesos directos aURL.

Motor de Escaneo de Spyware

El Motor de Escaneo de Spyware busca y lleva a cabo la acción de exploraciónapropiada sobre los spyware/grayware. Este motor es compatible con las plataformas de32 y 64 bits.

Patrón de monitorización activa de Spyware

El Patrón de supervisión antispyware activa se utiliza para la exploración en tiempo realde spyware/grayware. Sólo los clientes de exploración convencional utilizan este patrón.

Los clientes de Smart scan utilizan Smart Scan Agent Pattern para la exploración despyware/grayware en tiempo real. Los clientes envían consultas de exploración a unafuente de protección inteligente si el riesgo del objetivo de la exploración no se puededeterminar durante la exploración.


6-7

Componentes del cortafuegosLos componentes del cortafuegos se componen del controlador y el patrón siguientes:

• Driver del Cortafuegos común en la página 6-7

• Patrón para Cortafuegos común en la página 6-7

Driver del Cortafuegos común

El Driver del cortafuegos común se utiliza con el Patrón para Cortafuegos común paraexplorar los equipos cliente en busca de virus de red. Este controlador es compatiblecon las plataformas de 32 y 64 bits.

Patrón para Cortafuegos común

Al igual que el patrón de virus, el Patrón para Cortafuegos común ayuda a OfficeScan aidentificar firmas de virus, patrones exclusivos de bits y bytes que indican la presencia devirus de red.

Componente de Reputación WebEl componente de Reputación Web es el Motor de filtrado de URL.

Motor de filtrado de URL

El motor de filtrado de URL facilita la comunicación entre OfficeScan y el servicio defiltrado de URL de Trend Micro. El servicio de filtrado de URL es un sistema queclasifica las URL y proporciona información de clasificación a OfficeScan.

Componentes de supervisión de comportamientoLos componentes de supervisión del comportamiento se componen de los siguientespatrones, controladores y servicios:

• Patrón de detección de Monitorización del Comportamiento en la página 6-8


6-8

• Controlador de la supervisión de comportamiento en la página 6-8

• Servicio básico de la supervisión de comportamiento en la página 6-8

• Patrón de configuración de la supervisión de comportamiento en la página 6-8

• Digital Signature Pattern en la página 6-9

• Patrón de aplicación de políticas en la página 6-9

Patrón de detección de Monitorización del Comportamiento

Este patrón contiene las reglas para la detección de comportamientos sospechosos deamenaza.

Controlador de la supervisión de comportamiento

Este controlador en modo kernel supervisa los sucesos del sistema y los transmite alServicio básico de la supervisión de comportamiento para la aplicación de las políticas.

Servicio básico de la supervisión de comportamiento

Este servicio en modo de usuario cuenta con las siguientes funciones:

• Ofrece detección de rootkits

• Regula el acceso a los dispositivos externos

• Protege archivos, claves de registro y servicios

Patrón de configuración de la supervisión decomportamiento

El controlador de la supervisión de comportamiento utiliza este patrón para identificarlos sucesos normales del sistema y los excluye de la aplicación de las políticas.


6-9

Digital Signature Pattern

Este patrón contiene una lista de firmas digitales válidas que el Servicio básico desupervisión de comportamiento utiliza para determinar si el programa responsable delsuceso de un sistema es o no seguro.

Patrón de aplicación de políticas

El Servicio básico de supervisión de comportamiento comprueba los eventos del sistemafrente a las políticas de este patrón.

ProgramasOfficeScan utiliza las siguientes actualizaciones de programas y productos:

• Programa cliente de OfficeScan en la página 6-9

• Cisco Trust Agent en la página 6-9

• Archivos hotfix, parches y service packs en la página 6-9

Programa cliente de OfficeScan

El programa cliente de OfficeScan brinda protección frente a los riesgos de seguridad.

Cisco Trust Agent

Cisco Trust Agent permite la comunicación entre el cliente y los enrutadores queadmiten Cisco NAC. Este agente sólo funciona si instala Policy Server for Cisco NAC.

Archivos hotfix, parches y service packs

Tras la publicación oficial de un producto, Trend Micro suele desarrollar los siguienteselementos para solucionar algunos problemas, mejorar el rendimiento del producto oincluir nuevas características:

• Archivo hotfix en la página E-5


6-10

• Revisión en la página E-10

• Revisión de seguridad en la página E-11

• Service Pack en la página E-12

El distribuidor o proveedor de asistencia puede ponerse en contacto con el usuariocuando estos elementos están disponibles. Visite el sitio Web de Trend Micro paraobtener más información sobre las nuevas publicaciones de archivos Hotfix, revisiones yservice packs:

http://www.trendmicro.com/download/emea/?lng=es

Todas las publicaciones incluyen un archivo Léame que contiene información sobre lainstalación, implementación y configuración. Lea detenidamente el archivo Léame antesde efectuar la instalación.

Historial de archivos hotfix y parches

Cuando el servidor de OfficeScan implementa archivos hotfix y parches en los clientesde OfficeScan, el programa cliente registra la información relacionada con el archivohotfix o el parche en el Editor del registro. Puede consultar dicha información de variosclientes utilizando software logístico del tipo de Microsoft SMS, LANDesk™ oBigFix™.

NotaEsta función no registra los archivos hotfix y los parches que sólo se han implementado enel servidor.

Esta función está disponible desde OfficeScan 8.0 Service Pack 1 con el parche 3.1.

• Los clientes actualizados de la versión 8.0 Service Pack 1 con el parche 3.1 oposterior registran los archivos hotfix y los parches instalados de la versión 8.0 yposteriores.

• Los clientes actualizados de las versiones anteriores a la versión 8.0 Service Pack 1con el parche 3 registran los archivos hotfix y los parches instalados de la versión10.0 y posteriores.

La información se almacena en las siguientes claves:



6-11

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

• Para los equipos que ejecuten plataformas del tipo x64:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

Compruebe las siguientes claves:

• Clave: HotFix_installed

Tipo: REG_SZ

Valor: <Nombre del archivo hotfix o parche>

• Clave: HotfixInstalledNum

Tipo: DWORD

Valor: <Número del archivo hotfix o de la revisión>

Componente de servicio de alerta de contacto de C&CEl componente de servicio de alerta de contacto de C&C es la lista IP de C&C.

Lista IP de C&C

La lista IP de C&C funciona junto con el Motor de inspección de contenido de red(NCIE) para detectar conexiones de red con servidores de C&C conocidos. NCIEdetecta el contacto del servidor C&C a través de cualquier canal de red.

OfficeScan registra toda la información de conexión en los servidores de la lista IP deC&C para su evaluación.

Información general de actualizacionesTodas las actualizaciones de los componentes parten de Trend Micro ActiveUpdateServer. Cuando las actualizaciones están disponibles, el servidor de OfficeScan y las


6-12

fuentes de protección inteligente (el Smart Protection Server o la Red de ProtecciónInteligente) descargan los componentes actualizados. No hay coincidencias de descargade componentes entre las fuentes de protección inteligente y el servidor de OfficeScan,ya que cada uno de ellos descarga un conjunto de componentes específico.

NotaPuede configurar tanto el servidor de OfficeScan como el Smart Protection Server para quese actualicen a partir de una fuente que no sea Trend Micro ActiveUpdate Server. Para ello,tiene que configurar una fuente de actualización personalizada. Si necesita ayuda a la horade configurar esta fuente de actualización, póngase en contacto con el proveedor deasistencia.

Actualización del servidor de OfficeScan y el cliente deOfficeScan

El servidor de OfficeScan descarga la mayoría de los componentes que necesitan losclientes. El único componente que no descarga es el Smart Scan Pattern, que lodescargan las fuentes de protección inteligente.

Si un servidor de OfficeScan administra un número grande de clientes, es posible que laactualización utilice una cantidad considerable de recursos informáticos, lo que afectaríaa la estabilidad y al rendimiento del servidor. Para solucionar este problema, OfficeScantiene una función de agente de actualización que permite a determinados clientescompartir la tarea de distribuir las actualizaciones a los demás clientes.

En la siguiente tabla, se describen diferentes opciones de actualización de componentespara los clientes y el servidor de OfficeScan y recomendaciones acerca de su uso:


6-13

TABLA 6-2. Opciones de actualización de servidor-cliente

OPCIÓN DEACTUALIZACIÓN

DESCRIPCIÓN RECOMENDACIÓN

ActiveUpdateServer >

Servidor >Cliente

El servidor de OfficeScanrecibe los componentesactualizados de Trend MicroActiveUpdate Server (u otrafuente de actualización) einicia la actualización de loscomponentes en los clientes.

Utilice este método si no haysecciones con ancho de bandareducido entre el servidor deOfficeScan y los clientes.

ActiveUpdateServer >

Servidor >Agentes de

actualización >Cliente

El servidor de OfficeScanrecibe los componentesactualizados del servidorActiveUpdate (u otra fuentede actualización) e inicia laactualización de loscomponentes en los clientes.Los clientes que actúancomo agentes deactualización notifican a losclientes la actualización decomponentes.

Si no hay secciones de ancho debanda reducido entre el servidor deOfficeScan y los clientes, utiliceeste método para equilibrar lacarga de tráfico en la red.

ActiveUpdateserver > Agentesde actualización

> Cliente

Los agentes de actualizaciónreciben los componentesactualizados directamentedesde el servidorActiveUpdate (u otra fuentede actualización) y notifican alos clientes la actualizaciónde componentes.

Utilice este método solo si tieneproblemas al actualizar agentes deactualización desde el servidor deOfficeScan o desde otros agentesde actualización.

En circunstancias normales, losagentes de actualización recibenlas actualizaciones más rápidodesde el servidor de OfficeScan odesde otros agentes deactualización que desde una fuentede actualización externa.


6-14

OPCIÓN DEACTUALIZACIÓN

DESCRIPCIÓN RECOMENDACIÓN

ActiveUpdateServer > Cliente

Los clientes de OfficeScanreciben los componentesactualizados directamentedesde el servidorActiveUpdate (u otra fuentede actualización).

Utilice este método solo si tieneproblemas al actualizar los clientesdesde el servidor de OfficeScan odesde otros agentes deactualización.

En circunstancias normales, losclientes reciben las actualizacionesmás rápido desde el servidor deOfficeScan o desde agentes deactualización que desde una fuentede actualización externa.

Actualización de la fuente de protección inteligenteUna fuente de protección inteligente (el Smart Protection Server o la Red de ProtecciónInteligente) descarga Smart Scan Pattern. Los clientes de Smart scan no descargan estepatrón. Los clientes verifican las posibles amenazas del patrón enviando consultas deexploración a la fuente de protección inteligente.

Nota

Consulte Fuentes de Protección Inteligente en la página 4-6 para obtener más información sobrelas fuentes de protección inteligente.

En la siguiente tabla se describe el proceso de actualización de las fuentes de proteccióninteligente.


6-15

TABLA 6-3. Proceso de actualización de la fuente de protección inteligente

PROCESO DEACTUALIZACIÓN

DESCRIPCIÓN

ActiveUpdate server> Smart ProtectionNetwork

La red de Protección Inteligente de Trend Micro recibeactualizaciones de Trend Micro ActiveUpdate Server. Losclientes de smart scan que no están conectados a la red deempresa envían consultas a la Red de Protección Inteligentede Trend Micro.

ActiveUpdate Server> Smart ProtectionServer

Un Smart Protection Server (integrado o independiente) recibeactualizaciones de Trend Micro ActiveUpdate Server. Losclientes de protección inteligente que no están conectados a lared de empresa envían consultas al Smart Protection Server.

Smart ProtectionNetwork > SmartProtection Server

Un Smart Protection Server (integrado o independiente) recibeactualizaciones de la Red de Protección Inteligente de TrendMicro. Los clientes de protección inteligente que no estánconectados a la red de empresa envían consultas al SmartProtection Server.

Actualizaciones del servidor de OfficeScanEl servidor de OfficeScan descarga los siguientes componentes y los implementa en losclientes:

TABLA 6-4. Componentes descargados por el servidor de OfficeScan

COMPONENTE

DISTRIBUCIÓN

CLIENTES DEEXPLORACIÓN

CONVENCIONAL

CLIENTES DE SMARTSCAN

Antivirus

Smart Scan Agent Pattern No Sí

Patrón de virus Sí No

Patrón de IntelliTrap Sí Sí


6-16

COMPONENTE

DISTRIBUCIÓN


CONVENCIONAL


Patrón de excepciones de IntelliTrap Sí Sí

Motor de exploración antivirus (32bits)

Sí Sí


Sí Sí

Antispyware

Patrón de spyware Sí Sí

Patrón de supervisión antispywareactiva

Sí No

Motor de exploración antispyware (32bits)

Sí Sí


Sí Sí

Damage Cleanup Services

Plantilla de limpieza de virus Sí Sí

Motor de limpieza de virus (32 bits) Sí Sí


Cortafuegos

Patrón del cortafuegos habitual Sí Sí

Componentes de supervisión de comportamiento

Patrón de detección de la supervisiónde comportamiento (32 bits)

Sí Sí

Controlador de la supervisión decomportamiento (32 bits)

Sí Sí


6-17

COMPONENTE

DISTRIBUCIÓN


CONVENCIONAL


Servicio básico de la supervisión decomportamiento (32 bits)

Sí Sí


Sí Sí


Sí Sí


Sí Sí

Patrón de configuración de lasupervisión de comportamiento

Sí Sí

Patrón de aplicación de políticas Sí Sí

Digital Signature Pattern Sí Sí

Servicio de alerta de contacto de C&C

Lista IP de C&C Sí Sí

Recordatorios y consejos acerca de las actualizaciones:

• Para permitir que el servidor implemente los componentes actualizados en losclientes, active la actualización automática de clientes. Para conocer más detalles,consulte Actualizaciones automáticas del cliente de OfficeScan en la página 6-39. Si sedesactiva la actualización automática de clientes, el servidor descarga lasactualizaciones, pero no las implementa en los clientes.

• Un servidor de OfficeScan que solo utilice IPv6 no puede distribuir lasactualizaciones directamente a clientes que utilicen únicamente IPv4. Del mismomodo, un servidor de OfficeScan que solo utilice IPv4 no puede distribuir lasactualizaciones directamente a clientes que utilicen únicamente IPv6. Es necesarioun servidor proxy de doble pila que convierta direcciones IP, como DeleGate, parapermitir al servidor de OfficeScan que distribuya las actualizaciones a los clientes.


6-18

• Trend Micro publica archivos de patrones regularmente para mantener actualizadala protección de los clientes. Dada la frecuencia con la que se publicanactualizaciones de archivos de patrones, OfficeScan utiliza un mecanismodenominado duplicación de componentes que permite descargar archivos depatrones con mayor rapidez. Consulte el apartado Duplicación de componentes delservidor de OfficeScan en la página 6-21 para obtener más información.

• Si utiliza un servidor proxy para conectarse a Internet, utilice la configuración delproxy para descargar las actualizaciones correctamente.

• En el panel Resumen de la consola Web, agregue el componente Actualizacionesde cliente para ver las versiones actuales de los componentes y determinar elnúmero de clientes con componentes actualizados y obsoletos.

Fuentes de actualización del servidor de OfficeScanConfigure el servidor de OfficeScan para que descargue los componentes de TrendMicro ActiveUpdate Server o de otra fuente. Puede especificar otra fuente si el servidorde OfficeScan no consigue acceder directamente al servidor ActiveUpdate. Para ver unasituación de ejemplo, consulte Actualizaciones del servidor de OfficeScan aislado en la página6-24.

Después de descargar las actualizaciones disponibles, el servidor puede notificarautomáticamente a los clientes para que actualicen sus componentes en función de laconfiguración especificada en Actualizaciones > Equipos en red > Actualizaciónautomática. Si la actualización de componentes es crítica, configure que el servidornotifique a los clientes inmediatamente mediante Actualizaciones > Equipos en red >Actualización manual.

NotaSi no especifica un programa de implementación o una configuración de actualizaciónactivada por suceso en Actualizaciones > Equipos en red > Actualización automática,el servidor descargará las actualizaciones pero no notificará a los clientes la actualización.


6-19

Compatibilidad con IPv6 para las actualizaciones deservidores de OfficeScan

Un servidor de OfficeScan que solo utilice IPv6 no puede actualizarse directamentedesde fuentes de actualización que utilicen únicamente IPv4, como:

• Trend Micro ActiveUpdate Server

• Control Manager 5.5


Nota

La versión 5.5 SP1 de Control Manager es la primera compatible con IPv6.

• Una fuente de actualización personalizada que solo utilice IPv4.

Del mismo modo, un servidor de OfficeScan que solo utilice IPv4 no puede actualizarsedirectamente desde fuentes de actualización que utilicen IPv6.

Es necesario un servidor proxy de doble pila que convierta direcciones IP, comoDeleGate, para permitir al servidor que se conecte a las fuentes de actualización.

Proxy para las actualizaciones del servidor de OfficeScanConfigure los programas del servidor que se alojan en el equipo del servidor para queutilicen la configuración del proxy a la hora de descargar actualizaciones de Trend MicroActiveUpdate Server. Los programas del servidor incluyen el servidor de OfficeScan y elSmart Protection Server Integrado.

Configurar el proxy

Procedimiento

1. Vaya a Administración > Configuración del proxy.

2. Haga clic en la pestaña Proxy externo.


6-20

3. Vaya a la sección Actualizaciones del equipo del servidor de OfficeScan.

4. Seleccione Utilizar un servidor proxy para las actualizaciones de patrones,motores y licencias.

5. Especifique el protocolo de proxy, el nombre del servidor o la dirección IPv4/IPv6, y el número de puerto.

6. Si el servidor proxy necesita autenticación, escriba el nombre de usuario y lacontraseña.


Configurar la fuente de actualización del servidor

Procedimiento

1. Vaya a Actualizaciones > Servidor > Fuente de actualización.

2. Seleccione la ubicación desde donde desea descargar las actualizaciones de loscomponentes.

Si selecciona el servidor ActiveUpdate, asegúrese de que el servidor tiene conexióna Internet y, en el caso de utilizar un servidor proxy, compruebe si la conexión aInternet se puede establecer utilizando la configuración del proxy. Para conocermás detalles, consulte Proxy para las actualizaciones del servidor de OfficeScan en la página6-19.

Si selecciona una fuente de actualización personalizada, configure el entornocorrespondiente y actualice los recursos de esta fuente de actualización. Además,asegúrese de que existe conexión entre el equipo servidor y la fuente deactualización. Si necesita ayuda a la hora de configurar una fuente de actualización,póngase en contacto con el proveedor de asistencia.

NotaEl servidor de OfficeScan utiliza la duplicación de componentes cuando descargacomponentes de la fuente de actualización. Consulte Duplicación de componentes delservidor de OfficeScan en la página 6-21 para obtener más información.


6-21


Duplicación de componentes del servidor de OfficeScanCuando la última versión de un archivo de patrones completo está disponible para sudescarga desde el servidor ActiveUpdate de Trend Micro, también lo están 14 "patronesincrementales". Los patrones incrementales con versiones reducidas del archivo depatrones completo que representan la diferencia entre la última versión del archivo depatrones completo y la versión anterior. Por ejemplo, si la última versión es 175, elpatrón incremental v_173.175 contiene las firmas de la versión 175 que no seencuentran en la versión 173 (la versión 173 es la versión anterior del archivo depatrones completo, ya que los números de patrones se publican con incrementos de 2).El patrón incremental v_171.175 contiene las firmas de la versión 175 que no seencuentran en la versión 171.

Para reducir el tráfico de red generado al descargar el último patrón, OfficeScan ejecutauna duplicación de componentes, que es un método de actualización de componentesen el que el servidor de OfficeScan o el agente de actualización solo descarga patronesincrementales. Consulte Duplicación de los componentes del agente de actualización en la página6-65 para obtener información acerca de cómo realizan los agentes de actualización laduplicación de los componentes.

La duplicación de componentes se aplica a los componentes siguientes:

• Patrón de virus

• Smart Scan Agent Pattern

• Plantilla de limpieza de virus

• Patrón de Excepciones Intellitrap

• Motor Anti-Spyware

• Patrón de monitorización activa de Spyware


6-22

Escenario de duplicación de componentesPara entender mejor la duplicación de componentes del servidor, consulte el siguienteescenario:

TABLA 6-5. Situación de duplicación de componentes del servidor

Patronescompletos enel servidor deOfficeScan

Versión actual: 171

Otras versiones disponibles:

169 167 165 161 159

Últimaversión en elservidorActiveUpdate

173.175 171.175 169.175 167.175 165.175 163.175

161.175 159.175 157.175 155.175 153.175 151.175

149.175 147.175

1. El servidor de OfficeScan compara la versión actual de los patrones completos conla última versión que hay en el servidor ActiveUpdate. Si la diferencia entre ambasversiones es 14 o menos, el servidor solo descarga el patrón incremental querepresenta la diferencia entre ambas versiones.

NotaSi la diferencia es mayor que 14, el servidor descarga automáticamente la versióncompleta del archivo de patrones y 14 patrones incrementales.

Para ilustrarlo según los datos del ejemplo:

• La diferencia entre las versiones 171 y 175 es 2. Dicho de otro modo, elservidor no tiene las versiones 173 y 175.

• El servidor descarga el patrón incremental 171.175. El patrón incrementalrepresenta la diferencia entre las versiones 171 y 175.

2. El servidor combina el patrón incremental con su patrón completo actual parageneral el último patrón completo.


• En el servidor, OfficeScan combina la versión 171 con el patrón incremental171.175 para generar la versión 175.


6-23

• El servidor tiene 1 patrón incremental (171.175) y el último patrón completo(versión 175).

3. El servidor genera patrones incrementales a partir de los demás patrones completosdisponibles en el servidor. Si el servidor no genera estos patrones incrementales, losclientes que no pudieron descargar los patrones incrementales anteriores descarganautomáticamente el archivo de patrones completo, de modo que se genera mástráfico de red.


• Dado que el servidor tiene las versiones de patrones 169, 167, 165, 163, 161,159, puede generar los siguientes patrones incrementales:

169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• El servidor no necesita utilizar la versión 171 porque ya tiene el patrónincremental 171.175.

• El servidor tiene ahora 7 patrones incrementales:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Este servidor conserva las últimas 7 versiones de patrones completos(versiones 175, 171, 169, 167, 165, 163, 161). Elimina cualquier versiónanterior (versión 159).

4. El servidor compara sus patrones incrementales actuales con los patronesincrementales disponibles en el servidor ActiveUpdate. A continuación, descargalos patrones incrementales que no tiene.


• El servidor ActiveUpdate tiene 14 patrones incrementales:

173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• El servidor de OfficeScan tiene 7 patrones incrementales:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• El servidor de OfficeScan descarga 7 patrones incrementales adicionales:


6-24

173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• Ahora el servidor tiene todos los patrones incrementales disponibles en elservidor ActiveUpdate.

5. El último patrón completo y los 14 patrones incrementales están a disposición delos clientes.

Actualizaciones del servidor de OfficeScan aisladoSi el servidor de OfficeScan pertenece a una red completamente aislada de las fuentesexternas, puede mantener los componentes del servidor actualizados mediante unafuente interna que contenga los componentes más recientes.

En este tema se describen las tareas necesarias para actualizar un servidor de OfficeScanaislado.

Actualización de un servidor de OfficeScan aislado

Este procedimiento se incluye para que le sirva como referencia. Si no consigue llevar acabo todas las tareas de este procedimiento, consulte a su proveedor de asistencia paraque le indique los pasos detallados de cada tarea.

Procedimiento

1. Identifique la fuente de actualización, por ejemplo, Trend Micro Control Managero un equipo host cualquiera. La fuente de actualización debe tener:

• Una conexión a Internet fiable para poder descargar los componentes másrecientes de Trend Micro ActiveUpdate Server. Sin conexión a Internet, laúnica forma de que la fuente de actualización cuente con los componentesmás recientes es que usted mismo los obtenga de Trend Micro y, acontinuación, los copie en la fuente de actualización.

• Una conexión operativa con el servidor de OfficeScan. Defina los parámetrosdel proxy si existe un servidor proxy entre el servidor de OfficeScan y lafuente de actualización. Para conocer más detalles, consulte Proxy para lasactualizaciones del servidor de OfficeScan en la página 6-19.


6-25

• Espacio en disco suficiente para los componentes descargados.

2. Dirija el servidor de OfficeScan a la nueva fuente de actualización. Para conocermás detalles, consulte Fuentes de actualización del servidor de OfficeScan en la página 6-18.

3. Identifique los componentes que el servidor implementa en los clientes. Paraobtener una lista de los componentes implementables, consulte Actualizaciones delcliente de OfficeScan en la página 6-28.

Consejo

Una de las formas de determinar si un componente se está implementando en losclientes es ir a la pantalla Actualizar resumen de la consola Web (Actualizaciones> Resumen). En esta pantalla, la velocidad de actualización de un componente quese está implementando será siempre mayor que el 0%.

4. Determine la frecuencia de la descarga de componentes. Los archivos de patronesse actualizan con frecuencia (algunos de ellos a diario), por lo que es recomendableactualizarlos con regularidad. En el caso de motores y unidades, puede solicitar a suproveedor de asistencia que le notifique acerca de las actualizaciones másimportantes.

5. En la fuente de actualización:

a. Conecte con el servidor ActiveUpdate. La URL del servidor depende de laversión de OfficeScan.

b. Descargue los elementos siguientes:

• El archivo server.ini. Este archivo contiene información acerca delos componentes más recientes.

• Los componentes que ha identificado en el paso 3.

c. Guarde los elementos descargados en un directorio de la fuente deactualización.

6. Realice una actualización manual del servidor de OfficeScan. Para conocer másdetalles, consulte Actualización manual del servidor de OfficeScan en la página 6-26.

7. Repita del paso 5 al paso 6 cada vez que necesite actualizar componentes.


6-26

Métodos de actualización del servidor de OfficeScanActualice los componentes del servidor de OfficeScan de forma manual o configure unprograma de actualización.

Para permitir que el servidor implemente los componentes actualizados en los clientes,active la actualización automática de clientes. Para conocer más detalles, consulteActualizaciones automáticas del cliente de OfficeScan en la página 6-39. Si se desactiva laactualización automática de clientes, el servidor descarga las actualizaciones, pero no lasimplementa en los clientes.

Los métodos de actualización son:

• Actualización manual del servidor: Cuando una actualización es fundamental,realice una actualización manual para que se puedan incorporar al servidor lasactualizaciones inmediatamente. Consulte Actualización manual del servidor deOfficeScan en la página 6-26 para obtener más información.

• Actualización programada del servidor: El servidor de OfficeScan se conecta ala fuente de actualización el día y la hora programados para hacerse con loscomponentes más recientes. Consulte Programación de actualizaciones para el servidor deOfficeScan en la página 6-27 para obtener más información.

Actualización manual del servidor de OfficeScan

Actualice manualmente los componentes del servidor de OfficeScan después de instalaro actualizar el servidor y siempre que haya una epidemia.

Procedimiento

1. Inicie una actualización manual mediante los siguientes pasos:

• Vaya a Actualizaciones > Servidor > Actualización manual.

• Haga clic en Actualizar servidor ahora en el menú principal de la consolaWeb.

2. Seleccione los componentes que desee actualizar.

3. Haga clic en Actualizar.


6-27

El servidor descargará los componentes actualizados.

Programación de actualizaciones para el servidor deOfficeScan

Configure el servidor de OfficeScan para que compruebe de forma regular su fuente deactualización y descargue automáticamente las actualizaciones disponibles. Puesto quelos clientes suelen obtener las actualizaciones del servidor, utilizar la actualizaciónprogramada es la forma más fácil y eficaz de garantizar que la protección frente a riesgosde seguridad está siempre actualizada.

Procedimiento

1. Vaya a Actualizaciones > Servidor > Actualización programada.

2. Seleccione Activar la actualización programada del servidor de OfficeScan.

3. Seleccione los componentes que desee actualizar.

4. Especifique el programa de actualización.

Para las actualizaciones diarias, semanales y mensuales, el periodo de tiempo es elnúmero de horas durante las que OfficeScan realizará la actualización. OfficeScanse actualizará en cualquier momento durante este periodo.


Registros de actualización del servidor de OfficeScanCompruebe los registros de actualización del servidor para determinar si hay algúnproblema a la hora de actualizar determinados componentes. En los registros se incluyenlas actualizaciones de los componentes del servidor de OfficeScan.

A fin de que el tamaño de los registros no ocupen demasiado espacio en el disco duro,elimínelos manualmente o configure un programa de eliminación de registros. Paraobtener más información acerca de la administración de registros, consulte Administraciónde registros en la página 13-38.


6-28

Visualización de los registros de actualización

Procedimiento

1. Vaya a Registros > Registros de actualización del servidor.

2. Compruebe la columna Resultado para ver si hay componentes que no se hanactualizado.

3. Para guardar los registros como un archivo de valores separados por comas (CSV),haga clic en Exportar a CSV. Abra el archivo o guárdelo en una ubicaciónespecífica.

Actualizaciones del Smart Protection ServerIntegrado

El Smart Protection Server integrado descarga dos componentes: el Smart Scan Patterny la Lista de bloqueo Web. Para obtener información detallada acerca de estoscomponentes y cómo actualizarlos, consulte Administración del Smart Protection ServerIntegrado en la página 4-21.

Actualizaciones del cliente de OfficeScanPara garantizar la protección de los clientes frente a los últimos riesgos de seguridad,actualice los componentes del cliente de forma regular.

Antes de actualizar los clientes, compruebe si la fuente de actualización (el servidor deOfficeScan o una fuente de actualización personalizada) tiene los componentes másrecientes. Para obtener información sobre cómo actualizar el servidor de OfficeScan,consulte Actualizaciones del servidor de OfficeScan en la página 6-15.

En la siguiente tabla se recogen todos los componentes que implementan las fuentes deactualización en los clientes y los componentes que se utilizan en un método deexploración concreto.


6-29

TABLA 6-6. Componentes de OfficeScan implementados para los clientes

COMPONENTE

DISTRIBUCIÓN


CONVENCIONAL


Antivirus

Smart Scan Agent Pattern No Sí

Patrón de virus Sí No

Patrón de IntelliTrap Sí Sí

Patrón de excepciones de IntelliTrap Sí Sí


Sí Sí


Sí Sí

Antispyware

Patrón de spyware Sí Sí

Patrón de supervisión antispywareactiva

Sí No


Sí Sí


Sí Sí


Plantilla de limpieza de virus Sí Sí



Cortafuegos


6-30

COMPONENTE

DISTRIBUCIÓN


CONVENCIONAL


Patrón del cortafuegos habitual Sí Sí

Componentes de supervisión de comportamiento


Sí Sí


Sí Sí


Sí Sí


Sí Sí


Sí Sí


Sí Sí

Patrón de configuración de lasupervisión de comportamiento

Sí Sí

Patrón de aplicación de políticas Sí Sí

Patrón de firmas digitales Sí Sí

Servicio de alerta de contacto de C&C

Lista IP de C&C Sí Sí

Fuentes de actualización de los clientes de OfficeScanLos clientes pueden obtener actualizaciones de la fuente de actualización estándar (elservidor de OfficeScan) o componentes específicos de fuentes de actualizaciónpersonalizadas, como Trend Micro ActiveUpdate Server. Para conocer más detalles,


6-31

consulte Fuente de actualización estándar para los clientes de OfficeScan en la página 6-31 yFuentes de actualización personalizadas para los clientes de OfficeScan en la página 6-33.

Compatibilidad con IPv6 para las actualizaciones de clientesde OfficeScan

Un cliente que solo utilice IPv6 no puede actualizarse directamente desde fuentes deactualización que utilicen únicamente IPv4, como:

• Un servidor de OfficeScan que solo utilice IPv4

• Un agente de actualización que solo utilice IPv4



De modo similar, un cliente que solo utilice IPv4 no puede actualizarse directamentedesde fuentes de actualización que utilicen únicamente IPv6, como un servidor o unagente de actualización de OfficeScan de solo IPv6.

Es necesario un servidor proxy de doble pila que convierta direcciones IP, comoDeleGate, para permitir al cliente que se conecte a las fuentes de actualización.

Fuente de actualización estándar para los clientes deOfficeScan

El servidor de OfficeScan es la fuente de actualización estándar para los clientes.

Si no se puede acceder al servidor de OfficeScan, los clientes no tendrán una fuente deseguridad y, por tanto, quedarán obsoletos. Para actualizar los clientes que no puedenacceder al servidor de OfficeScan, Trend Micro recomienda usar Client Packager. Utiliceesta herramienta para crear un paquete con los componentes más recientes disponiblesen el servidor y, a continuación, ejecute dicho paquete en los clientes.


6-32

NotaLa dirección IP del cliente (IPv4 o IPv6) determina si se puede establecer la conexión conel servidor de OfficeScan. Para obtener información detallada acerca de la compatibilidadde IPv6 con las actualizaciones de clientes, consulte Compatibilidad con IPv6 para lasactualizaciones de clientes de OfficeScan en la página 6-31.

Configuración de la fuente de actualización estándar para losclientes de OfficeScan

Procedimiento

1. Vaya a Actualizaciones > Equipos en red > Fuente de actualización.

2. Seleccione Fuente de actualización estándar (actualizar desde el servidor deOfficeScan).


Proceso de actualización de los clientes de OfficeScan

NotaEste tema trata el proceso de actualización de los clientes de OfficeScan. Los procesos deactualización de los agentes de actualización se tratan en Fuente de actualización estándar paralos clientes de OfficeScan en la página 6-31.

Si configura los clientes de OfficeScan para actualizarse directamente desde el servidorde OfficeScan, el proceso de actualización se realiza de la forma siguiente:

1. El cliente de OfficeScan obtiene actualizaciones del servidor de OfficeScan.

2. Si no se puede realizar la actualización desde el servidor de OfficeScan, el cliente deOfficeScan intenta conectarse directamente con Trend Micro ActiveUpdate Serversi la opción Los clientes descargan actualizaciones desde Trend MicroActiveUpdate Server está desactivada en Equipos en red > Administración declientes, haga clic en Configuración > Derechos y otras configuraciones >Otras configuraciones (pestaña) > Configuración de actualización.


6-33

NotaSolo los componentes se pueden actualizar desde el servidor ActiveUpdate. Laconfiguración de dominios, los programas y los archivos hotfix solo se puedendescargar del servidor de OfficeScan o los agentes de actualización. Puede acelerar elproceso de actualización configurando clientes de OfficeScan para que solodescarguen archivos de patrones del servidor ActiveUpdate. Para obtener másinformación, consulte ActiveUpdate Server como fuente de actualización del cliente de OfficeScanen la página 6-37.

Fuentes de actualización personalizadas para los clientesde OfficeScan

Además del servidor de OfficeScan, los clientes de OfficeScan cuentan con fuentes deactualización personalizadas para actualizarse. Las fuentes de actualizaciónpersonalizadas ayudan a reducir el tráfico de actualización de los clientes de OfficeScanque se envía al servidor de OfficeScan y les permite a los clientes de OfficeScan que nose pueden conectar al servidor de OfficeScan actualizarse convenientemente.Especifique las fuentes de actualización personalizadas en la Lista de fuentes deactualización personalizadas, en la que se pueden incluir un máximo de 1024 fuentes deactualización.

ConsejoTrend Micro recomienda que se asignen algunos clientes de OfficeScan como Agentes deactualización y que se les incluya en la lista.

Fuentes de actualización personalizadas para los clientes deOfficeScan

Procedimiento


2. Seleccione Fuente de actualización personalizada y haga clic en Añadir.

3. En la pantalla que aparece, especifique las direcciones IP de los clientes. Puedeescribir un intervalo de direcciones IPv4, y un prefijo y una longitud de IPv6.


6-34

4. Especifique la fuente de actualización. Puede seleccionar un Agente deactualización si ha asignado alguno o escribir la URL de una fuente determinada.

Nota

Asegúrese de que los clientes de OfficeScan se pueden conectar a la fuente deactualización mediante sus direcciones IP. Por ejemplo, si ha especificado unintervalo de direcciones IPv4, la fuente de actualización debe tener una direcciónIPv4. Si ha especificado un prefijo y una longitud de IPv6, la fuente de actualizacióndebe tener una dirección IPv6. Para obtener información detallada acerca de lacompatibilidad de IPv6 con las actualizaciones de clientes, consulte Fuentes deactualización de los clientes de OfficeScan en la página 6-30.



a. Seleccione una de las siguientes configuraciones. Para obtener informacióndetallada acerca del modo de funcionamiento de estas configuraciones,consulte Proceso de actualización de los clientes de OfficeScan en la página 6-32.

• Los agentes actualizan los componentes, la configuración deldominio, los programas cliente y los archivos hotfix solo desde elservidor de OfficeScan

• Actualizar los componentes desde el servidor de OfficeScan si lasfuentes personalizadas no se encuentran o no están disponibles

• Actualizar la configuración del dominio desde el servidor deOfficeScan si las fuentes personalizadas no se encuentran o noestán disponibles

• Actualizar los programas y los hot fixes desde el servidor deOfficeScan si las fuentes personalizadas no se encuentran o noestán disponibles

b. Si ha especificado al menos un agente de actualización como fuente, haga clicen Actualizar el Informe analítico del agente para generar un informe queresalte el estado de actualización de los clientes. Si desea obtener informacióndetallada acerca del informe, consulte Informe analítico del agente de actualización enla página 6-66.


6-35

c. Puede editar una fuente de actualización haciendo clic en el enlace delintervalo de direcciones IP. Modifique la configuración en la pantalla queaparece y haga clic en Guardar.

d. Para eliminar una fuente de actualización de la lista, active la casilla deverificación y haga clic en Eliminar.

e. Para mover una fuente de actualización, haga clic en la flecha hacia arriba/abajo. Las fuentes solo se pueden mover de una en una.


Proceso de actualización de los clientes de OfficeScan

NotaEste tema trata el proceso de actualización de los clientes de OfficeScan. Los procesos deactualización de los agentes de actualización se tratan en Fuentes de actualización personalizadaspara los agentes de actualización en la página 6-62.

Una vez que haya establecido y guardado la lista de fuentes de actualizaciónpersonalizada, el proceso de actualización se realizará de la siguiente manera:

1. Un cliente de OfficeScan se actualiza a partir de la primera fuente de la lista.

2. Si no se puede realizar la actualización desde la primera fuente de la lista, el clientede OfficeScan pasa a la segunda y así sucesivamente.

3. Si no se puede actualizar desde ninguna fuente, el cliente de OfficeScan compruebala siguiente configuración de la pantalla Fuente de actualización:


6-36

TABLA 6-7. Configuración adicional para las fuentes de actualizaciónpersonalizadas


Los agentes actualizanlos componentes, laconfiguración deldominio, los programascliente y los archivoshotfix solo desde elservidor de OfficeScan

Si esta configuración está activada, los agentes deactualización se actualizan directamente desde elservidor de OfficeScan y omiten la Lista de fuentes deactualización personalizadas.

Si está desactivada, los agentes de actualización aplicanla configuración de la fuente de actualizaciónpersonalizada configurada para clientes normales.

Los clientes actualizanlos siguienteselementos desde elservidor de OfficeScansi las fuentespersonalizadas no seencuentran o no estándisponibles:Componentes

Si se activa esta opción, el cliente actualiza loscomponentes desde el servidor de OfficeScan.

Si no está activada, el cliente trata de conectarsedirectamente a Trend Micro ActiveUpdate Server en elcaso de darse cualquiera de estas circunstancias:

• En Equipos en red > Administración de clientes,haga clic en Configuración > Derechos y otrasconfiguraciones > Otras configuraciones(pestaña) > Configuración de actualización, laopción Los clientes descargan actualizacionesdesde Trend Micro ActiveUpdate Server estáactivada.

• El servidor ActiveUpdate Server no está incluido enla lista de fuentes de actualización personalizadas.

NotaSolo los componentes se pueden actualizar desdeel servidor ActiveUpdate. La configuración dedominios, los programas y los archivos hotfix solose pueden descargar del servidor de OfficeScan olos agentes de actualización. Puede acelerar elproceso de actualización configurando clientespara que solo descarguen archivos de patronesdel servidor ActiveUpdate. Para obtener másinformación, consulte ActiveUpdate Server comofuente de actualización del cliente de OfficeScanen la página 6-37.


6-37


Los clientes actualizanlos siguienteselementos desde elservidor de OfficeScansi las fuentespersonalizadas no seencuentran o no estándisponibles:Configuración deldominio

Si se activa esta opción, el cliente actualiza laconfiguración del nivel del dominio desde el servidor deOfficeScan.

Los clientes actualizanlos siguienteselementos desde elservidor de OfficeScansi las fuentespersonalizadas no seencuentran o no estándisponibles: Programascliente y archivos hotfix

Si se activa esta opción, el cliente actualiza losprogramas y archivos Hotfix desde el servidor deOfficeScan.

4. Si no se puede realizar la actualización desde ninguna de las fuentes posibles, elcliente abandona el proceso de actualización.

ActiveUpdate Server como fuente de actualización delcliente de OfficeScan

Si los clientes de OfficeScan descargan las actualizaciones directamente desde TrendMicro ActiveUpdate Server, puede limitar la descarga solo a los archivos de patronespara reducir el ancho de banda que se consume durante las actualizaciones y acelerar elproceso de actualización.

Los motores de exploración y otros componentes no se actualizan con tanta frecuenciacomo los archivos de patrones, lo que constituye una razón más para limitar la descargaúnicamente a los patrones.

Un cliente que solo utilice IPv6 no puede actualizarse directamente desde Trend MicroActiveUpdate Server. Es necesario un servidor proxy de doble pila que convierta


6-38

direcciones IP, como DeleGate, para permitir a los clientes de OfficeScan que seconecten al servidor ActiveUpdate.

Limitación de las descargas del ActiveUpdate Server

Procedimiento


2. Vaya a la sección Actualizaciones.

3. Seleccione Descargar solo los archivos de patrones del servidor ActiveUpdateal llevar a cabo las actualizaciones.

Métodos de actualización del cliente de OfficeScan

Los clientes de OfficeScan que actualizan componentes a partir del servidor deOfficeScan o una fuente de actualización personalizada pueden utilizar los siguientesmétodos de actualización:

• Actualizaciones automáticas de los clientes: La actualización del cliente seejecuta automáticamente cuando se dan determinados sucesos o según unprograma. Para conocer más detalles, consulte Actualizaciones automáticas del cliente deOfficeScan en la página 6-39.

• Actualizaciones manuales de los clientes: Si se trata de una actualizaciónfundamental, utilice la actualización manual para notificar de forma inmediata a losclientes que deben realizar la actualización del componente. Para conocer másdetalles, consulte Actualizaciones manuales del cliente de OfficeScan en la página 6-46.

• Actualizaciones según derechos: Los usuarios con derechos de actualizacióntienen mayor control sobre la forma en que se actualiza el cliente de OfficeScan desus equipos. Para conocer más detalles, consulte Derechos de actualización y otrasconfiguraciones de los clientes de OfficeScan en la página 6-48.


6-39

Actualizaciones automáticas del cliente de OfficeScan

La opción Actualización automática le evita tener que notificar a todos los clientes quedeben actualizarse y elimina el riesgo de que los componentes de los equipos cliente noestén actualizados.

Además de estos componentes, durante la actualización manual, los clientes deOfficeScan también reciben los archivos de configuración actualizados durante laactualización automática. Los clientes necesitan los archivos de configuración paraaplicar la nueva configuración. Cada vez que se modifica la configuración de OfficeScandesde la consola Web también se modifican los archivos de configuración. Paradeterminar la frecuencia con la que se aplican los archivos de configuración a losclientes, consulte el paso 3 Actualización automática de los componentes del cliente de OfficeScanen la página 6-41.

NotaPuede configurar los clientes para que utilicen la configuración del proxy durante laactualización automática. Consulte Proxy para las actualizaciones de componentes del cliente deOfficeScan en la página 6-51 para obtener más información.

Existen dos tipos de actualizaciones automáticas:

• Actualizaciones activadas por suceso en la página 6-39

• Actualizaciones según programa en la página 6-41

Actualizaciones activadas por suceso

Después de descargar los componentes más recientes, el servidor puede enviarnotificaciones a los clientes en línea (así como a los clientes desconectados en elmomento en que reinician y se conectan al servidor) para que actualicen suscomponentes. Opcionalmente, es posible iniciar la función Explorar ahora (exploraciónmanual) en los equipos cliente de OfficeScan después de la actualización.


6-40

TABLA 6-8. Opciones de actualización activada por suceso

OPCIÓN DESCRIPCIÓN

Iniciar la actualizaciónde los componentes enlos clientesinmediatamentedespués de que elservidor de OfficeScandescargue uncomponente nuevo

El servidor notifica a los clientes que deben actualizarse en elmomento en el que éste completa una actualización. Losclientes que se actualizan con frecuencia sólo tienen quedescargar patrones incrementales, lo que reduce el tiempoque lleva la actualización (consulte Duplicación decomponentes del servidor de OfficeScan en la página 6-21para obtener más detalles acerca de los patronesincrementales). No obstante, las actualizaciones frecuentespueden afectar negativamente al rendimiento del servidor,especialmente si tiene un gran número de clientes que seestán actualizando al mismo tiempo.

Si tiene clientes que están en modo de itinerancia (roaming) yquiere que estos clientes también se actualicen, seleccioneIncluir cliente(s) en modo de itinerancia y en mododesconectado. Consulte Derecho de itinerancia del cliente deOfficeScan en la página 14-20 para obtener más informaciónacerca del modo de itinerancia.

Permitir que los clientesinicien la actualizaciónde los componentescuando se reinicien yse conecten al servidorde OfficeScan (exceptolos clientes en modo deitinerancia)

Un cliente que haya perdido una actualización descarga loscomponentes inmediatamente después de establecer laconexión con el servidor. Los clientes pueden perderactualizaciones si están desconectados o si el equipo en elque están instalados no se está ejecutando.

Ejecutar la funciónExplorar ahora despuésde la actualización(excepto los clientes enmodo de itinerancia)

El servidor notifica a los clientes que deben realizar unaexploración después de una actualización activada porsuceso. Considere habilitar esta opción si como respuesta aun riesgo de seguridad que se ha extendido por la red se haejecutado una actualización en concreto.


6-41

NotaSi el servidor de OfficeScan no puede enviar correctamente una notificación deactualización a los clientes después de descargar los componentes, la volverá a enviar deforma automática al cabo de 15 minutos. El servidor seguirá enviando las notificaciones deactualización un máximo de cinco veces hasta que el cliente responda. Si al quinto intentono obtiene respuesta, el servidor dejará de enviar notificaciones. Si selecciona la opciónpara actualizar componentes cuando los clientes se reinicien y conecten con el servidor,continuará la actualización de componentes.

Actualizaciones según programa

Ejecutar actualizaciones programadas es un derecho. Primero, tiene que seleccionar losclientes de OfficeScan que tendrán el derecho para poder ejecutar actualizaciones enbase a un programa.

NotaPara utilizar la actualización según programa con Traducción de direcciones de red,consulte Actualizaciones programadas de los clientes de OfficeScan con NAT en la página 6-43.

Actualización automática de los componentes del cliente deOfficeScan

Procedimiento

1. Vaya a Actualizaciones > Equipos en red > Actualización automática.

2. Seleccione los sucesos que activarán la actualización de componentes.

• Iniciar la actualización de los componentes en los clientesinmediatamente después de que el servidor de OfficeScan descargue uncomponente nuevo

• Permitir que los clientes inicien la actualización de los componentescuando se reinicien y se conecten al servidor de OfficeScan (excepto losclientes en modo de itinerancia)

• Ejecutar la función Explorar ahora después de la actualización (exceptolos clientes en modo de itinerancia)


6-42

3. Seleccione la frecuencia con la que los clientes con derechos de actualizaciónprogramada deberán llevar a cabo la actualización.

• Si ha concedido a los clientes el derecho de la actualización programada,continúe con el paso siguiente.

• Si no ha concedido el derecho de actualización programada a los clientes,realice primero estos pasos:

a. Vaya a Equipos en red > Administración de clientes.

b. En el árbol de clientes, seleccione los clientes que desee que posean elderecho.

c. Haga clic en Configuración > Derechos y otras configuraciones.

• Opción 1: En la pestaña Derechos, vaya a la sección Derechos deactualización de componentes. Aquí verá la opción Activar laactualización programada.

• Opción 2: En la pestaña Otras configuraciones, vaya a la secciónConfiguración de actualización. Aquí verá otra opción para Activar laactualización programada.

NotaSi quiere que los usuarios de clientes puedan activar o desactivar la actualizaciónprogramada en la consola del cliente de OfficeScan, active las opciones 1 y 2.Después de guardar los cambios de configuración, las actualizaciones seejecutarán en el equipo cliente según la programación. Las actualizacionesprogramadas sólo dejarán de ejecutarse si el usuario cliente hace clic con elbotón derecho del ratón en el icono del cliente de OfficeScan de la bandeja delsistema y selecciona Desactivar actualización programada.

Si quiere que siempre se ejecute la actualización programada y no desea que losusuarios de clientes puedan desactivarla, desactive la opción 1 y active la opción2.

d. Guarde la configuración.

4. Configure el programa.

a. Si selecciona Minuto(s) o Hora(s), tendrá la posibilidad de actualizar lasconfiguraciones de clientes solo una vez al día. Si no selecciona esta


6-43

opción, el cliente de OfficeScan recibirá los componentes de actualización ylos archivos de configuración actualizados que estén disponibles en el servidoren el intervalo especificado. Si activa la opción, OfficeScan actualizaráúnicamente los componentes en el rango especificado mientras que losarchivos de configuración se actualizarán una vez cada día.

Consejo

Trend Micro actualiza regularmente los componentes; no obstante, es probableque la configuración de OfficeScan se modifique con menor frecuencia. Laactualización de los archivos de configuración con los componentes consumemás ancho de banda y aumenta el tiempo que necesita OfficeScan paracompletar la actualización. Por este motivo, Trend Micro le recomienda queactualice las configuraciones de clientes de OfficeScan solo una vez al día.

b. Si selecciona Diaria o Semanal, especifique la hora de la actualización y elperíodo de tiempo durante el cual el servidor de OfficeScan enviaránotificaciones a los clientes para que actualicen los componentes. Porejemplo, si la hora de inicio es las 12 p.m. y el período de tiempo es de 2horas, OfficeScan notifica aleatoriamente a los clientes en línea para queactualicen los componentes desde las 12 p.m. hasta la 2 p.m. Gracias a estaconfiguración, los clientes no tendrán que conectarse simultáneamente alservidor a la hora de inicio especificada y se reduce, por tanto, la cantidad detráfico dirigida al servidor.


Los clientes desconectados no recibirán ninguna notificación. Los clientesdesconectados que se conecten una vez transcurrido el período de tiempo puedenactualizar los componentes si tienen seleccionada la opción Permitir que los clientesinicien la actualización de los componentes cuando se reinicien en Actualizaciónactivada por suceso. Si no, actualizarán los componentes según el siguiente programa osi ejecuta una actualización manual.

Actualizaciones programadas de los clientes de OfficeScan conNAT

Si la red local utiliza NAT, pueden surgir los siguientes problemas:


6-44

• Los clientes de OfficeScan aparecen desconectados en la consola Web.

• El servidor de OfficeScan no puede notificar correctamente a los clientes lasactualizaciones y los cambios de configuración.

Solucione estos problemas implementando los componentes y archivos deconfiguración actualizados del servidor en el cliente de OfficeScan mediante unaactualización programada tal como se describe a continuación.

Procedimiento

• Antes de instalar el cliente de OfficeScan en los equipos cliente:

a. Configure el programa de actualizaciones del cliente en la secciónActualización según programa de Actualizaciones > Equipos en red >Actualización automática.

b. Conceda a los clientes el derecho de activar una actualización programada enEquipos en red > Administración de clientes, haga clic en Configuración> Derechos y otras configuraciones > Derechos (pestaña) > Derechosde actualización de componentes.

• Si los clientes de OfficeScan ya existen en los equipos cliente:

a. Conceda a los clientes el derecho de ejecutar la opción "Actualizar ahora" enEquipos en red > Administración de clientes, haga clic en Configuración> Derechos y otras configuraciones > Derechos (pestaña) > Derechosde actualización de componentes.

b. Indique a los usuarios que actualicen manualmente los componentes en elequipo cliente (haciendo clic con el botón derecho del ratón en el icono delcliente de OfficeScan en la bandeja del sistema y haciendo clic en "Actualizarahora") para obtener la configuración actualizada.

Cuando los clientes de OfficeScan realicen una actualización, se actualizarán tanto loscomponentes como los archivos de configuración.


6-45

Uso de la herramienta de actualización programada dedominios

El programa de actualizaciones configurado en las actualizaciones de cliente automáticassolo se aplica a los clientes con derechos de actualización programada. En el caso deotros clientes, puede establecer un programa de actualización independiente. Para ello,habrá de configurar un programa por dominios de árbol de clientes. Todos los clientesque pertenezcan a este dominio aplicarán el programa.

NotaNo se puede establecer un programa de actualización para un cliente o subdominioespecífico. Todos los subdominios aplican el programa configurado para su dominioprincipal.

Procedimiento

1. Registre los nombres del dominio de árbol de clientes y actualice los programas.

2. Vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\DomainScheduledUpdate.

3. Copie los siguientes archivos en la <Carpeta de instalación delservidor>\PCCSRV:

• DomainSetting.ini

• dsu_convert.exe

4. Abra DomainSetting.ini con un editor de texto como el Bloc de notas.

5. Especifique un dominio de árbol de clientes y configure el programa deactualización para el dominio. Repita este paso para añadir más dominios.

NotaEn el archivo .ini se incluyen instrucciones de configuración detalladas.

6. Guarde DomainSetting.ini.

7. Abra una línea de comandos y cambie al directorio de la carpeta PCCSRV.


6-46

8. Escriba el siguiente comando y pulse Intro.

dsuconvert.exe DomainSetting.ini

9. En la consola Web, vaya a Equipos en red > Configuración general del cliente.


Actualizaciones manuales del cliente de OfficeScanActualice los componentes del cliente de OfficeScan manualmente cuando loscomponentes del cliente de OfficeScan estén obsoletos y siempre que haya unaepidemia. Los componentes del cliente de OfficeScan pasan a estar obsoletos cuando elcliente de OfficeScan no puede actualizar los componentes desde la fuente deactualización durante un periodo largo de tiempo.

Además de estos componentes, los clientes de OfficeScan también recibenautomáticamente los archivos de configuración actualizados durante la actualizaciónmanual. Los clientes de OfficeScan necesitan los archivos de configuración para aplicarla nueva configuración. Cada vez que se modifica la configuración de OfficeScan desdela consola Web también se modifican los archivos de configuración.

NotaAdemás de iniciar actualizaciones manuales, puede conceder a los usuarios derechos paraejecutar actualizaciones manuales (también denominado "Actualizar ahora" en los equiposcliente de OfficeScan). Para conocer más detalles, consulte Derechos de actualización y otrasconfiguraciones de los clientes de OfficeScan en la página 6-48.

Actualización manual de clientes de OfficeScan

Procedimiento

1. Vaya a Actualizaciones > Equipos en red > Actualización manual.

2. En la parte superior de la pantalla aparecen los componentes que están disponiblesactualmente en el servidor de OfficeScan y la fecha en la que se actualizaron porúltima vez. Asegúrese de que los componentes están actualizados antes de enviarlas notificaciones a los clientes para que realicen la actualización.


6-47

NotaActualice manualmente los componentes obsoletos del servidor. Consulte el apartadoActualizaciones manuales del cliente de OfficeScan en la página 6-46 para obtener informacióndetallada.

3. Para actualizar solo clientes con componentes desactualizados:

a. Haga clic en Seleccionar los clientes con componentes obsoletos.

b. (Opcional) Seleccione Incluir cliente(s) en modo de itinerancia y sinconexión:

• Para actualizar clientes en itinerancia con conexión operativa al servidor.

• Para actualizar los clientes desconectados cuando se conectan.

c. Haga clic en Iniciar actualización.

NotaEl servidor busca clientes cuyos componentes sean de versiones anteriores a lasversiones que hay en el servidor y, a continuación, notifica a estos clientes que debenactualizarse. Para comprobar el estado de la notificación, vaya a la pantallaActualizaciones > Resumen.

4. Para actualizar los clientes de su elección:

a. Seleccione Seleccionar clientes manualmente.

b. Haga clic en Seleccionar.

c. En el árbol de clientes, haga clic en el icono de dominio raíz ( ) para incluirtodos los clientes o seleccione dominios o clientes específicos.

d. Haga clic en Iniciar actualización de los componentes.


6-48

Nota

El servidor empezará a notificar a cada cliente que debe descargarse loscomponentes actualizados. Para comprobar el estado de la notificación, vaya ala pantalla Actualizaciones > Resumen.

Derechos de actualización y otras configuraciones de losclientes de OfficeScan

Conceda a los usuarios de clientes determinados derechos, como realizar actualizacionesmanuales y activar actualizaciones programadas.

Ejecutar "Actualizar ahora"

Los usuarios con este derecho pueden actualizar componentes a petición. Para ello,tienen que hacer clic con el botón derecho en el icono del cliente de OfficeScan de labandeja del sistema y seleccionar la opción Actualizar ahora. Puede permitir a losusuarios de clientes usar la configuración del proxy durante el proceso "Actualizarahora". Consulte Derechos de configuración del proxy para clientes en la página 14-54 paraobtener más información.

¡ADVERTENCIA!

Una configuración del proxy definida por el usuario de forma incorrecta puede acarrearproblemas de actualización. Proceda con cautela cuando permita que los usuarios definansu propia configuración del proxy.

Activar actualización programada

Este derecho permite a los clientes activar y desactivar la actualización programada. Losusuarios con este derecho pueden activar y desactivar la actualización programada, perono pueden configurar el programa real. Debe especificar el programa en la secciónActualización según programa de Actualizaciones > Equipos en red >Actualización automática.


6-49

Los clientes descargan actualizaciones desde el servidor TrendMicro ActiveUpdate Server

Cuando se inician las actualizaciones, los clientes de OfficeScan obtienen primero lasactualizaciones de la fuente de actualización especificada en la pantalla Actualizaciones> Equipos en red > Fuente de actualización. Si la actualización no se realizacorrectamente, los clientes intentan actualizar desde el servidor de OfficeScan. Si seselecciona esta opción, los clientes pueden intentar actualizar desde el servidor TrendMicro ActiveUpdate Server si la actualización desde el servidor de OfficeScan no serealiza correctamente.

Un cliente que solo utilice IPv6 no puede actualizarse directamente desde Trend MicroActiveUpdate Server. Es necesario un servidor proxy de doble pila que conviertadirecciones IP, como DeleGate, para permitir al cliente que se conecte al servidorActiveUpdate.

Los clientes pueden actualizar componentes pero no puedenactualizar el programa del cliente ni implementar archivos Hotfix

Esta opción permite que continúen las actualizaciones de los componentes, pero impidela implementación del archivo Hotfix y la actualización del cliente de OfficeScan.

Si no se selecciona esta opción, todos los clientes se conectan simultáneamente alservidor para actualizar o instalar un archivo Hotfix. Esto puede afectarconsiderablemente el rendimiento del servidor si tiene un gran número de clientes. Siselecciona esta opción, deberá elaborar un plan para minimizar el impacto de laactualización del cliente de OfficeScan o implementación del archivo Hotfix en elservidor y luego ejecutarlo.

Concesión de derechos de actualización a clientes deOfficeScan

Procedimiento




6-50


4. En la pestaña Derechos, vaya a la sección Derechos de actualización decomponentes.

5. Seleccione las siguientes opciones:

• Ejecutar "Actualizar ahora"

• Activar la actualización programada

6. Haga clic en la pestaña Otras configuraciones y vaya a la sección Configuraciónde la actualización.


• Los clientes descargan actualizaciones desde Trend MicroActiveUpdate Server

• Activar la actualización programada

• Los clientes pueden actualizar componentes pero no pueden actualizarel programa del cliente o implementar archivos hotfix.





6-51

Configuración del espacio en disco reservado para lasactualizaciones de clientes de OfficeScan

OfficeScan puede asignar una determinada cantidad de espacio en disco en el clientepara archivos Hotfix, archivos de patrones, motores de exploración y actualizaciones deprogramas. OfficeScan reserva 60 MB de espacio en disco de forma predeterminada.

Procedimiento


2. Vaya a la sección Espacio reservado en disco.

3. Seleccione Reservar __ MB de espacio para las actualizaciones.

4. Seleccione la cantidad de espacio en disco.


Proxy para las actualizaciones de componentes delcliente de OfficeScan

Los clientes de OfficeScan pueden utilizar la configuración del proxy durante lasactualizaciones automáticas o si tienen el derecho correspondiente a la opción de"Actualizar ahora".


6-52

TABLA 6-9. Configuración del proxy utilizada durante la actualización decomponentes del cliente de OfficeScan

MÉTODO DEACTUALIZACIÓN

CONFIGURACIÓN DEL PROXYUTILIZADA

UTILIZACIÓN

Actualizaciónautomática delcliente

• Configuraciónautomática del proxy.Para conocer másdetalles, consulteConfiguraciónautomática del proxypara el cliente deOfficeScan en lapágina 14-55.

• Configuración delproxy interno. Paraconocer más detalles,consulte Proxy internopara clientes deOfficeScan en lapágina 14-51.

1. Los clientes de OfficeScanutilizarán primero la configuracióndel proxy automática paraactualizar los componentes.

2. Si la configuración del proxyautomática no está activada, seutilizará la configuración del proxyinterno.

3. Si ambas están desactivadas, losclientes no utilizarán ningunaconfiguración del proxy.


6-53

MÉTODO DEACTUALIZACIÓN

CONFIGURACIÓN DEL PROXYUTILIZADA

UTILIZACIÓN

Actualizarahora

• Configuraciónautomática del proxy.Para conocer másdetalles, consulteConfiguraciónautomática del proxypara el cliente deOfficeScan en lapágina 14-55.

• Configuración delproxy definida por elusuario. Puedeconceder a losusuarios de clientes elderecho paraestablecer laconfiguración delproxy. Para conocermás detalles, consulteDerechos deconfiguración del proxypara clientes en lapágina 14-54.

1. Los clientes de OfficeScanutilizarán primero la configuracióndel proxy automática paraactualizar los componentes.

2. Si la configuración del proxyautomática no está activada, seutilizará la configuración del proxydefinida por el usuario.

3. Si ambas están desactivadas o si laconfiguración del proxy automáticaestá desactivada y los usuarios declientes no tienen el derechocorrespondiente, los clientes noutilizarán ningún proxy durante laactualización de componentes.

Configuración de las notificaciones de actualización delos clientes de OfficeScan

OfficeScan notifica a los usuarios de clientes cuando se dan circunstancias relacionadascon actualizaciones.

Procedimiento


2. Vaya a la sección Configuración de las alertas.



6-54

• Mostrar el icono de alerta en la barra de tareas de Windows si no seactualiza el archivo de patrones de virus al cabo de __ día(s): Aparece unicono de alerta en la barra de tareas de Windows para recordar a los usuariosque actualicen un patrón de virus que no se ha actualizado en el número dedías especificado. Para actualizar el patrón, utilice uno de los métodos deactualización tratados en Métodos de actualización del cliente de OfficeScan en lapágina 6-38.

Todos los clientes gestionados por el servidor aplicarán esta configuración.

• Mostrar un mensaje de notificación si el equipo cliente necesitareiniciarse para cargar un controlador en modo kernel: Tras instalar unarchivo Hotfix o un paquete de actualización que contenga una nueva versiónde un controlador en modo kernel, es posible que la versión anterior delcontrolador siga instalada en el equipo. El único modo de descargar la versiónanterior y cargar la nueva es reiniciar el equipo. Cuando se reinicie el equipo,la nueva versión se instalará automáticamente y no habrá que reiniciar denuevo.

Se muestra el mensaje de notificación inmediatamente después de que unequipo cliente instale el archivo Hotfix o el paquete de actualización.


Visualización de los registros de actualización del clientede OfficeScan

Compruebe los registros de actualización de los clientes para determinar si existenproblemas para actualizar el patrón de virus que tienen los clientes.

Nota

En esta versión del producto, solo se pueden consultar desde la consola Web los registrosde las actualizaciones de Patrón de virus.

A fin de que el tamaño de los registros no ocupen demasiado espacio en el disco duro,elimínelos manualmente o configure un programa de eliminación de registros. Para


6-55

obtener más información acerca de la administración de registros, consulte Administraciónde registros en la página 13-38.

Procedimiento

1. Vaya a Registros > Registros de equipos conectados en red > Actualizaciónde componentes.

2. Para ver el número de actualizaciones de clientes, haga clic en la opción Ver de lacolumna Progreso. En la pantalla Progreso de la actualización decomponentes que aparece, se muestra el número de clientes actualizados aintervalos de 15 minutos y el número total de clientes actualizados.

3. Para ver los clientes que han actualizado el patrón de virus, haga clic en la opciónVer de la columna Detalles.


Aplicación de las actualizaciones de clientes deOfficeScan

Utilice la Conformidad con las normas de seguridad para garantizar que los clientestienen los últimos componentes. La función Conformidad con las normas de seguridaddetermina las incoherencias de los componentes entre el servidor de OfficeScan y losclientes. Las incoherencias ocurren por lo general cuando los clientes no se puedenconectar al servidor para actualizar componentes. Si el cliente obtiene una actualizaciónproveniente de otra fuente (como el servidor ActiveUpdate), es posible que uncomponente del cliente sea más nuevo que el del servidor.

Para obtener más información, consulte Conformidad con las normas de seguridad para clientesadministrados en la página 14-59.


6-56

Recuperación de componentes para los clientes deOfficeScan

La recuperación significa volver a la versión anterior del patrón de virus, Smart ScanAgent Pattern y el motor de escaneo de virus. Si estos componentes no funcionancorrectamente, recupere las versiones anteriores. OfficeScan conserva la versión actual ylas versiones anteriores del Motor de Escaneo de Virus y las últimas cinco versiones delpatrón de virus y Smart Scan Agent Pattern.

Nota

Sólo se pueden recuperar los componentes anteriormente mencionados.

OfficeScan utiliza distintos motores de exploración para los clientes que ejecutanplataformas de 32 bits y de 64 bits. Estos motores de exploración deben recuperarse porseparado. El procedimiento de recuperación es idéntico para todos los tipos de motoresde exploración.

Procedimiento

1. Vaya a Actualizaciones > Recuperar

2. Haga clic en Sincronizar con el servidor en la sección correspondiente.

a. En el árbol de clientes que se muestra, haga clic en el icono de dominio raíz( ) para incluir todos los clientes o seleccione dominios o clientesespecíficos.

b. Haga clic en Recuperar.

c. Haga clic en Ver registros de la actualización para comprobar el resultadoo en Atrás para volver a la pantalla Recuperar.

3. Si hay una versión anterior del archivo de patrones en el servidor, haga clic enRecuperar versiones del servidor y el cliente para recuperar el archivo depatrones para el cliente y el servidor de OfficeScan.


6-57

Ejecución de la herramienta Touch para archivos Hotfixde los clientes de OfficeScan

Esta herramienta sincroniza la marca de hora de un archivo con la de otro archivo o conla hora del sistema del equipo. Si intenta implementar sin éxito un archivo hotfix en elservidor de OfficeScan, utilice la herramienta Touch para cambiar la marca de hora dedicho archivo. De esta forma, OfficeScan interpretará que el archivo hotfix es nuevo yhará que el servidor intente instalarlo de nuevo automáticamente.

Procedimiento

1. En el servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\Touch.

2. Copie TMTouch.exe en la carpeta que contiene el archivo que desea modificar. Sisincroniza la marca de hora del archivo con la de otro archivo, coloque ambosarchivos en la misma ubicación con ayuda de la herramienta Touch.

3. Abra un símbolo del sistema y desplácese hasta la ubicación de la herramientaTouch.

4. Escriba lo siguiente:

TmTouch.exe <nombre del archivo de destino> <nombre delarchivo de origen>

Donde:

• <nombre del archivo de destino> es el nombre del archivo hotfixcuya marca de hora desea modificar

• <nombre del archivo de origen> es el nombre del archivo cuyamarca de hora desea replicar

NotaSi no especifica ningún nombre de archivo de origen, la herramienta establecerá lamarca de hora del archivo de destino según la marca de hora del sistema del equipo.Utilice el carácter de comodín (*) para el archivo de destino, pero no para el nombredel archivo de origen.


6-58

5. Para comprobar que se haya modificado la marca de hora, escriba dir en elsímbolo del sistema o compruebe las propiedades del archivo en el Explorador deWindows.

Agentes de actualizaciónPara distribuir la tarea de implementar componentes, configuraciones de dominio oprogramas y archivos hotfix de clientes en los clientes de OfficeScan, asigne algunosclientes de OfficeScan para que actúen como agentes de actualización o fuentes deactualización para otros clientes. De esta forma se garantiza que los clientes reciban lasactualizaciones cuando corresponda sin dirigir una cantidad considerable de tráfico dered al servidor de OfficeScan.

Si la red está dividida por ubicación y el enlace de red entre estas divisiones estásometido a una gran carga de tráfico, asigne al menos un agente de actualización paracada ubicación.

Requisitos del sistema del agente de actualizaciónVisite el siguiente sitio Web para obtener una lista completa de los requisitos del sistema:


Configuración del agente de actualizaciónEl proceso de configuración del agente de actualización consta de dos pasos:

1. Asigne un cliente de OfficeScan como agente de actualización para determinadoscomponentes.

2. Especifique los clientes que se actualizarán desde este agente de actualización.



6-59

Nota

El número de conexiones de cliente simultáneas que puede gestionar un solo agentede actualización depende de las especificaciones de hardware del equipo.

Especificación de un cliente de OfficeScan como agente deactualización

Procedimiento


2. En el árbol de clientes, seleccione los clientes que se designarán como agentes deactualización.

Nota

No es posible seleccionar el icono del dominio raíz, ya que de este modo se designaríaa todos los clientes como agentes de actualización. Un agente de actualización quesolo utilice IPv6 no puede distribuir las actualizaciones directamente a clientes queutilicen únicamente IPv4. De modo similar, un agente de actualización que soloutilice IPv4 no puede distribuir las actualizaciones directamente a clientes que utilicenúnicamente IPv6. Es necesario un servidor proxy de doble pila que conviertadirecciones IP, como DeleGate, para permitir al agente de actualización quedistribuya las actualizaciones a los clientes.

3. Haga clic en Configuración > Configuración del agente de actualización.

4. Seleccione los elementos que pueden compartir los agentes de actualización.

• Actualizaciones de los componentes

• Configuración del dominio

• Programas cliente y archivos hotfix



6-60

Especificación de clientes de OfficeScan que se actualizandesde un agente de actualización

Procedimiento


2. En Fuente de actualización personalizada, haga clic en Agregar.

3. En la pantalla que aparece, especifique las direcciones IP de los clientes. Puedeescribir un intervalo de direcciones IPv4, y un prefijo y una longitud de IPv6.

4. En el campo Agente de actualización, seleccione el agente de actualización quedesea asignar a los clientes.

Nota

Asegúrese de que los clientes se pueden conectar al agente de actualización mediantesus direcciones IP. Por ejemplo, si ha especificado un intervalo de direcciones IPv4,el agente de actualización debe tener una dirección IPv4. Si ha especificado un prefijoy una longitud de IPv6, el agente de actualización debe tener una dirección IPv6.


Fuentes de actualización para los agentes deactualización

Los agentes de actualización pueden obtener las actualizaciones de varias fuentes, comoel servidor de OfficeScan o una fuente de actualización personalizada. Configure lafuente de actualización en la pantalla Fuente de actualización de la consola Web.

Compatibilidad con IPv6 de los agentes de actualización

Un agente de actualización que solo utilice IPv6 no puede actualizarse directamentedesde fuentes de actualización que utilicen únicamente IPv4, como:



6-61



Del mismo modo, un agente de actualización que solo utilice IPv4 no puede actualizarsedirectamente desde fuentes de actualización que utilicen únicamente IPv6, como unservidor de OfficeScan de solo IPv6.

Es necesario un servidor proxy de doble pila que convierta direcciones IP, comoDeleGate, para permitir al agente de actualización que se conecte a las fuentes deactualización.

Fuente de actualización estándar para los agentes deactualización

El servidor de OfficeScan es la fuente de actualización estándar para los agentes deactualización. Si configura los agentes para actualizarse directamente desde el servidor deOfficeScan, el proceso de actualización se realiza de la forma siguiente:

1. El agente de actualización obtiene las actualizaciones del servidor de OfficeScan.

2. Si no se puede actualizar desde el servidor de OfficeScan, el agente intentaconectarse directamente con Trend Micro ActiveUpdate Server en el caso de darsecualquiera de estas circunstancias:

• En Equipos en red > Administración de clientes, haga clic enConfiguración > Derechos y otras configuraciones > Otrasconfiguraciones > Configuración de actualización, la opción Losclientes descargan actualizaciones desde Trend Micro ActiveUpdateServer está desactivada.

• El servidor ActiveUpdate Server es la primera entrada en la lista de fuentes deactualización personalizadas.

ConsejoColoque el servidor ActiveUpdate al principio de la lista sólo si tiene problemas a lahora de llevar a cabo las actualizaciones desde el servidor de OfficeScan. Cuando losagentes de actualización se actualizan directamente desde el servidor ActiveUpdate, seutiliza un ancho de banda considerable entre la red e Internet.


6-62

3. Si no se puede realizar la actualización desde ninguna de las fuentes posibles, elagente de actualización abandona el proceso de actualización.

Fuentes de actualización personalizadas para los agentesde actualización

Además del servidor de OfficeScan, los agentes de actualización cuentan con fuentes deactualización personalizadas para actualizarse. Las fuentes de actualizaciónpersonalizadas reducen el tráfico de actualización de clientes que se envía al servidor deOfficeScan. Especifique las fuentes de actualización personalizadas en la Lista de fuentesde actualización personalizadas, en la que se pueden incluir un máximo de 1.024 fuentesde actualización. Consulte Fuentes de actualización personalizadas para los clientes de OfficeScanen la página 6-33 para ver los pasos que hay que realizar para configurar la lista.

Nota

Asegúrese de que la opción Los agentes actualizan los componentes, la configuracióndel dominio, los programas cliente y los archivos hotfix solo desde el servidor deOfficeScan esté desactivada en la

pantalla Fuente de actualización (Equipos en red) (Actualizaciones > Equipos enred > Fuente de actualización) para que los agentes de actualización se conecten a lasfuentes de actualización personalizadas.

Una vez que ha establecido y guardado la lista, el proceso de actualización se realiza de lasiguiente manera:

1. El agente de actualización se actualiza a partir de la primera entrada de la lista.

2. Si no se puede realizar la actualización desde la primera entrada de la lista, el agentede actualización pasa a la segunda y así sucesivamente.

3. Si no se puede realizar la actualización a partir de ninguna de las entradas, el agentede actualización prueba las siguientes opciones:

• Actualizar los componentes desde el servidor de OfficeScan si lasfuentes personalizadas no se encuentran o no están disponibles: si estáactivada esta opción, el agente de actualización se actualiza desde el servidorde OfficeScan.


6-63

Si la opción no está activada, el agente trata de conectarse directamente aTrend Micro ActiveUpdate Server en el caso de darse cualquiera de estascircunstancias:

Nota

Sólo se pueden actualizar los componentes desde el servidor ActiveUpdate. Laconfiguración de dominios, los programas y los archivos hotfix sólo se puedendescargar del servidor o los agentes de actualización.

• En Equipos en red > Administración de clientes, haga clic enConfiguración > Derechos y otras configuraciones > Otrasconfiguraciones > Configuración de actualización, la opción Losclientes descargan actualizaciones desde Trend MicroActiveUpdate Server está desactivada.

• El servidor ActiveUpdate Server no está incluido en la lista de fuentes deactualización personalizadas.

• Actualizar la configuración del dominio desde el servidor de OfficeScansi las fuentes personalizadas no se encuentran o no están disponibles: siestá activada esta opción, el agente de actualización se actualiza desde elservidor de OfficeScan.

• Actualizar los programas cliente y los archivos Hotfix desde el servidorde OfficeScan si las fuentes personalizadas no se encuentran o no estándisponibles: si está activada esta opción, el agente de actualización seactualiza desde el servidor de OfficeScan.


El proceso de actualización es diferente si la opción Agente de actualización:actualizar siempre desde la fuente de actualización estándar (servidor deOfficeScan) está activada y el servidor de OfficeScan notifica al agente que actualice loscomponentes. El proceso es el siguiente:

1. El agente se actualiza directamente a partir del servidor de OfficeScan e ignora lalista de fuentes de actualización.


6-64

2. Si no se puede actualizar desde el servidor, el agente intenta conectarsedirectamente con Trend Micro ActiveUpdate Server en el caso de darse cualquierade estas circunstancias:

• En Equipos en red > Administración de clientes, haga clic enConfiguración > Derechos y otras configuraciones > Otrasconfiguraciones > Configuración de actualización, la opción Losclientes descargan actualizaciones desde Trend Micro ActiveUpdateServer está desactivada.

• El servidor ActiveUpdate Server es la primera entrada en la lista de fuentes deactualización personalizadas.

Consejo

Coloque el servidor ActiveUpdate al principio de la lista sólo si tiene problemas a lahora de llevar a cabo las actualizaciones desde el servidor de OfficeScan. Cuando losclientes de OfficeScan se actualizan directamente desde el servidor ActiveUpdate, seutiliza un ancho de banda considerable entre la red e Internet.


Configuración de la fuente de actualización para el agentede actualización

Procedimiento


2. Seleccione si desea que la actualización se realice a partir de la fuente deactualización estándar para los agentes de actualización (servidor de OfficeScan) ola fuente de actualización personalizada para los agentes de actualización.



6-65

Duplicación de los componentes del agente deactualización

Al igual que el servidor de OfficeScan, los agentes de actualización también utilizan laduplicación de componentes durante la actualización de componentes. ConsulteDuplicación de componentes del servidor de OfficeScan en la página 6-21 para obtener informaciónsobre cómo realiza el servidor la duplicación de componentes.

El proceso de duplicación de componentes para los agentes de actualización es elsiguiente:

1. El agente de actualización compara su versión actual de patrones completos con laúltima versión en la fuente de actualización. Si la diferencia entre ambas versioneses 14 o menos, el agente de actualización descarga el patrón incremental querepresenta la diferencia entre ambas versiones.

Nota

Si la diferencia es mayor que 14, el agente de actualización descarga automáticamentela versión completa del archivo de patrones.

2. El agente de actualización combina el patrón incremental descargado con su patróncompleto actual para generar el último patrón completo.

3. El agente de actualización descarga todos los demás patrones incrementales en lafuente de actualización.

4. El último patrón completo y todos los patrones incrementales están a disposiciónde los clientes.

Métodos de actualización para los agentes deactualización

Los agentes de actualización utilizan los mismos métodos disponibles para los clientesnormales. Para conocer más detalles, consulte Métodos de actualización del cliente de OfficeScanen la página 6-38.


6-66

También puede utilizar la herramienta de configuración de actualizaciones programadaspara activar y configurar las actualizaciones programadas en un agente de actualizaciónque se haya instalado mediante Client Packager.

Nota

Esta herramienta no está disponible si el agente de actualización se ha instalado utilizandootros métodos de instalación. Consulte Consideraciones sobre la implementación en la página 5-11para obtener más información.

Uso de la herramienta de configuración de actualizacionesprogramadas

Procedimiento

1. En el equipo del agente de actualización, vaya a la <Carpeta de instalación del cliente>.

2. Haga doble clic en SUCTool.exe para ejecutar la herramienta. Se abrirá la consolade la herramienta de configuración de actualizaciones programadas.

3. Seleccione Activar la actualización programada.

4. Especifique la frecuencia y la hora de la actualización.

5. Haga clic en Aplicar.

Informe analítico del agente de actualización

Genere el informe analítico del agente de actualización para analizar la infraestructura deactualización y determinar qué clientes se descargan del servidor de OfficeScan, de losagentes de actualización o del servidor de ActiveUpdate. También puede utilizar esteinforme para comprobar si el número de clientes que solicitan actualizaciones a lasfuentes de actualización es superior a los recursos disponibles y para redirigir el tráficode red a las fuentes adecuadas.


6-67

Nota

Este informe incluye todos los agentes de actualización. Si ha delegado la tarea deadministrar uno o varios dominios en otros administradores, ellos también verán losagentes de actualización que pertenecen a los dominios que no administran.

OfficeScan exporta el Informe analítico del agente de actualización a un archivo devalores separados por comas (.csv).

Este informe contiene la siguiente información:

• Equipo cliente de OfficeScan

• Dirección IP

• Ruta del árbol de clientes

• Fuente de actualización

• Si los clientes descargan lo siguiente de los agentes de actualización:

• Componentes

• Configuración del dominio

• Programas cliente de OfficeScan y archivos Hotfix

Para obtener información detallada acerca de cómo generar el informe, consulte Fuentesde actualización personalizadas para los clientes de OfficeScan en la página 6-33.

Resumen de la actualización de componentesLa consola Web tiene una pantalla Actualizar resumen (vaya a Actualizaciones >Resumen) que le informa del estado general de la actualización de componentes y lepermite actualizar los componentes obsoletos. Si habilita al servidor para que realiceactualizaciones programadas, en la pantalla también aparecerá el programa de la próximaactualización.

Actualice la pantalla periódicamente para ver el último estado de actualización de loscomponentes.


6-68

NotaPara ver las actualizaciones de componentes en el Smart Protection Server integrado, vaya aProtección inteligente > Servidor integrado.

Estado de la actualización de los clientes de OfficeScanSi ha iniciado una actualización de componentes en los clientes, consulte la siguienteinformación de esta sección:

• Número de clientes notificados para actualizar los componentes

• Número de clientes todavía sin notificar pero en cola de notificaciones Paracancelar la notificación de estos clientes, haga clic en Cancelar la notificación.

ComponentesEn la tabla Actualizar estado, consulte el estado de las actualizaciones de cada uno delos componentes que el servidor de OfficeScan descarga y distribuye.

Consulte la versión actual y la fecha de la última actualización de cada componente.Haga clic en el enlace numerado para ver los clientes que tienen componentes obsoletos.Actualice manualmente los clientes que tengan componentes obsoletos.

7-1

Capítulo 7

Buscando riesgos de seguridadEn este capítulo se describe cómo proteger los ordenadores frente a riesgos de seguridadmediante la exploración basada en archivos.


• Acerca de los riesgos de seguridad en la página 7-2

• Métodos de exploración en la página 7-7

• Tipos de exploración en la página 7-14

• Configuración común para todos los tipos de exploración en la página 7-28

• Derechos y otras configuraciones de la exploración en la página 7-55

• Configuración general de la exploración en la página 7-70

• Registros de riesgos de seguridad en la página 7-90

• Notificaciones de riesgos de seguridad en la página 7-81


7-2

Acerca de los riesgos de seguridadRiesgo de seguridad es el término que aglutina los virus o malware y spyware o grayware.OfficeScan protege los equipos frente a los riesgos de seguridad mediante la exploraciónde archivos y, a continuación, lleva a cabo una acción específica por cada riesgo deseguridad detectado. La detección de un número desbordante de riesgos de seguridad enun corto período de tiempo es señal de epidemia. OfficeScan puede ayudar a contenerlas epidemias aplicando políticas de prevención de epidemias y aislando los equiposinfectados hasta que se encuentran completamente fuera de peligro. Las notificaciones ylos registros le ayudan a realizar un seguimiento de los riesgos de seguridad y le alertanen caso de que sea necesario llevar a cabo una acción inmediata.

Virus y malwareExisten decenas de miles de virus/malware, una cifra que va en aumento cada día.Aunque eran más comunes en DOS o Windows, los virus informáticos actuales puedendañar seriamente los sistemas mediante el aprovechamiento de las vulnerabilidades de lasredes corporativas, sistemas de correo electrónico y sitios Web.

• Programas de broma: Programa similar a los virus que suele manipular el aspectode los elementos de la pantalla de un equipo.

• Virus/malware probables: Archivos sospechosos que tienen algunascaracterísticas de virus/malware. Para obtener información detallada, consulte laEnciclopedia de virus de Trend Micro:

http://www.trendmicro.com/vinfo/es/virusencyclo/default.asp

• Rootkit: un programa (o conjunto de programas) que instala y ejecuta código enun sistema sin el consentimiento o conocimiento del usuario. Utiliza técnicas deocultación para mantener una presencia continúa e indetectable en el equipo. Losrootkits no infectan los equipos, sino que buscan proporcionar un entornoindetectable para que el código maligno se ejecute. Se instalan en los sistemas através de la ingeniería social, al ejecutarse el malware o simplemente al navegar porun sitio Web malicioso. Una vez que se instalan, el atacante puede llevar a caboprácticamente cualquier función en el sistema, entre ellas el acceso remoto, lainterceptación, así como la ocultación de procesos, archivos, claves de registro ycanales de comunicación.


Buscando riesgos de seguridad

7-3

• Troyano: este tipo de amenaza suele utilizar puertos para acceder a los equipos oprogramas ejecutables. Los troyanos no se replican sino que residen en los sistemaspara realizar acciones maliciosas como abrir puertos para que accedan hackers. Lassoluciones antivirus tradicionales pueden detectar y eliminar virus pero notroyanos, en especial los que ya se están ejecutando en el sistema.

• Virus: Programa que se replica. Para ello, el virus tiene que adjuntarse a otrosarchivos de programa y ejecutarse siempre que se ejecute el programa host,incluyendo:

• Código malicioso de ActiveX: código que reside en páginas Web queejecutan controles ActiveX™.

• Virus de sector de arranque: virus que infecta el sector de arranque de unapartición o un disco.

• Infector de archivos COM y EXE: Programa ejecutable con unaextensión .como .exe.

• Código malicioso de Java: código vírico independiente del sistemaoperativo escrito o incrustado en Java™.

• Virus de macro: virus codificado como una macro de aplicación que sueleincluirse en un documento.

• Virus de red: Un virus que se propaga por una red no es, en sentido estricto,un virus de red. Sólo algunos tipos de virus o malware, como los gusanos,pueden calificarse como virus de red. Concretamente, los virus de red utilizanlos protocolos de red como TCP, FTP, UDP y HTTP y los protocolos decorreo electrónico para replicarse. Generalmente no alteran los archivos delsistema ni modifican los sectores de arranque de los discos duros. En vez deello, los virus de red infectan la memoria de los equipos cliente y los obligan adesbordar la red con tráfico, lo que puede provocar una ralentización delsistema e incluso el colapso de toda la red. Puesto que los virus de red residenen la memoria, los métodos de exploración basados en E/S no suelendetectarlos.

El OfficeScan firewall funciona con el patrón para Cortafuegos común paraidentificar y bloquear los virus de red. Consulte el apartado Acerca de OfficeScanFirewall en la página 12-2 para obtener información detallada.


7-4

• Packer: programa ejecutable comprimido y/o cifrado de Windows oLinux™, a menudo un troyano. Los archivos ejecutables comprimidos hacenque los packers sean más difíciles de detectar para los productos antivirus.

• Virus de prueba: Un archivo de texto inerte que actúa como un virus real yque se puede detectar con un software de exploración antivirus. Utilice losvirus de prueba, como la secuencia de comandos de prueba EICAR, paracomprobar que la instalación antivirus funciona correctamente.

• Virus VBScript, JavaScript o HTML: virus que reside en páginas Web y quese descarga a través de un explorador.

• Gusano: programa completo o conjunto de programas que propaga copiasfuncionales de sí mismo o de sus segmentos a otros sistemas informáticos,generalmente por correo electrónico.

• Otros: Virus/Malware no clasificado en ninguno de los otros tipos de virus/malware.

Spyware y graywareLos equipos cliente están expuestos a otras posibles amenazas además de los virus/malware. Spyware/grayware es el término referido a las aplicaciones o los archivos noclasificados como virus o troyanos pero que, igualmente, pueden afectar negativamenteal rendimiento de los equipos de la red e introducir importantes riesgos legales, deseguridad y confidencialidad en la organización. Es frecuente que el spyware/graywarelleve a cabo una serie de acciones no deseadas y de carácter amenazante como, porejemplo, molestar a los usuarios con ventanas emergentes, registrar las pulsaciones deteclas de los usuarios o exponer las vulnerabilidades de los equipos a posibles ataques.

Si detecta alguna aplicación o archivo que OfficeScan no pueda detectar como graywarepero que sea sospechoso de serlo, envíelo a Trend Micro para su análisis:

http://subwiz.trendmicro.com/SubWiz

Tipos de spyware/grayware

• Spyware: recopila datos, como nombres de usuarios y contraseñas de cuentas, y losenvía a otras personas.

http://subwiz.trendmicro.com/SubWiz


7-5

• Adware: muestra publicidad y recopila datos, como las preferencias de navegaciónpor Internet de un usuario, para enviar anuncios al usuario mediante el exploradorWeb.

• Programa de marcación: modifica la configuración de Internet del equipo paraforzarlo a marcar números de teléfono preconfigurados a través de un módem.Suelen ser números de servicios de pago por llamada o números internacionalesque pueden ocasionar gastos importantes a la organización.

• Programas de broma: provoca comportamientos anómalos en el equipo, como elcierre y la apertura de la bandeja de la unidad de CD-ROM o la visualización denumerosos cuadros de mensaje.

• Herramienta de hackers: ayuda a los hackers a introducirse en los equipos.

• Herramienta de acceso remoto: ayuda a los hackers a acceder y controlar deforma remota otros equipos.

• Aplicación de robo de contraseñas: permite a los hackers descifrar nombres deusuario y contraseñas de cuentas.

• Otros: otros tipos de programas potencialmente dañinos.

Introducción del spyware/grayware en la red

A menudo, el spyware/grayware se introduce en una red corporativa cuando losusuarios se descargan software legítimo que incluye aplicaciones de grayware en elpaquete de instalación. La mayoría de los programas de software incluyen un acuerdo delicencia para el usuario final que se debe aceptar antes de iniciar la descarga. Esteacuerdo incluye información sobre la aplicación y su uso previsto para recopilar datospersonales; sin embargo, los usuarios no suelen percatarse de esta información o nocomprenden la jerga legal.

Riesgos y amenazas potenciales

La existencia de spyware y otros tipos de grayware en la red puede propiciar losproblemas siguientes:


7-6

• Reducción del rendimiento de los equipos: Para realizar sus tareas, lasaplicaciones de spyware o grayware a menudo requieren numerosos recursos de laCPU y la memoria del sistema.

• Aumento de los bloqueos del explorador de Internet: Algunos tipos degrayware, como el adware, suelen mostrar información en un cuadro o ventana delexplorador. En función de la interacción del código de estas aplicaciones con losprocesos del sistema, el grayware puede ocasionar que los exploradores se bloqueeny que incluso sea necesario reiniciar el equipo.

• Disminución de la eficacia del usuario: Al tener que cerrar frecuentementeanuncios emergentes y soportar los efectos negativos de los programas de broma,los usuarios se distraerán innecesariamente de sus tareas principales.

• Degradación del ancho de banda de la red: Las aplicaciones de spyware ograyware transmiten regularmente los datos recopilados a otras aplicaciones que seejecutan en la red o en otras ubicaciones externas.

• Pérdida de información personal y corporativa: La información que recopilanlas aplicaciones de spyware o grayware no se limita a la lista de sitios Web quevisitan los usuarios. El spyware/grayware también puede recopilar las credencialesdel usuario como, por ejemplo, las utilizadas para acceder a las cuentas de la bancaen línea y a las redes corporativas.

• Mayor riesgo de responsabilidad legal: Si los hackers se han apropiadoindebidamente de los recursos informáticos de la red, pueden utilizar los equiposcliente para lanzar ataques o instalar spyware o grayware en otros equipos externosde la red. La participación de los recursos de la red en estas actividades puederesponsabilizar legalmente a una empresa de los perjuicios ocasionados por otraspersonas.

Protección frente a spyware/grayware y otras amenazasExisten varias medidas que pueden adoptarse para evitar la instalación de spyware/grayware en el equipo. Trend Micro recomienda lo siguiente:

• Configurar todos los tipos de exploración (Exploración manual, Exploración entiempo real, Exploración programada y Explorar ahora) para buscar y eliminararchivos y aplicaciones de spyware/grayware. Consulte el apartado Tipos deexploración en la página 7-14 para obtener más información.


7-7

• Aleccionar a los usuarios clientes para que hagan lo siguiente:

• Leer el contrato de licencia de usuario final (EULA) y la documentaciónincluida con las aplicaciones que descargan e instalan en los equipos.

• Hacer clic en No en los mensajes que soliciten autorización para descargar einstalar software salvo que los usuarios clientes estén seguros de que elcreador del mismo y el sitio Web que visitan sean de confianza.

• Omitir el correo electrónico comercial no solicitado (spam), sobre todo sisolicita a los usuarios que hagan clic en un botón o hiperenlace.

• Definir la configuración del explorador de Internet para garantizar un nivel deseguridad estricto. Trend Micro recomienda configurar los exploradores Web paraque pidan el consentimiento de los usuarios para instalar controles ActiveX.

• Si se utiliza Microsoft Outlook, definir la configuración de seguridad para queOutlook no descargue automáticamente los elementos HTML tales como lasimágenes enviadas a través de mensajes spam.

• No permitir el uso de servicios para compartir archivos de punto a punto. Elspyware y otras aplicaciones de grayware pueden enmascararse como otros tipos dearchivo que los usuarios suelen querer descargar como archivos de música MP3.

• Revisar periódicamente el software instalado en los equipos agente en busca deaplicaciones que puedan ser spyware u otras formas de grayware.

• Mantener actualizados los sistemas operativos Windows con las últimas revisionesde seguridad de Microsoft. Consulte el sitio Web de Microsoft para obtener másinformación.

Métodos de exploraciónLos clientes de OfficeScan pueden utilizar uno de los dos métodos de exploración alrealizar una exploración en busca de riesgos de seguridad. Los métodos de exploraciónson smart scan y la exploración convencional.

• Smart Scan

Los clientes que utilizan smart scan se denominan clientes smart scan en estedocumento. Los clientes smart scan se benefician de las exploraciones locales y de


7-8

las consultas por Internet proporcionadas por los Servicios de Reputación deFicheros.

• Exploración convencional

Los clientes que no utilizan smart scan se denominan clientes de exploraciónconvencional. Un cliente de exploración convencional almacena todos loscomponentes de OfficeScan en el equipo cliente y explora todos los archivos demanera local.

Método de exploración predeterminadoEn esta versión de OfficeScan, el método de exploración predeterminado para lasnuevas instalaciones es smart scan. Esto significa que si realiza una instalación nueva delservidor de OfficeScan y no ha cambiado el método de exploración en la consola Web,todos los clientes que gestiona el servidor utilizarán smart scan.

Si actualiza el servidor de OfficeScan a partir de una versión anterior y se activa unaactualización automática de clientes, todos los clientes que el servidor administreutilizarán el método de exploración que estaba configurado antes de la actualización. Porejemplo, si actualiza desde OfficeScan 8.x, que solo es compatible con la exploraciónconvencional, todos los clientes seguirán utilizando la exploración convencional tras laactualización. Si actualiza desde OfficeScan 10, que es compatible con smart scan y conla exploración convencional, todos los clientes actualizados que utilicen smart scancontinuarán utilizándolo y todos los clientes que utilicen la exploración convencionalseguirán utilizando este tipo de exploración.

Comparación de métodos de exploraciónLa siguiente tabla ofrece una comparación entre los dos métodos de exploración:


7-9

TABLA 7-1. Comparación entre la exploración convencional y smart scan

REFERENCIAS DE LACOMPARACIÓN

EXPLORACIÓN CONVENCIONAL SMART SCAN

Disponibilidad Disponible en esta versiónde OfficeScan y en todaslas anteriores

Inicio en OfficeScan 10 disponible

Comportamientode la exploración

El cliente de exploraciónconvencional realiza laexploración en el equipolocal.

• El cliente de exploracióninteligente realiza la exploraciónen el equipo local.

• Si el cliente no puededeterminar el riesgo del archivodurante la exploración, esteverifica el riesgo enviando unaconsulta de exploración a unafuente de protección inteligente.

• El cliente "almacena en caché"el resultado de dicha consultapara mejorar el rendimiento dela exploración.

Componentes enuso y actualizados

Todos los componentesdisponibles en la fuente deactualización, excepto elSmart Scan Agent Pattern

Todos los componentes disponiblesen la fuente de actualización,excepto el Virus Pattern y SpywareActive-monitoring Pattern

Fuente deactualizacióntradicional

Servidor de OfficeScan Servidor de OfficeScan

Cambio del método de exploración

Procedimiento




7-10

3. Haga clic en Configuración > Configuración de la exploración > Métodos deexploración.

4. Seleccione Exploración convencional o Smart scan.




Cambiar de la exploración convencional a Smart Scan

Al cambiar los clientes a la exploración convencional, tenga en cuenta lo siguiente:

1. Número de clientes para cambiar

Si se cambia un número relativamente bajo de clientes al mismo tiempo, se permiteun uso más eficaz del servidor de OfficeScan y de los recursos del Smart ProtectionServer. Estos servidores pueden llevar a cabo otras tareas importantes mientras losclientes cambian los métodos de exploración.

2. Tiempo

Al volver a la exploración convencional, los clientes descargarán la versióncompleta del patrón de virus y del patrón de monitorización activa de spywaredesde el servidor de OfficeScan. Estos archivos de patrón sólo los utilizan losclientes de la exploración convencional.

Considere la opción de realizar el cambio durante las horas de menor actividad paragarantizar que el proceso de descarga se realiza en un corto período de tiempo.Hágalo también cuando ningún cliente tenga programada una actualización desde


7-11

el servidor. Además, desactive de forma temporal la opción "Actualizar ahora" delos clientes y vuelva a activarla una vez estos hayan cambiado a smart scan.

3. Configuración del árbol de clientes

El método de exploración es una configuración granular que se puede establecer enla raíz, en el dominio o en el cliente. Al cambiar a la exploración convencional,puede:

• Crear un nuevo dominio del árbol de clientes y asignar la exploraciónconvencional como su método de exploración. Ningún cliente que mueva aeste dominio utilizará la exploración convencional. Cuando mueve el cliente,activar el parámetro Aplicar la configuración del nuevo dominio a losclientes seleccionados.

• Seleccionar un dominio y configurarlo para que utilice la exploraciónconvencional. Los clientes de smart scan que pertenezcan al dominiocambiarán a exploración convencional.

• Seleccionar uno o varios clientes de smart scan de un dominio y cambiarlos aexploración convencional.

NotaLos cambios que se realicen en el método de exploración del dominio sobrescribiránel método de exploración configurado para los clientes

Cambiar de la exploración convencional a Smart ScanSi va a cambiar clientes de la exploración convencional a smart scan, asegúrese de haberinstalado los Servicios de Protección Inteligente. Para conocer más detalles, consulteConfiguración de los Servicios de Protección Inteligente en la página 4-14.

La siguiente tabla proporciona otras consideraciones para el cambio a smart scan:


7-12

TABLA 7-2. Consideraciones a la hora de cambiar a smart scan

CONSIDERACIÓN DETALLES

Funciones y opcionesno disponibles

Los clientes smart scan no puede registrar la información deSmart Scan Pattern ni Smart Scan Agent Pattern en elservidor de políticas.

Licencia del producto Para utilizar smart scan, asegúrese de que están activadaslas licencias de los siguientes servicios y que no estáncaducadas:

• Antivirus

• Reputación Web y antispyware

Servidor de OfficeScan Asegúrese de que los clientes se pueden conectar al servidorde OfficeScan. Sólo a los clientes que estén conectados seles notificará el cambio a smart scan. Los que esténdesconectados recibirán la notificación en el momento en elque se conecten. A los clientes en modo de itinerancia se lesnotificará cuando estén en línea o, en caso de que cuente conPrivilegios de actualización Programados, cuando se ejecutedicha actualización.

Compruebe también que el servidor de OfficeScan cuenta conlos componentes más actualizados, ya que los clientes desmart scan tienen que descargar el Smart Scan Agent Patterndel servidor. Para actualizar los componentes consulteActualizaciones del servidor de OfficeScan en la página 6-15.

Número de clientespara cambiar

Si se cambia un número relativamente bajo de clientes almismo tiempo, se permite un uso más eficaz de los recursosdel servidor de OfficeScan. El servidor de OfficeScan puedellevar a cabo otras tareas importantes mientras los clientescambian los métodos de exploración.


7-13


Tiempo Al cambiar a smart scan por primera vez, los clientes tienenque descargar la versión completa del Smart Scan AgentPattern del servidor de OfficeScan. El Smart Scan Patternsólo lo utilizan los clientes de smart scan.

Considere la opción de realizar el cambio durante las horasde menor actividad para garantizar que el proceso dedescarga se realiza en un corto período de tiempo. Hágalotambién cuando ningún cliente tenga programada unaactualización desde el servidor. Además, desactive de formatemporal la opción "Actualizar ahora" de los clientes y vuelvaa activarla una vez estos hayan cambiado a smart scan.

Configuración del árbolde clientes

El método de exploración es una configuración granular quese puede establecer en la raíz, en el dominio o en el cliente.Al cambiar a smart scan, puede:

• Crear un nuevo dominio del árbol de clientes y asignarsmart scan como su método de exploración. Ningúncliente que mueva a este dominio utilizará smart scan.Cuando mueve el cliente, activar el parámetro Aplicar laconfiguración del nuevo dominio a los clientesseleccionados.

• Seleccionar un dominio y configurarlo para que utilicesmart scan. Los clientes de la exploración convencionalque pertenezcan al dominio cambiarán a smart scan.

• Seleccionar uno o varios clientes de exploraciónconvencional de un dominio y cambiarlos a smart scan.

NotaLos cambios que se realicen en el método deexploración del dominio sobrescribirán el método deexploración configurado para los clientes


7-14


Compatibilidad conIPv6

Los clientes smart scan envían consultas sobre la exploracióna las fuentes de protección inteligente.

Un cliente smart scan que solo utilice IPv6 no puede enviarconsultas directamente a fuentes que utilicen únicamenteIPv4, como:


NotaLa versión 2.5 del Smart Protection Server es laprimera compatible con IPv6.


Igualmente, un cliente smart scan que solo utilice IPv4 nopuede enviar consultas a los Servidores de ProtecciónInteligente que utilicen únicamente IPv6.

Es necesario un servidor proxy de doble pila que conviertadirecciones IP, como DeleGate, para permitir a los clientessmart scan que se conecten a las fuentes.

Tipos de exploraciónOfficeScan ofrece los siguientes tipos de exploración para proteger los equipos clientesde OfficeScan de los riesgos de seguridad:

TABLA 7-3. Tipos de exploración

TIPO DEEXPLORACIÓN

DESCRIPCIÓN

Exploración entiempo real

Explora automáticamente un archivo del equipo en el momento desu recepción, apertura, descarga, copia o modificación

Consulte Exploración en tiempo real en la página 7-15 paraobtener más información.


7-15

TIPO DEEXPLORACIÓN

DESCRIPCIÓN

Exploraciónmanual

Exploración iniciada por el usuario que explora un archivo o unconjunto de archivos solicitados por el usuario

Consulte Exploración manual en la página 7-18 para obtener másinformación.

Exploraciónprogramada

Explora automáticamente archivos del equipo según las bases deun programa configurado por el administrador o el usuario final.

Consulte Exploración programada en la página 7-20 para obtenermás información.

Explorar ahora Es una exploración iniciada por el administrador que explora losarchivos de uno o varios equipos de destino.

Consulte Explorar ahora en la página 7-23 para obtener másinformación.

Exploraciónintensiva

Una exploración iniciada automáticamente que proporcionaexploración aumentada en busca de posible malware en equiposque se determinó tienen un riesgo elevado

Consulte el apartado Exploración intensiva en la página 7-27 paraobtener información detallada.

Exploración en tiempo real

La Exploración en tiempo real es una exploración continua y constante. Cada vez que serecibe, se abre, se descarga, se copia o se modifica un archivo, la Exploración en tiemporeal escanea el archivo en busca de riesgos de seguridad. Si OfficeScan no detecta ningúnriesgo de seguridad, el archivo permanece en su ubicación y los usuarios pueden accederal archivo. En caso de detectar algún riesgo de seguridad o un posible virus o malware,OfficeScan mostrará un mensaje de notificación en el que indicará el nombre del archivoinfectado y el riesgo de seguridad específico.

Nota

Para modificar el mensaje de notificación, abra la consola Web y vaya a Notificaciones >Notificaciones a los usuarios de los clientes.


7-16

Defina y aplique los parámetros de Escaneo en tiempo real a uno o varios clientes ydominios, o bien a todos los clientes que administra el servidor.

Configurar la exploración en tiempo real

Procedimiento



3. Haga clic en Configuración > Configuración de la exploración >Configuración de la exploración en tiempo real.

4. En la pestaña Destino, seleccione las siguientes opciones:

• Activar la exploración de virus/malware

• Activar la exploración de spyware/grayware

Nota

Si desactiva la exploración de virus o malware, la de spyware o graywaretambién se desactiva. Durante una epidemia de virus, la Exploración en tiemporeal no se puede desactivar (o se activará automáticamente si estaba desactivada)con el fin de evitar que los virus modifiquen o eliminen archivos y carpetas delos equipos cliente.

5. Configure los siguientes criterios de exploración:

• Actividad del usuario en los archivos en la página 7-29

• Archivos para explorar en la página 7-29

• Configuración de la exploración en la página 7-29

• Exclusiones de la exploración en la página 7-33

6. Haga clic en la pestaña Acción y, a continuación, configure lo siguiente:


7-17

TABLA 7-4. Acciones de la exploración en tiempo real

ACCIÓN REFERENCIA

Acción de virus/malware

Acción principal (seleccione una):

• Utilizar ActiveAction en la página 7-40

• Usar la misma acción para todos los tipos de virus/malware en la página 7-41

• Usar una acción específica para cada tipo de virus/malware en la página 7-42

NotaPara obtener información detallada acerca de lasdistintas acciones, consulte Acciones deexploración de virus y malware en la página 7-38.

Acciones de virus/malware adicionales:

• Directorio de cuarentena en la página 7-42

• Crear copia de seguridad antes de limpiar losarchivos en la página 7-44

• Damage Cleanup Services en la página 7-44

• Mostrar un mensaje de notificación cuando sedetecte un virus/malware en la página 7-46

• Mostrar un mensaje de notificación cuando sedetecte un probable virus/malware en la página7-46

Acción de spyware/grayware

Acción principal:

• Acciones de exploración de spyware y grayware enla página 7-50

Acción de spyware/grayware adicional:

• Mostrar un mensaje de notificación al detectarspyware o grayware. en la página 7-51


7-18




Exploración manualLa exploración manual es una exploración bajo petición que se inicia automáticamentecuando un usuario ejecuta la exploración en la consola del cliente de OfficeScan. Eltiempo que lleva completar la exploración depende del número de archivos que se debanexplorar y de los recursos de hardware del equipo cliente de OfficeScan.

Defina y aplique Parámetros de Escaneo Manual a uno o varios clientes y dominios, o atodos los clientes que administra el servidor.

Configuración de una exploración manual

Procedimiento



3. Haga clic en Configuración > Configuración de la exploración >Configuración de la exploración manual.

4. En la pestaña Destino, configure lo siguiente:



7-19


• Uso de la CPU en la página 7-31



TABLA 7-5. Acciones de exploración manual

ACCIÓN REFERENCIA












Acción principal:




7-20



Exploración programada

La Exploración programada se ejecuta automáticamente en la fecha y hora especificadas.Utilice la exploración programada para automatizar las exploraciones rutinarias en elcliente y mejorar la eficacia de la administración de la exploración.

Defina y aplique Parámetros de la exploración programada a uno o varios clientes ydominios, o a todos los clientes que administra el servidor.

Configuración de una exploración programada

Procedimiento



3. Haga clic en Configuración > Configuración de la exploración >Configuración de la exploración programada.





7-21

NotaSi desactiva la exploración de virus o malware, la de spyware o grayware también sedesactiva.


• Programa en la página 7-32







7-22

TABLA 7-6. Acciones de la exploración programada

ACCIÓN REFERENCIA











• Mostrar un mensaje de notificación cuando sedetecte un virus/malware en la página 7-46

• Mostrar un mensaje de notificación cuando sedetecte un probable virus/malware en la página7-46


Acción principal:


Acción de spyware/grayware adicional:

• Mostrar un mensaje de notificación al detectarspyware o grayware. en la página 7-51


7-23




Explorar ahoraLa opción Explorar ahora la inicia de forma remota un administrador de OfficeScan através de la consola Web y puede estar dirigida a uno o a varios equipos cliente.

Defina y aplique la configuración de Explorar ahora a uno o varios clientes y dominios,o a todos los clientes que administra el servidor.

Configurar Explorar ahora

Procedimiento



3. Haga clic en Configuración > Configuración de la exploración >Configuración de Explorar ahora.





7-24

Nota

Si desactiva la exploración de virus o malware, la de spyware o grayware también sedesactiva.







TABLA 7-7. Acciones de Explorar ahora

ACCIÓN REFERENCIA












7-25

ACCIÓN REFERENCIA


Acción principal:





Iniciar Explorar ahora

Inicie la opción Explorar ahora en los equipos que sospeche puedan estar infectados.

Procedimiento



3. Haga clic en Tareas > Explorar ahora.

4. Para cambiar la configuración previa de Explorar ahora antes de iniciar laexploración, haga clic en Configuración.

Aparecerá la pantalla Configuración de Explorar ahora. Consulte Explorar ahoraen la página 7-23 para obtener más información.


7-26

5. En el árbol de clientes, seleccione los clientes que realizarán la exploración y hagaclic a continuación en Iniciar Explorar ahora.

Nota

Si no selecciona ningún cliente, OfficeScan notifica automáticamente a todos losclientes del árbol de clientes.

El servidor envía una notificación a los clientes.

6. Compruebe el estado de la notificación para ver si hay clientes que no la recibieron.

7. Haga clic en Seleccionar equipos no notificados y luego en Iniciar Explorarahora para volver a enviar la notificación de inmediato a los clientes que no larecibieron.

Ejemplo: Número total de clientes: 50

TABLA 7-8. Situaciones de clientes sin notificar

SELECCIÓN DEL ÁRBOL DECLIENTES

CLIENTES NOTIFICADOS(TRAS HACER CLIC EN"INICIAR EXPLORAR

AHORA")

CLIENTES SIN NOTIFICAR

Ninguno (los 50 clientesseleccionadosautomáticamente)

35 de 50 clientes 15 clientes

Selección manual (45 de50 clientesseleccionados)

40 de 45 clientes 5 clientes + otros 5clientes no incluidos en laselección manual

8. Haga clic en Detener notificación para que OfficeScan detenga las notificacionesa clientes en curso. Los clientes que ya hayan sido notificados y los que seencuentren en el proceso de la exploración ignorarán este comando.

9. Para los clientes que ya se encuentran en el proceso de exploración, haga clic enDetener Explorar ahora para notificarles que detengan la exploración.


7-27

Exploración intensiva

OfficeScan automáticamente inicia la exploración intensiva durante una exploraciónmanual cuando detecta un número amenazas de malware especificado en el equipocliente. El cliente de OfficeScan reinicia la exploración del punto final mediante un nivelmayor de detección de amenazas. La exploración intensiva detecta más malwareprobable que las exploraciones a petición.

Nota

Exploración intensiva requiere más recursos del sistema que las exploraciones a peticiónnormales.

Las acciones predeterminadas para la exploración intensiva son:

• Primera acción: Cuarentena

• Segunda acción: Eliminar

Nota

Los administradores no pueden modificar las acciones de exploración intensiva.

Configurar la exploración intensiva mediante el uso deofcscan.ini

OfficeScan activa la exploración intensiva cuando el equipo cliente de OfficeScandetecta un umbral de infección. Los administradores pueden configurar el número dedetecciones de malware necesarias para activar la exploración intensiva modificando elarchivo ofcscan.ini.

Procedimiento

1. Acceda a la <Carpeta de instalación del servidor>\PCCSRV.

2. Utilice un editor de textos (p. ej. el Bloc de notas) para abrir el archivoofcscan.ini.


7-28

3. Busque la cadena "IntensiveScanThreshold" y escriba el nuevo valor queaparece junto a ésta.

El valor predeterminado es 0 detecciones (deshabilitado).

Nota

Exploración intensiva requiere más recursos del sistema que las exploraciones apetición normales. Asegúrese de que el umbral configurado sea lo suficientementealto para impedir una exploración innecesaria.

4. Guarde el archivo.



OfficeScan implementa la configuración actualizada a todos los clientes deOfficeScan.

Configuración común para todos los tipos deexploración

Establezca la configuración de tres grupos distintos para cada tipo de exploración:criterios de exploración, exclusiones de la exploración y acciones de exploración.Aplique esta configuración o uno o varios clientes y dominios, o a todos los clientes queadministra el servidor.

Criterios de exploración

Especifique qué archivos debería escanear un determinado tipo de exploración mediantelos atributos de archivo, como el tipo y la extensión de archivo. Especifique también lascondiciones que provocarán la exploración. Por ejemplo, configure la Exploración entiempo real para que realice una exploración de cada archivo una vez descargados en elequipo.


7-29

Actividad del usuario en los archivos

Seleccione las actividades en los archivos que darán lugar al inicio de la Exploración entiempo real. Seleccione una de las siguientes opciones:

• Explorar archivos creados/modificados: explora los nuevos archivos que se hanintroducido en el equipo (por ejemplo, tras la descarga de ellos) o que se hanmodificado

• Explorar archivos recuperados: explora los archivos cuando se abren

• Explorar archivos creados/modificados y recuperados

Por ejemplo, si se selecciona la tercera opción, se realizará la exploración de un archivonuevo que se haya descargado en el equipo y éste permanecerá en su ubicación actual sino se detecta ningún riesgo de seguridad. Se explorará el mismo archivo cuando elusuario lo abra y, en caso de que éste lo modifique, antes de que se guarden lasmodificaciones realizadas.

Archivos para explorar

Seleccione una de las siguientes opciones:

• Todos los archivos explorables: Explorar todos los archivos

• Tipos de archivo explorados por IntelliScan: explora solo los archivos que sesabe que pueden albergar código malicioso, incluidos los que se ocultan en unnombre de extensión inofensivo. Consulte IntelliScan en la página E-6 para obtenermás información.

• Archivos con extensiones concretas: explora solo los archivos cuyas extensionesestén incluidas en la lista de extensiones de archivo. Agregue nuevas extensiones oelimine cualquiera de las ya existentes.

Configuración de la exploración

Seleccione una o varias de las opciones siguientes:

• Explorar disquete durante el apagado del sistema: explora cualquier disqueteen busca de virus de sector de arranque antes de apagar el equipo. De esta forma se


7-30

impide que se ejecute cualquier virus/malware cuando algún usuario reinicie elequipo a partir del disco.

• Explorar carpetas ocultas: permite a OfficeScan detectar y explorar las carpetasocultas del equipo durante la exploración manual

• Explorar unidad de red: explora unidades o carpetas de red asignadas al equipocliente de OfficeScan durante la exploración manual o en tiempo real.

• Explorar el sector de arranque del dispositivo de almacenamiento USB trasconectarlo: explora automáticamente solo el sector de arranque de un dispositivode almacenamiento USB cada vez que el usuario lo conecta (Exploración en tiemporeal).

• Explorar archivos comprimidos: permite que OfficeScan pueda explorar unnúmero específico de capas de compresión y omitir la exploración de las capassobrantes. OfficeScan también limpia o elimina los archivos infectados que seencuentren en archivos comprimidos. Por ejemplo, si el máximo son dos capas yun archivo comprimido que va a explorarse tiene seis, OfficeScan explora doscapas y omite las cuatro restantes. Si un archivo comprimido contiene amenazas deseguridad, OfficeScan lo limpia o lo elimina.

Nota

OfficeScan trata los archivos de Microsoft Office 2007 con formato de Office OpenXML como si fueran archivos comprimidos. Office Open XML, el formato dearchivo de las aplicaciones de Office 2007, utiliza tecnologías de compresión ZIP. Sidesea que los archivos creados mediante estas aplicaciones se exploren en busca devirus/malware, debe activar la exploración de archivos comprimidos.

• Explorar objetos OLE: cuando un archivo contiene varias capas OLE(Incrustación y vinculación de objetos), OfficeScan explora el número de capas quehaya especificado y omite las demás.

Todos los clientes de OfficeScan que administra el servidor comprueban estaconfiguración durante la Exploración manual, la Exploración en tiempo real, laExploración programada y la opción Explorar ahora. Todas las capas se escaneanen busca de virus o malware y spyware o grayware.

Por ejemplo:


7-31

El número de capas que se especifica es 2. Incrustado en el archivo se encuentra undocumento de Microsoft Word (primera capa), dentro del documento de Word hayuna hoja de cálculo de Microsoft Excel (segunda capa), y dentro de la hoja decálculo hay un archivo .exe (tercera capa). OfficeScan explorará el documento deWord y la hoja de cálculo de Excel, pero omitirá el archivo .exe.

• Detectar código de exploit en archivos OLE: La detección de exploitsOLE identifica malware de forma heurística buscando un código de exploit enlos archivos de Microsoft Office.

NotaEl número de capas especificado se aplica a las opciones Explorar objetosOLE y a Detectar código de exploit en archivos OLE.

• Activar IntelliTrap: detecta y elimina virus o malware de archivos comprimidosejecutables. Esta opción solo está disponible para la exploración en tiempo real.Consulte IntelliTrap en la página E-7 para obtener más información.

• Explorar sector de arranque: explora el sector de arranque del disco duro delequipo cliente en busca de virus o malware durante la Exploración manual, laExploración programada y la opción Explorar ahora.

Uso de la CPUOfficeScan puede realizar una pausa después de explorar un archivo y antes de explorarel siguiente. Esto se utiliza durante la Exploración manual, la Exploración programada yExplorar ahora.

Seleccione una de las siguientes opciones:

• Alto: sin pausas entre las exploraciones

• Medio: realiza pausas en la exploración si el consumo de la CPU es superior al50%, y ninguna pausa si es del 50% o inferior

• Bajo: realiza pausas en la exploración si el consumo de la CPU es superior al 20%,y ninguna pausa si es del 20% o inferior

Si selecciona Medio o Bajo, cuando se inicia la exploración y el consumo de CPU seencuentra dentro del umbral (50% o 20%), OfficeScan no realizará ninguna pausa entre


7-32

las exploraciones, lo que permite que se realice una exploración más rápida en el tiempo.OfficeScan utiliza más recursos de la CPU durante el proceso, pero como el consumo deCPU es el óptimo, el rendimiento del equipo no se ve drásticamente afectado. Cuando elconsumo de la CPU comienza a superar el umbral, OfficeScan realiza una pausa parareducir el uso de la CPU, y se reanuda cuando el consumo vuelve a situarse dentro delumbral.

Si selecciona Alto, OfficeScan no comprobará el consumo de la CPU actual y explorarálos archivos sin realizar ninguna pausa.

Programa

Configure con cuánta frecuencia (diaria, semanal o mensual) y a qué hora se ejecutaráuna exploración programada.

Para las exploraciones programadas mensuales, puede seleccionar un día concreto delmes o un día de la semana y el orden dentro del mes.

• Día concreto del mes: Selecciónelo entre el día 1 y el 31. Si selecciona los días 29,30 o 31 y el mes no tiene esos días, OfficeScan ejecutará la exploración programadael último día del mes. Por lo tanto:

• Si selecciona el día 29, la exploración programada se ejecutará el 28 de febrero(excepto en los años bisiestos) y el día 29 en el resto de los meses.

• Si selecciona el día 30, la exploración programada se ejecutará el 28 o el 29 defebrero, y el día 30 en el resto de los meses.

• Si selecciona el día 31, la exploración programada se ejecutará el 28 o el 29 defebrero, el día 30 de abril, de junio, de septiembre y de noviembre, y el día 31en el resto de los meses.

• Un día de la semana y su orden dentro del mes: Un mismo día de la semana serepite cuatro o cinco veces dentro de un mes. Por ejemplo, en un mesnormalmente hay cuatro lunes. Especifique un día de la semana y el orden dentrodel mes. Por ejemplo, seleccione ejecutar la exploración programada el segundolunes de cada mes. Si selecciona el quinto día del día elegido y este día no existe enun determinado mes, la exploración se ejecutará el cuarto día.


7-33

Exclusiones de la exploraciónDefina las exclusiones de la exploración para aumentar el rendimiento de ésta y omitir laexploración de archivos que provocan falsas alarmas. Cuando se ejecuta un tipo deexploración determinado, OfficeScan comprueba la Lista de Exclusiones de laexploración y determina qué archivos del equipo no se incluirán en la exploración devirus o malware y spyware o grayware.

Cuando active la exclusión de la exploración, OfficeScan no explorará ningún archivoque presente las siguientes condiciones:

• El archivo se encuentra en un directorio determinado (o en cualquiera de sussubdirectorios).

• El nombre del archivo coincide con alguno de los nombres incluidos en la Lista deExclusiones.

• La extensión del archivo coincide con alguna de las extensiones incluidas en la Listade Exclusiones.

ConsejoPara obtener una lista de productos que Trend Micro recomienda sin incluir exploracionesen tiempo real, vaya a:

http://esupport.trendmicro.com/solution/en-US/1059770.aspx

Excepciones comodín

Las listas de exclusión de la exploración para archivos y directorios son compatibles conel uso de caracteres comodines. Utilice el carácter "?" para sustituir un carácter y "*"para sustituir varios caracteres.

Utilice los caracteres comodín prudentemente. El uso de un caracter incorrecto puedeexcluir archivos o directorios incorrectos. Por ejemplo, C:\* excluiría el disco C:\completo.

http://esupport.trendmicro.com/solution/en-US/1059770.aspx


7-34

TABLA 7-9. Exclusiones de la exploración mediante el uso de caracteres comodín

VALOR EXCLUIDO NO EXCLUIDO

c:\director*\fil\*.txt

c:\directory\fil\doc.txt

c:\directories\fil\files\document.txt

c:\directory\file\

c:\directories\files\

c:\directory\file\doc.txt

c:\directories\files\document.txt

c:\director?\file\*.txt

c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\director?\file\?.txt

c:\directory\file\1.txt c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\*.txt Todos los archivos .txt deldirectorio C:\

El resto de tipos de archivos deldirectorio C:\

[] Incompatible Incompatible

*.* Incompatible Incompatible

Lista de exclusión de la exploración (directorios)

OfficeScan no explorará todos los archivos que se encuentren dentro de un determinadodirectorio del equipo. Puede especificar un máximo de 250 directorios.

NotaAl excluir un directorio de las exploraciones, OfficeScan excluye de las exploracionesautomáticamente todos los subdirectorios del directorio.

También puede seleccionar Excluir directorios donde hay instalados productos deTrend Micro. Si selecciona esta opción, OfficeScan excluye automáticamente de laexploración los directorios de los siguientes productos de Trend Micro:

• <Carpeta de instalación del servidor>


7-35

• ScanMail™ for Microsoft Exchange (todas las versiones excepto la versión 7). Siutiliza la versión 7, añada las carpetas siguientes a la lista de exclusión:

• \Smex\Temp

• \Smex\Storage

• \Smex\ShareResPool

• ScanMail eManager™ 3.11, 5.1, 5.11, 5.12

• ScanMail for Lotus Notes™ eManager NT

• InterScan™ Messaging Security Suite

• InterScan Web Security Suite

• InterScan Web Protect

• InterScan VirusWall 3.53

• InterScan FTP VirusWall

• InterScan Web VirusWall

• InterScan E-mail VirusWall

• InterScan NSAPI Plug-in

• InterScan eManager 3.5x

Si tiene un producto de Trend Micro que NO aparece en la lista, añada los directoriosdel producto a la Lista de Exclusiones de la exploración.

Configure también OfficeScan para excluir los directorios de Microsoft Exchange2000/2003 mediante la sección Configuración de la exploración de Equipos en red> Configuración general del cliente. Si utiliza Microsoft Exchange 2007 o unaversión posterior, añada manualmente el directorio a la lista de exclusiones de laexploración. Acceda al sitio siguiente para obtener más detalles sobre la exclusión de laexploración:

http://technet.microsoft.com/en-us/library/bb332342.aspx

Cuando configure la lista de archivos, seleccione una de las siguientes opciones:



7-36

• Conserva la lista de exclusiones del equipo cliente: esta es la selecciónpredeterminada. Si realiza cambios en la lista de exclusiones y esta opción seencuentra activada, no podrá guardar los cambios. Está opción se ofrece para evitarla sobrescritura de una lista de exclusiones de un cliente de forma accidental. Sidesea implementar los cambios realizados, seleccione una de las otras opciones.

• Se sobrescribe la lista de exclusiones del equipo cliente: esta opción elimina lalista de exclusiones completa del cliente y la sustituye por la lista que acaba deconfigurar. Si selecciona esta opción, OfficeScan muestra una advertencia. Paracontinuar, debe hacer clic en Aceptar en la ventana del mensaje.

• Se agrega la ruta a la lista de exclusiones del equipo cliente: esta opciónagrega los elementos de la lista que acaba de configurar a la lista de exclusiones delcliente. Si ya existe un elemento en la lista de exclusiones del cliente, el cliente loomitirá.

• Se elimina la ruta de la lista de exclusiones del equipo cliente: el clienteelimina un elemento de su lista de exclusiones si coincide con alguno de la lista queacaba de configurar.

Lista de exclusión de la exploración (archivos)

OfficeScan no explorará un archivo si su nombre coincide con alguno de los nombresincluidos en la Lista de Exclusiones. Si desea excluir un archivo que se encuentra en unadeterminada ubicación del equipo, incluya su ruta, como por ejemplo, C:\Temp\sample.jpg.

Puede especificar un máximo de 250 archivos.

Cuando configure la lista de archivos, seleccione una de las siguientes opciones:

• Se conserva la lista de exclusiones del equipo cliente.: esta es la selecciónpredeterminada. Si realiza cambios en la lista de exclusiones y esta opción seencuentra activada, no podrá guardar los cambios. Está opción se ofrece para evitarla sobrescritura de una lista de exclusiones de un cliente de forma accidental. Sidesea implementar los cambios realizados, seleccione una de las otras opciones.

• Se sobrescribe la lista de exclusiones del equipo cliente.: esta opción elimina lalista de exclusiones completa del cliente y la sustituye por la lista que acaba de


7-37

configurar. Si selecciona esta opción, OfficeScan muestra una advertencia. Paracontinuar, debe hacer clic en Aceptar en la ventana del mensaje.

• Se agrega la ruta a la lista de exclusiones del equipo cliente.: esta opciónagrega los elementos de la lista que acaba de configurar a la lista de exclusiones delcliente. Si ya existe un elemento en la lista de exclusiones del cliente, el cliente loomitirá.

• Se elimina la ruta de la lista de exclusiones del equipo cliente.: el clienteelimina un elemento de su lista de exclusiones si coincide con alguno de la lista queacaba de configurar.

Lista de exclusión de la exploración (extensiones dearchivos)OfficeScan no explorará un archivo si su extensión coincide con alguna de lasextensiones incluidas en la lista de exclusión. Puede especificar un máximo de 250extensiones de archivo. No es necesario incluir un punto (.) antes de la extensión.

Para la Exploración en tiempo real, utilice el asterisco (*) como carácter comodíncuando especifique las extensiones. Por ejemplo, si no desea explorar todos los archivoscuyas extensiones empiecen por la letra D, como DOC, DOT o DAT, escriba D*.

Para la Exploración manual, la Exploración programada y Explorar ahora, utilice elinterrogante (?) o el asterisco (*) como caracteres comodín.

Aplicar la configuración para la exclusión de la exploracióna todos los tipos de exploracionesOfficeScan le permite definir la configuración de la exclusión de la exploración para undeterminado tipo de exploración y aplicar la misma configuración al resto de tipos deexploración. Por ejemplo:

Luis, un administrador de OfficeScan, se dio cuenta el 1 de enero que en los equiposcliente hay un gran número de archivos JPG que no suponen ninguna amenaza deseguridad. Luis añadió JPG a la Lista de Exclusiones de archivos para la Exploraciónmanual y aplicó esta configuración a todos los tipos de exploración. Así, la Exploraciónen tiempo real, Explorar ahora y la Exploración programada están configuradas para queomitan la exploración de los archivos .jpg.


7-38

Una semana después, Luis eliminó JPG de la lista de exclusión para la Exploración entiempo real pero no aplicó la configuración a todos los tipos de exploraciones. En estecaso, los archivos JPG se explorarán pero únicamente durante la Exploración en tiemporeal.

Acciones de exploraciónEspecifique la acción que realizará OfficeScan cuando un tipo de exploracióndeterminado detecte un riesgo de seguridad. OfficeScan presenta una serie de accionesde exploración diferentes para virus/malware y spyware/grayware.

Acciones de exploración de virus y malware

La acción de exploración que OfficeScan realiza depende del tipo de virus o malware yel tipo de exploración que ha detectado el virus o malware. Por ejemplo, cuandoOfficeScan detecta un troyano (tipo de virus/malware) durante la Exploración manual(tipo de exploración), limpia (acción) el archivo infectado.

Para obtener información sobre los diferentes tipos de virus o malware, consulte Virus ymalware en la página 7-2.

A continuación se describen las acciones que OfficeScan puede llevar a cabo para hacerfrente a virus o malware.

TABLA 7-10. Acciones de exploración de virus y malware

ACCIÓN DESCRIPCIÓN

Eliminar OfficeScan elimina el archivo infectado.


7-39


Cuarentena OfficeScan cambia el nombre del archivo infectado y lo mueve a undirectorio de cuarentena temporal en el equipo cliente, que se encuentraen la <Carpeta de instalación del cliente>\Suspect.

Después el cliente de OfficeScan envía los archivos en cuarentena aldirectorio de cuarentena especificado. Consulte Directorio de cuarentenaen la página 7-42 para obtener más información.

El directorio de cuarentena predeterminado se encuentra en el servidorde OfficeScan, en la <Carpeta de instalación del servidor>\PCCSRV\Virus. OfficeScan cifra los archivos en cuarentena que se envían aeste directorio.

Si necesita restaurar alguno de los archivos en cuarentena, utilice laherramienta VSEncrypt. Para obtener más información sobre el uso deesta herramienta, consulte Server Tuner en la página 13-50.

Limpiar OfficeScan limpia el archivo infectado antes de permitir acceso completoal archivo.

Si el archivo no se puede limpiar, OfficeScan realiza una segundaacción, que puede ser una de las acciones siguientes: poner encuarentena, eliminar, cambiar nombre y omitir. Para configurar lasegunda acción, haga clic en Equipos en red > Administración declientes. Haga clic en Configuración > Configuración de laexploración > {Tipo de exploración} > Acción.

Esta acción se puede realizar con todos los tipos de malware conexcepción de virus/malware probables.

Cambiarnombre

OfficeScan cambia la extensión del archivo infectado por "vir". Losusuarios no pueden abrir el archivo inicialmente infectado pero sí puedenhacerlo si lo asocian a una determinada aplicación.

un virus/malware podría ejecutarse al abrir el archivo infectado con elnombre cambiado.


7-40


Omitir OfficeScan sólo puede aplicar esta acción de exploración cuando detectaalgún tipo de virus durante las acciones Exploración manual, laExploración programada y Explorar ahora. OfficeScan no puede utilizaresta acción durante la Exploración en tiempo real porque no realizarninguna acción cuando se detecta un intento de abrir o ejecutar unarchivo infectado permitirá la ejecución de virus/malware. Todas las otrasacciones de exploración se pueden utilizar durante la exploración entiempo real.

Denegaracceso

Esta acción de exploración solo se puede realizar durante la exploraciónen tiempo real. Cuando OfficeScan detecta un intento de abrir o ejecutarun archivo infectado, inmediatamente bloquea la operación.

Los usuarios pueden eliminar el archivo infectado manualmente.

Utilizar ActiveActionLos distintos tipos de virus y malware requieren acciones de exploración diferentes. Lapersonalización de las acciones de exploración requiere una serie de conocimientosacerca de los virus y el malware, y puede resultar una tarea tediosa. OfficeScan utilizaActiveAction para hacer frente a estos problemas.

ActiveAction es un conjunto de acciones de exploración preconfiguradas para la defensafrente a los virus y el malware. Si no está familiarizado con las acciones de exploración osi no está seguro de cuál es la acción más adecuada para un determinado tipo de virus omalware, Trend Micro le recomienda utilizar ActiveAction.

Utilizar ActiveAction ofrece las siguientes ventajas:

• ActiveAction utiliza acciones de exploración recomendadas por Trend Micro. Deeste modo, no tendrá que perder tiempo configurando las acciones de exploración.

• Los programadores de virus modifican sin cesar el modo en que los virus y elmalware atacan a los ordenadores. La configuración de ActiveAction se actualizapara proporcionar protección ante las últimas amenazas y métodos de ataque de losvirus y el malware.

NotaActiveAction no está disponible para buscar spyware/grayware.


7-41

En la siguiente tabla se muestra el modo en que ActiveAction trata cada tipo de virus/malware:

TABLA 7-11. Acciones de exploración recomendadas por Trend Micro frente a virus ymalware

TIPO DE VIRUS/MALWARE

EXPLORACIÓN EN TIEMPO REALEXPLORACIÓN MANUAL/

EXPLORACIÓN PROGRAMADA/EXPLORAR AHORA

PRIMERAACCIÓN

SEGUNDAACCIÓN

PRIMERAACCIÓN

SEGUNDAACCIÓN

Programa debroma

Cuarentena Eliminar Cuarentena Eliminar

Troyano Cuarentena Eliminar Cuarentena Eliminar

Virus Limpiar Cuarentena Limpiar Cuarentena

Virus de prueba Denegaracceso

N/D N/D N/D

Packer Cuarentena N/D Cuarentena N/D

Otros Limpiar Cuarentena Limpiar Cuarentena

Virus/malwareprobables

Denegaracceso orealizar unaacciónconfiguradapor el usuario

N/D Omitir orealizar unaacciónconfiguradapor el usuario

N/D

Para los posibles virus y malware, la acción predeterminada es "Denegar acceso" durantela exploración en tiempo real y "Omitir" durante la exploración manual, la exploraciónprogramada y Explorar ahora. Si prefiere utilizar otras acciones, tiene a su disposiciónPoner en cuarentena, Eliminar o Cambiar nombre.

Usar la misma acción para todos los tipos de virus/malware

Seleccione esta opción si desea que se lleve a cabo la mismo acción para todos los tiposde virus o malware, excepto para los virus y malware probables. Si selecciona "Limpiar"


7-42

como primera acción, seleccione una segunda acción que OfficeScan realiza por si lalimpieza no se realiza correctamente. Si la primera acción no es "Limpiar" no se puedeestablecer una segunda acción.

Si elige "Limpiar" como primera acción, OfficeScan realiza la segunda acción cuandodetecta virus o malware probables.

Usar una acción específica para cada tipo de virus/malware

seleccionar manualmente una acción de exploración para cada tipo de virus o malware.

Todas las acciones de exploración están disponibles para todos los tipos de virus ymalware, excepto para los virus y malware probables. Si selecciona "Limpiar" comoprimera acción, seleccione una segunda acción que OfficeScan realiza por si la limpiezano se realiza correctamente. Si la primera acción no es "Limpiar" no se puede estableceruna segunda acción.

Para los virus y malware probables están disponibles todas las acciones de exploración,excepto "Limpiar".

Directorio de cuarentena

Si la acción que se debe llevar a cabo sobre un archivo infectado es "Poner encuarentena", el cliente de OfficeScan cifrará el archivo y lo moverá a una carpeta decuarentena temporal ubicada en la <Carpeta de instalación del servidor>\SUSPECT y, acontinuación, lo enviará al directorio de cuarentena especificado.

Nota

Puede restaurar archivos en cuarentena cifrados por si necesita acceder a ellos en el futuro.Para conocer más detalles, consulte Restaurar archivos cifrados en la página 7-46.

Acepte el directorio de cuarentena predeterminado, ubicado en el equipo del servidor deOfficeScan. El directorio se encuentra en formato de URL y contiene el nombre de hostdel servidor o la dirección IP.

• Si el servidor administra clientes tanto IPv4 como IPv6, utilice el nombre de hostpara que todos los clientes puedan enviar archivos de cuarentena al servidor.


7-43

• Si el servidor solo tiene dirección IPv4 o se identifica con esta, solo los clientes queutilicen IPv4 y los de doble pila pueden enviar archivos de cuarentena al servidor.

• Si el servidor solo tiene dirección IPv6 o se identifica con esta, solo los clientes queutilicen IPv6 y los de doble pila pueden enviar archivos de cuarentena al servidor.

También puede especificar un directorio de cuarentena alternativo escribiendo laubicación en formato de URL, ruta UNC o ruta de archivo absoluta. Los clientesdeberían poder conectarse a este directorio alternativo. Por ejemplo, el directorioalternativo debe tener una dirección IPv6 si va a recibir archivos de cuarentena declientes de doble pila y que solo utilicen IPv6. Trend Micro recomienda designar undirectorio alternativo de doble pila, identificar el directorio por su nombre de host yutilizar la ruta UNC al escribir el directorio.

Consulte la siguiente tabla para ver información sobre cuándo utilizar la URL, la rutaUNC o la ruta de archivos absoluta:

TABLA 7-12. Directorio de cuarentena

DIRECTORIO DECUARENTENA

FORMATOACEPTADO

EJEMPLO NOTAS

Un directorio enel equipo delservidor deOfficeScan

URL http://<osceserver>

Este es el directoriopredeterminado.

Defina la configuración de estedirectorio, como el tamaño de lacarpeta de cuarentena. Paraconocer más detalles, consulteAdministrador de cuarentena enla página 13-49.

Ruta UNC \\<osceserver>\ofcscan\Virus


7-44

DIRECTORIO DECUARENTENA

FORMATOACEPTADO

EJEMPLO NOTAS

Directorio de otroequipo delservidor deOfficeScan (encaso de disponerde otrosservidores deOfficeScan en lared)

URL http://<osceserver2>

Asegúrese de que los clientes sepueden conectar a este directorio.Si especifica un directorioincorrecto, el cliente deOfficeScan conservará losarchivos en cuarentena en lacarpeta SUSPECT hasta que seespecifique un directorio decuarentena correcto. En losregistros de virus/malware delservidor, el resultado de laexploración es "No se puedeenviar el archivo en cuarentena ala carpeta de cuarentenaindicada".

Si utiliza una ruta UNC,asegúrese de que la carpeta deldirectorio de cuarentena estácompartida con el grupo "Todos"y que este grupo tiene asignadosderechos de escritura y lectura.

Ruta UNC \\<osceserver2>\ofcscan\Virus

Otro equipo en lared

Ruta UNC \\<nombre_equipo>\temp

Otro directorio enel equipo clientede OfficeScan

Rutaabsoluta

C:\temp

Crear copia de seguridad antes de limpiar los archivos

Si OfficeScan está configurado para limpiar un archivo infectado, antes es posiblerealizar una copia de seguridad de éste. Esto le permitirá restaurarlo en caso de que lonecesite en el futuro. OfficeScan cifra el archivo de copia de seguridad para evitar que seabra, y después lo guarda en la <Carpeta de instalación del cliente>carpeta \Backup.

Para restaurar los archivos de copia de seguridad, consulte Restaurar archivos cifrados en lapágina 7-46.


Damage Cleanup Services limpia los equipos de virus basados en archivos y de red,además de restos de virus y gusanos (troyanos, entradas del registro y archivos víricos).


7-45

El cliente activa Damage Cleanup Services antes o después de la exploración de virus ymalware en función del tipo de exploración.

• Cuando se ejecutan la exploración manual, la exploración programada o Explorarahora, el cliente de OfficeScan activa Damage Cleanup Services en primer lugar y, acontinuación, comienza la exploración de virus y malware. El cliente puede activarde nuevo Damage Cleanup Services durante la exploración de virus y malware si seprecisa una limpieza.

• Durante la exploración en tiempo real, el cliente de OfficeScan realiza laexploración de virus y malware en primer lugar y, a continuación, activa DamageCleanup Services si se precisa una limpieza.

Puede seleccionar el tipo de limpieza que ejecuta Damage Cleanup Services:

• Limpieza estándar: el cliente de OfficeScan realiza una de las acciones siguientesdurante la limpieza estándar:

• Detecta y elimina troyanos activos

• Elimina los procesos creados por los troyanos

• Repara los archivos del sistema modificados por los troyanos

• Elimina los archivos y aplicaciones depositados por los troyanos

• Limpieza avanzada: Además de las acciones de la limpieza estándar, el cliente deOfficeScan detiene las actividades llevadas a cabo por rogueware, tambiénconocido como falso antivirus. Además, el cliente de OfficeScan cuenta con reglasde limpieza avanzadas que permiten detectar y detener de forma proactiva lasaplicaciones que presentan comportamientos propios del falso antivirus.

NotaLa limpieza avanzada proporciona una protección proactiva, pero al mismo tiempodevuelve un número elevado de falsos positivos.

Damage Cleanup Services no realiza la limpieza de virus y malware probables a menosque se seleccione la opción Ejecutar la limpieza cuando se detecte una posibleamenaza de virus/malware Solo se puede seleccionar esta opción si la acción para losvirus y el malware probables no es Omitir ni Denegar acceso. Por ejemplo, si el cliente


7-46

de OfficeScan detecta virus o malware probables durante la exploración en tiempo real yla acción establecida es la cuarentena, el cliente de OfficeScan pone en cuarentena elarchivo infectado en primer lugar y, a continuación, ejecuta la limpieza si es necesario. Eltipo de limpieza (estándar o avanzada) depende de la selección realizada.

Mostrar un mensaje de notificación cuando se detecte unvirus/malware

Cuando OfficeScan detecta virus o malware durante la Exploración en tiempo real y laExploración programada, puede mostrar un mensaje en el que se informa al usuarioacerca de la detección.

Para modificar el mensaje de notificación, vaya a la pestaña Virus/Malware enNotificaciones > Notificaciones a los usuarios de los clientes.

Mostrar un mensaje de notificación cuando se detecte unprobable virus/malware

Cuando OfficeScan detecta virus o malware probables durante la exploración en tiemporeal y la exploración programada, puede mostrar un mensaje en el que se informa alusuario acerca de la detección.

Para modificar el mensaje de notificación, vaya a la pestaña Virus/Malware enNotificaciones > Notificaciones a los usuarios de los clientes.

Restaurar archivos cifrados

Para evitar que se abra un archivo infectado, OfficeScan lo cifra:

• Antes de ponerlo en cuarentena

• Al realizar una copia de seguridad de él anterior a su limpieza

OfficeScan proporciona una herramienta que descifra y después recupera el archivo encaso de que necesite recuperar información de él. OfficeScan puede descifrar y recuperarlos siguientes archivos:


7-47

TABLA 7-13. Archivos que OfficeScan puede descifrar y restaurar

ARCHIVO DESCRIPCIÓN

Archivos encuarentena en elequipo cliente

Estos archivos se encuentran en la <Carpeta de instalación delcliente> carpeta\SUSPECT\Backup y se purganautomáticamente pasados siete días. Estos archivos tambiénse cargan al directorio de cuarentena designado del servidorde OfficeScan.

Archivos encuarentena deldirectorio decuarentena designado

De forma predeterminada, este directorio está ubicado en elequipo del servidor de OfficeScan. Para conocer más detalles,consulte Directorio de cuarentena en la página 7-42.

Copias de seguridadde los archivoscifrados

Estas son las copias de seguridad de los archivos infectadosque OfficeScan ha podido limpiar. Estos archivos seencuentran en la <Carpeta de instalación del cliente>carpeta\Backup. Para restaurar estos archivos, es necesarioque los usuarios los muevan a la <Carpeta de instalacióndel cliente> carpeta\SUSPECT\Backup.

OfficeScan solo realiza copias de seguridad y cifra los archivosantes de limpiarlos si selecciona la acción Crear copia deseguridad del archivo antes de limpiarlo en Equipos en red> Administración de clientes>Configuración >Configuración de la exploración > {Tipo de exploración} >Acción.

¡ADVERTENCIA!Si se recupera un archivo infectado, el virus o malware podría propagarse a otros archivos yequipos. Antes de restaurar el archivo, aísle el equipo infectado y mueva archivosimportantes de este equipo a una ubicación de copia de seguridad.

Descifrado y restauración de archivos

Procedimiento

• Si el archivo se encuentra en el equipo cliente de OfficeScan:

a. Abra el símbolo del sistema y vaya a la <Carpeta de instalación del cliente>.


7-48

b. Ejecute el archivo VSEncode.exe escribiendo lo siguiente:

VSEncode.exe /u

Este parámetro hace que se abra una pantalla en la que aparece una lista de losarchivos que se encuentran en la <Carpeta de instalación delcliente>\SUSPECT\Backup.

c. Seleccione un archivo para restaurar y haga clic en Restaurar. La herramientasólo puede restaurar los archivos de uno en uno.

d. En la pantalla que se abre, especifique la carpeta en la que desea restaurar elarchivo.

e. Haga clic en Aceptar. El archivo se restaurará en la carpeta especificada.

NotaEs posible que en cuanto el archivo se restaure, OfficeScan lo escanee de nuevoy lo trate como si estuviera infectado. Para evitar que esto ocurra, agréguelo a laLista de Exclusiones de la exploración. Consulte Exclusiones de la exploración en lapágina 7-33 para obtener más información.

f. Haga clic en Cerrar cuando haya terminado de restaurar los archivos.

• Si el archivo se encuentra en el servidor de OfficeScan en un directorio decuarentena personalizado:

a. Si el archivo se encuentra en el equipo del servidor de OfficeScan, abra elsímbolo del sistema y vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\VSEncrypt.

Si el archivo se encuentra en un directorio de cuarentena personalizado, vaya ala <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility y copie la carpeta VSEncrypt en el equipo en el que se encuentrael directorio de cuarentena personalizado.

b. Cree un archivo de texto y escriba a continuación la ruta completa de losarchivos que desee cifrar o descifrar.

Por ejemplo, para restaurar los archivos de C:\Mis documentos\Informes, escriba C:\Mis documentos\Informes\*.* en elarchivo de texto.


7-49

Los archivos en cuarenta del equipo del servidor de OfficeScan se encuentranen la <Carpeta de instalación del servidor>\PCCSRV\Virus.

c. Guarde el archivo de texto con una extensión INI o TXT. Por ejemplo,guárdelo con el nombre ParaCifrar.ini en la unidad C: .

d. Abra el símbolo del sistema y vaya al directorio en el que se encuentra lacarpeta VSEncrypt.

e. Ejecute el archivo VSEncode.exe escribiendo lo siguiente:

VSEncode.exe /d /i <ubicación del archivo INI o TXT>

Donde:

<ubicación del archivo INI o TXT> es la ruta del archivo INI oTXT que ha creado (por ejemplo, C:\ParaCifrar.ini).

f. Utilice los otros parámetros para emitir varios comandos.

TABLA 7-14. Restaurar parámetros


Ninguno (sinparámetros)

Cifrar archivos

/d Descifrar archivos

/debug Cree un registro de depuración y guárdelo en elequipo. En el equipo cliente de OfficeScan, elregistro de depuración VSEncrypt.log se crea en la<Carpeta de instalación del cliente>.

/o Sobrescribe un archivo cifrado o descifrado si yaexiste.

/f <nombre delarchivo>

Cifra o descifra un único archivo

/nr No restaura el nombre del archivo original

/v Muestra información acerca de la herramienta

/u Inicia la interfaz de usuario de la herramienta


7-50


/r <Carpeta dedestino>

La carpeta en la que se restaurará un archivo

/s <Nombre del archivooriginal>

El nombre del archivo cifrado original

Por ejemplo, escriba VSEncode [/d] [/debug] para descifrar los archivosde la carpeta Suspect y crear un registro de depuración. Cuando se descifrao cifra un archivo, OfficeScan crea el archivo descifrado o cifrado en la mismacarpeta. Antes de descifrar o cifrar un archivo, asegúrese de que no estábloqueado.

Acciones de exploración de spyware y graywareLa acción de exploración que OfficeScan realiza depende del tipo de exploración que hadetectado el spyware/grayware. Mientras que para cada tipo de virus o malware sepueden configurar determinadas acciones, para todos los tipos de spyware y graywaresólo se puede configurar una única acción (para obtener más información sobre losdistintos tipos de spyware y grayware, consulte Spyware y grayware en la página 7-4). Porejemplo, cuando OfficeScan detecta cualquier tipo de spyware/grayware durante laExploración manual (tipo de exploración), limpia (acción) los recursos del sistemaafectados.

A continuación se describen las acciones que OfficeScan puede llevar a cabo para hacerfrente a spyware y grayware.

TABLA 7-15. Acciones de exploración de spyware y grayware


Limpiar OfficeScan finaliza los procesos o elimina los registros, archivos, cookiesy accesos directos.

Después de limpiar el spyware o grayware, los clientes de OfficeScanrealizan una copia de seguridad de los datos de spyware y grayware quepuede restaurar si considera que no es peligroso acceder a estos casosde spyware y grayware. Consulte Restaurar spyware/grayware en lapágina 7-54 para obtener más información.


7-51


Omitir OfficeScan no realiza ninguna acción sobre los componentes de spyware/grayware detectados pero registra la detección de spyware/grayware enlos registros. Esta acción sólo se puede llevar a cabo durante laExploración manual, la Exploración programada y Explorar ahora.Durante el Escaneo en tiempo real, la acción es "Denegar acceso".

OfficeScan no llevará a cabo ninguna acción si el spywareo graywaredetectado está incluido en la lista de permitidos. Consulte Lista despyware/grayware permitido en la página 7-51 para obtener másinformación.

Denegaracceso

OfficeScan deniega el acceso a los componentes de spyware/graywaredetectados para copiarlos o abrirlos Esta acción sólo se puede llevar acabo durante la Exploración en tiempo real. Durante el Escaneo manual,los Escaneos programados y Explorar ahora, la acción es "Omitir".

Mostrar un mensaje de notificación al detectar spyware ograyware.Cuando OfficeScan detecta spyware o grayware durante la Exploración en tiempo real yla Exploración programada, puede mostrar un mensaje en el que se informa al usuarioacerca de la detección.

Para modificar el mensaje de notificación, vaya a la pestaña Notificaciones >Notificaciones a los usuarios de los clientes y, a continuación, haga clic en la pestañaSpyware/Grayware.

Lista de spyware/grayware permitidoOfficeScan ofrece una lista de spyware y grayware "permitido" que contiene los archivoso las aplicaciones que no desea que se traten como spyware y grayware. Cuando sedetecta un spyware y grayware determinado durante el proceso de exploración,OfficeScan revisa la lista de spyware y grayware permitido y no realiza ninguna acción siencuentra alguna coincidencia entre lo detectado y algún elemento de la lista.

Aplique la lista de spyware y grayware permitido a uno o varios clientes y dominios, o atodos los clientes que administra el servidor. La lista de spyware y grayware permitido seaplica a todos los tipos de exploraciones, lo que significa que se utilizará la misma lista


7-52

para la Exploración manual, la Exploración en tiempo real, la Exploración programada yExplorar ahora.

Adición del spyware/grayware ya detectado a la Lista dePermitidos.

Procedimiento

1. Vaya a una de las siguientes opciones:

• Equipos en red > Administración de clientes

• Registros > Registros de equipos conectados en red > Riesgos deseguridad


3. Haga clic en Registros > Registros de spyware y grayware o Ver registros >Registros de spyware y grayware.

4. Especifique los criterios de los registros y, después, haga clic en Mostrar registros.

5. Seleccione los registros y haga clic en Agregar a lista de permitidos.

6. Aplique el spyware y grayware solo a los equipos cliente seleccionados o adeterminados dominios.

7. Haga clic en Guardar. Los clientes seleccionados aplican la configuración y elservidor de OfficeScan añade el spyware/grayware a la lista de permitidos que seencuentra en Equipos en red > Administración de clientes >Configuración >Lista de spyware/grayware permitido.

Nota

OfficeScan admite un máximo de 1.024 elementos de spyware/grayware en la lista depermitidos.


7-53

Administrar la lista de spyware/grayware permitido

Procedimiento



3. Haga clic en Configuración > Lista de spyware/grayware permitido.

4. En la tabla Nombres de spyware y grayware, seleccione un nombre de spyware ygrayware. Para seleccionar varios nombres, mantenga pulsada la tecla Ctrl mientrasrealiza las selecciones individuales.

• También puede escribir una palabra clave en el campo Buscar y hacer clic enBuscar. OfficeScan actualizará la tabla con los nombres que coincidan con lapalabra clave.


Los nombres se mueven a la tabla Lista de permitidos.

6. Para quitar nombres de la lista permitida, seleccione los nombre que desee y hagaclic en Quitar. Para seleccionar varios nombres, mantenga pulsada la tecla Ctrlmientras realiza las selecciones individuales.





7-54

Restaurar spyware/grayware

Tras limpiar el spyware y grayware, los clientes de OfficeScan realizan una copia deseguridad de los datos del spyware y grayware. Avise a un cliente que esté en línea paraque restaure los datos de los cuales se ha realizado una copia de seguridad si consideraque estos son inofensivos. Seleccione los datos de spyware/grayware que se restauraránsegún la hora de la copia de seguridad.

Nota

Los usuarios del cliente de OfficeScan no pueden iniciar la restauración de spyware ygrayware y no reciben ninguna notificación sobre qué datos guardados como copia deseguridad podía restaurar el cliente.

Procedimiento


2. En el árbol de clientes, abra un dominio y, a continuación, seleccione un cliente.

Nota

Los clientes solo pueden realizar la restauración de spyware y grayware de uno enuno.

3. Haga clic en Tareas > Restaurar spyware y grayware.

4. Para ver los elementos que se restaurarán de cada segmento de datos, haga clic enVer.

Se abrirá una nueva pantalla. Haga clic en Atrás para volver a la pantalla anterior.

5. Seleccione los segmentos de datos que desea restaurar.

6. Haga clic en Restaurar.

OfficeScan le notificará el estado de la restauración. Revise los registros derestauración de spyware y grayware si desea consultar un informe completo.


7-55

Consulte Visualización de los registros de restauración de spyware y grayware en la página7-100 para obtener más información.

Derechos y otras configuraciones de laexploración

Los usuarios con derechos de exploración tienen mayor control sobre la forma deexploración de los archivos en sus equipos. Los derechos de exploración permiten a losusuarios o al cliente de OfficeScan llevar a cabo las siguientes tareas:

• Los usuarios pueden definir la configuración de la exploración manual, laexploración programada y la exploración en tiempo real. Para conocer más detalles,consulte Derechos de tipo de exploración en la página 7-55.

• Los usuarios pueden posponer, detener u omitir la exploración programada. Paraconocer más detalles, consulte Derechos y otras configuraciones de la exploraciónprogramada en la página 7-58.

• Los usuarios activan la exploración de los mensajes de correo electrónico POP3 yde Microsoft Outlook en busca de virus o malware. Para conocer más detalles,consulte Derechos y otras configuraciones de la exploración del correo en la página 7-63.

• El cliente de OfficeScan puede utilizar la configuración de la caché para mejorar elrendimiento de la exploración. Para conocer más detalles, consulte Configuración dela caché para las exploraciones en la página 7-67.

Derechos de tipo de exploraciónPermite a los clientes configurar su propia configuración de Exploración manual,Exploración en tiempo real y Exploración programada.


7-56

Concesión de derechos de tipo de exploración

Procedimiento




4. En la pestaña Derechos, vaya a la sección Derechos de exploración.

5. Seleccione los tipos de exploración que los usuarios tienen permiso para configurar.




Configuración de la configuración de exploración para losequipos cliente de OfficeScan

Procedimiento

1. Haga clic con el botón derecho del ratón en el icono del cliente de OfficeScan de labandeja del sistema y seleccione Consola de OfficeScan.

2. Haga clic en Configuración > {tipo de exploración}.


7-57

FIGURA 7-1. Configuración de la exploración en la consola del cliente deOfficeScan


• Configuración de la exploración manual: Archivos para explorar,Configuración de la exploración, Uso de la CPU, Exclusiones de laexploración y Acciones de exploración


7-58

• Configuración de la exploración en tiempo real: Actividad de los usuarios enlos archivos, Archivos para explorar, Configuración de la exploración,Exclusiones de la exploración y Acciones de exploración

• Configuración de la exploración programada: Programa, Archivos paraexplorar, Configuración de la exploración, Uso de la CPU, Exclusiones de laexploración y Acciones de exploración


Derechos y otras configuraciones de la exploraciónprogramada

Si la exploración programada se ha establecido para que se ejecute en el cliente, losusuarios pueden aplazar y omitir o detener la exploración programada.

Posponer la exploración programada

Los usuarios con el derecho "Posponer la exploración programada" pueden llevar a cabolas acciones siguientes:

• Posponer la exploración programada antes de que se ejecute y especificar laduración del aplazamiento. La exploración programada solo puede posponerse unavez.

• En caso de que la Exploración programada esté en curso, los usuarios puedendetener la exploración y reiniciarla más tarde. Los usuarios pueden especificar eltiempo que debe transcurrir para que se reinicie la exploración. Cuando se reiniciela exploración, se volverán a explorar todos los archivos anteriormente explorados.Puede detener la exploración programada y reiniciarla solo una vez.


7-59

NotaLa duración del aplazamiento y el tiempo transcurrido que los usuarios pueden especificarcomo mínimo es de 15 minutos. El máximo es de 12 horas y 45 minutos, periodo quepuede reducir en Equipos en red > Configuración general del cliente. En la secciónConfiguración de la exploración programada, modifique el parámetro de configuraciónPosponer la exploración programada hasta __ horas y __ minutos.

Omitir y detener la exploración programadaEste derecho permite a los usuarios llevar a cabo las opciones siguientes:

• Omitir la exploración programada antes de que se ejecute

• Detener la exploración programada si está en curso

Notificación de derechos de exploración programadaPara que los usuarios puedan beneficiarse de los derechos de exploración programada,recuérdeles los derechos que les ha concedido mediante la configuración de OfficeScanpara que muestre un mensaje de notificación antes de ejecutar la exploraciónprogramada.

Concesión de derechos de exploración programada yvisualización de la notificación de los derechos

Procedimiento




4. En la pestaña Derechos, vaya a la sección Derechos de exploraciónprogramada.



7-60

• Posponer la exploración programada

• Omitir y detener la exploración programada

6. Haga clic en la pestaña Otras configuraciones y vaya a la sección Configuraciónde la exploración programada.

7. Seleccione Mostrar una notificación antes de que se produzca unaexploración programada

Al activar esta opción, aparece un mensaje de notificación en el equipo clienteminutos antes de que se ejecute la exploración. Los usuarios reciben la notificaciónde la exploración programada (fecha y hora) y sus derechos de exploraciónprogramada, tales como posponer, omitir o detener la exploración.

NotaPuede configurar el número de minutos. Para configurar la cantidad de minutos, vayaa Equipos en red > Configuración general del cliente. En la secciónConfiguración de la exploración programada, modifique el parámetro deconfiguración Recordar a los usuarios la exploración programada __ minutosantes de que se ejecute.





7-61

Posponer/omitir y detener la Exploración programada en elequipo cliente

Procedimiento

• Si no ha comenzado la exploración programada:

a. Haga clic con el botón derecho del ratón en el icono del cliente de OfficeScansituado en la bandeja del sistema y seleccione Configuración avanzada de laexploración programada.

FIGURA 7-2. Opción Configuración avanzada de la exploración programada


7-62

NotaLos usuarios no tienen que aplicar este paso si se activa el mensaje denotificación y se configura para que aparezcan minutos antes de que se ejecutela Exploración programada. Para obtener información detallada acerca delmensaje de notificación, consulte Notificación de derechos de exploración programadaen la página 7-59.

b. En la ventana de notificación que aparece, seleccione alguna de las opcionessiguientes:

• Posponer la exploración __ horas y __ minutos.

• Omitir esta exploración programada. Las siguientes exploracionesprogramadas se ejecutan en <fecha> a la(s) <hora>.

FIGURA 7-3. Derechos de exploración programada en el equipo cliente deOfficeScan

• Si la exploración programada está en curso:

a. Haga clic con el botón derecho del ratón en el icono del cliente de OfficeScansituado en la bandeja del sistema y seleccione Configuración avanzada de laexploración programada.


7-63

b. En la ventana de notificación que aparece, seleccione alguna de las opcionessiguientes:

• Detener la exploración. Reiniciar la exploración tras __ horas y __minutos.

• Detener la exploración. Las siguientes exploraciones programadasse ejecutan en <fecha> a la(s) <hora>.

FIGURA 7-4. Derechos de exploración programada en el equipo cliente deOfficeScan

Derechos y otras configuraciones de la exploración delcorreo

Si los clientes disponen de los derechos de exploración del correo, la pestañaExploración de correo se visualizará en la consola del cliente de OfficeScan. La


7-64

pestaña Exploración de correo muestra dos programas de exploración del correo:exploración del correo de Outlook y exploración del correo POP3.

FIGURA 7-5. Pestaña Exploración de correo de la consola del cliente de OfficeScan

La siguiente tabla describe los programas de exploración del correo de Outlook y POP3.

TABLA 7-16. Programas de exploración de correo

DETALLES OUTLOOK MAIL SCAN POP3 MAIL SCAN

Objetivo Explora los mensajes de correoelectrónico de Microsoft Outlooken busca de virus y malware.

Explora los mensajes de correoelectrónico de POP3 en busca devirus y malware.


7-65


Requisitosprevios

Los usuarios deben instalarlodesde la consola del cliente deOfficeScan para poder utilizarlo

• Los administradores debenhabilitarlo desde la consolaWeb para que los usuariospuedan utilizarlo

NotaPara habilitar POP3 MailScan, consulteConcesión de derechosde exploración de correoy habilitación de laexploración del correoPOP3 en la página7-66.

• Acción contra los virus y elmalware configurable desde laconsola del cliente deOfficeScan pero no desde laconsola Web

Tipos deexploracióncompatibles

Exploración manual

La exploración solo se realizacuando los usuarios hacen clic enExplorar ahora en la pestañaExploración de correo de laconsola del cliente de OfficeScan.

Exploración en tiempo real

La exploración se realiza a medidaque se recuperan los mensajes decorreo electrónico del servidor decorreo POP3.

Resultadosde laexploración

• Información sobre los riesgosde seguridad detectadosdisponible tras la finalizaciónde la exploración

• Resultados de la exploraciónno registrados en la pantallaRegistros de la consola delcliente de OfficeScan

• Resultados de la exploraciónno enviados al servidor

• Información sobre los riesgosde seguridad detectadosdisponible tras la finalizaciónde la exploración

• Resultados de la exploraciónno registrados en la pantallaRegistros de la consola delcliente de OfficeScan

• Resultados de la exploraciónno enviados al servidor


7-66


Otrosdetalles

Ninguna Comparte el servicio proxy deOfficeScan NT (TMProxy.exe) conla función de reputación Web

Concesión de derechos de exploración de correo yhabilitación de la exploración del correo POP3

Procedimiento




4. En la pestaña Derechos, vaya a la sección Derechos de exploración de correo.

5. Seleccione Mostrar la pestaña Exploración de correo en la consola del cliente.

6. Haga clic en la pestaña Otras configuraciones y vaya a la sección Configuraciónde la exploración del correo electrónico POP3.

7. Seleccione Explorar el correo POP3.





7-67

Configuración de la caché para las exploracionesEl cliente de OfficeScan puede generar los archivos de caché de la firma digital y de laexploración a petición para mejorar el rendimiento de su exploración. Cuando se ejecutauna exploración a petición, el cliente de OfficeScan comprueba en primer lugar elarchivo de caché de la firma digital y, después, el archivo de caché de la exploración apetición en busca de archivos que se deban excluir de la exploración. La duración de laexploración se reduce si se excluye un gran numero de archivos.

Caché de la firma digitalEl archivo de caché de la firma digital se utiliza durante la exploración manual, laexploración programada y Explorar ahora. Los clientes no exploran los archivos cuyascachés se hayan agregado al archivo de caché de la firma digital.

El cliente de OfficeScan utiliza el mismo Digital Signature Pattern utilizado en la funciónSupervisión del comportamiento para generar el archivo de caché de la firma digital.Digital Signature Pattern contiene una lista de archivos que Trend Micro considerafiables y, por lo tanto, que se pueden excluir de las exploraciones.

NotaLa función Supervisión del comportamiento se desactiva de forma automática en lasplataformas de servidor de Windows (la compatibilidad con las versiones de 64 bits paraWindows XP, 2003 y Vista sin SP1 no se encuentra disponible). Si se activa la caché de lafirma digital, los clientes de OfficeScan de estas plataformas descargan Digital SignaturePattern para utilizarlo en la caché y no descargan el resto de componentes de Supervisióndel comportamiento.

Los clientes generan el archivo de caché de la firma digital de acuerdo a un programa,que se puede configurar en la consola Web. Los clientes hacen tal cosa para:

• Agregar la caché para nuevos archivos que se han introducido en el sistema desdeque se generó el último archivo de caché.

• Eliminar la caché para los archivos que se han modificado o eliminado del sistema.

Durante el proceso de generación de la caché, los clientes comprueban las siguientescarpetas en busca de archivos fiables y, a continuación, agregan las cachés de estosarchivos al archivo de caché de la firma digital:


7-68

• %PROGRAMFILES%

• %WINDIR%

El proceso de generación de la caché no afecta al rendimiento del equipo, ya que losclientes utilizan una cantidad mínima de recursos del sistema durante el proceso. Losclientes también pueden reanudar una tarea de generación de caché que se hayainterrumpido por alguna razón (por ejemplo, cuando el equipo host se encuentraapagado o cuando el adaptador de CA de un equipo inalámbrico se encuentradesenchufado).

Caché de la exploración bajo peticiónEl archivo de caché de la exploración a petición se utiliza durante la exploración manual,la exploración programada y Explorar ahora. Los clientes de OfficeScan no exploran losarchivos cuyas cachés se hayan agregado al archivo de caché de la exploración a petición.

Cada vez que se ejecuta una exploración, el cliente de OfficeScan comprueba laspropiedades de los archivos libres de amenazas. Si un archivo libre de amenazas no se hamodificado durante un periodo concreto de tiempo (que se puede configurar), el clientede OfficeScan agrega la caché del archivo al archivo de caché de la exploración apetición. Cuando se produce la siguiente exploración, el archivo no se explora a menosque haya caducado su caché.

La caché de un archivo libre de amenazas caduca una vez transcurrido un número dedías concreto (que también se puede configurar). Cuando la exploración se realiza apartir de la caducidad de la caché, el cliente de OfficeScan elimina la caché caducada yexplora el archivo en busca de amenazas. Si el archivo está libre de amenazas y sigue sinpresentar modificaciones, la caché del archivo se vuelve a agregar al archivo de caché dela exploración a petición. Si el archivo está libre de amenazas, pero se ha modificadorecientemente, la caché no se agrega y el archivo se incluye en la siguiente exploraciónque se realice.

La caché de un archivo libre de amenazas caduca con el fin de prevenir la exclusión dearchivos infectados de las exploraciones, como se ilustra en los siguientes ejemplos:

• Es posible que un archivo de patrones muy desactualizado haya considerado unarchivo infectado y no modificado como libre de amenazas. Si la caché no caduca,el archivo infectado permanece en el sistema hasta que se modifique y lo detecteuna exploración en tiempo real.


7-69

• Si un archivo de caché se ha modificado y la exploración en tiempo real no seencuentra operativa durante la modificación, la caché ha de caducar para que dichoarchivo se explore en busca de amenazas.

El número de cachés agregadas al archivo de caché de la exploración a petición dependedel tipo y el objetivo de la exploración. Por ejemplo, el número de cachés puede sermenor si el cliente de OfficeScan explora solo 200 de los 1.000 archivos de un equipodurante la exploración manual.

Si se realizan exploraciones a petición con frecuencia, el archivo de caché de este tipo deexploración reduce la duración de la exploración significativamente. En una tarea deexploración en la que ninguna de las cachés haya caducado, una exploración quenormalmente tarda 12 minutos se puede reducir a 1 minuto. Normalmente, reducir elnúmero de días que un archivo debe permanecer sin modificar y ampliar la caducidad dela caché mejoran el rendimiento. Ya que los archivos deben permanecer sin modificardurante un periodo de tiempo relativamente corto, se pueden agregar más cachés alarchivo de caché. El periodo de caducidad de las cachés también es más largo, por loque son más los archivos que se omiten en la exploración.

Si rara vez ejecuta exploraciones a petición, puede desactivar la caché de la exploración apetición, ya que caducaría antes de que la siguiente exploración se ejecute.

Configuración de la caché para las exploraciones

Procedimiento




4. Haga clic en la pestaña Otras configuraciones y vaya a la sección Configuraciónde la caché para las exploraciones.

5. Configure la caché de la firma digital.

a. Seleccione Activar caché de la firma digital.


7-70

b. En Crear caché cada __ días, especifique la frecuencia con la que el clientegenera la caché.

6. Configure la caché para la exploración a petición.

a. Seleccione Activar caché de la exploración bajo petición.

b. En Agregar caché para guardar los archivos que no han sufridocambios durante __ días, especifique el número de días que un archivo debepermanecer sin modificaciones para que se incluya en la caché.

c. En La caché de cada archivo seguro caduca en __ días, especifique elnúmero de días máximo que una caché permanece en el archivo de caché.

NotaPara evitar que todas las cachés agregadas durante una exploración caduquen elmismo día, las expiraciones se producen de forma aleatoria dentro del númerode días máximo especificado. Por ejemplo, si se han agregado 500 cachés a lacaché hoy y el número máximo de días especificado es 10, una parte de lascachés caducará al día siguiente y la mayoría de ellas en los días posteriores. Aldécimo día, caducarán todas las cachés restantes.




Configuración general de la exploraciónLa configuración general de la exploración se aplica a los clientes de varias formas.


7-71

• Una configuración concreta de la exploración se puede aplicar a todos los clientesque administra el servidor o sólo a los clientes que tengan ciertos derechos deexploración. Por ejemplo, si define la duración de la exploración programadapospuesta, sólo los clientes con derecho a posponer la exploración programadautilizarán la configuración.

• Una configuración de exploración determinada se puede aplicar a todos los tipos deexploración o sólo a uno en concreto. Por ejemplo, en equipos que tieneninstalados el servidor de OfficeScan y el cliente de OfficeScan, puede excluir de laexploración la base de datos del servidor de OfficeScan. Sin embargo, estaconfiguración se aplica sólo durante la exploración en tiempo real.

• Una configuración de la exploración determinada se puede aplicar a la exploraciónde viruso malware, de spyware o grayware, o a ambas. Por ejemplo, el modo devaloración sólo se aplica durante la exploración de spyware o grayware.

Configuración general de la exploración

Procedimiento


2. Configure la Configuración general de la exploración en cada una de la seccionesdisponibles.

• Sección Configuración de la exploración en la página 7-71

• Sección Configuración de la exploración programada en la página 7-78

• Sección Configuración del ancho de banda del registro de virus/malware en la página 7-81


Sección Configuración de la exploración

La sección Configuración de la exploración de la Configuración general de laexploración permite a los administradores configurar lo siguiente:


7-72

• Defina la configuración de la exploración para archivos comprimidos de gran tamaño en la página7-72

• Agregar la exploración manual al menú de acceso directo de Windows de los equipos cliente deOfficeScan en la página 7-72

• Excluir la carpeta de la base de datos del servidor de OfficeScan de la exploración en tiempo realen la página 7-73

• Excluir los archivos y las carpetas del servidor de Microsoft Exchange de las exploraciones en lapágina 7-74

• Activar la exploración retardada en operaciones de archivos en la página 7-74

• Limpiar y eliminar archivos infectados dentro de archivos comprimidos en la página 7-75

• Activar el modo de valoración en la página 7-77

• Buscar cookies en la página 7-78

Defina la configuración de la exploración para archivoscomprimidos de gran tamaño

Todos los clientes de OfficeScan gestionados por el servidor comprueban los siguientesvalores de configuración a la hora de explorar archivos comprimidos para buscar virus,malware, spyware y grayware cuando se utilizan las opciones Exploración manual,Exploración en tiempo real, Exploración programada y Explorar ahora:

• No explorar archivos del archivo comprimido si su tamaño supera __ MB:OfficeScan no explora ningún archivo que supere el límite.

• En un archivo comprimido, explorar solo los primeros __ archivos: trasdescomprimir un archivo comprimido, OfficeScan explora el número de archivosespecificado y omite el resto (si hay alguno más).

Agregar la exploración manual al menú de acceso directode Windows de los equipos cliente de OfficeScan

Cuando esta configuración está activada, todos los clientes de OfficeScan gestionadospor el servidor añaden una opción de Explorar con el cliente de OfficeScan al menú


7-73

del Explorador de Windows que se activa al hacer clic con el botón derecho. Cuando losusuarios hacen clic con el botón derecho en un archivo o carpeta en el escritorio deWindows o en el Explorador de Windows y seleccionan esta opción, la exploraciónmanual explora el archivo o la carpeta para comprobar si existen virus, malware, spywarey grayware.

FIGURA 7-6. Opción Explorar con el cliente de OfficeScan

Excluir la carpeta de la base de datos del servidor deOfficeScan de la exploración en tiempo real

En caso de que el servidor y el cliente de OfficeScan se encuentren en el mismo equipo,el cliente de OfficeScan no explorará la base de datos del servidor en busca de virus,malware, spyware y grayware durante la exploración en tiempo real.

Consejo

Active esta configuración para impedir que la base de datos sufra los daños que puedenprovocarse durante la exploración.


7-74

Excluir los archivos y las carpetas del servidor de MicrosoftExchange de las exploraciones

En caso de que el cliente de OfficeScan y un servidor de Microsoft Exchange 2000 o2003 se encuentren en el mismo equipo, OfficeScan no explorará las siguientes carpetasy archivos del servidor de Microsoft Exchange para comprobar si hay virus, malware,spyware y grayware durante los procesos de Exploración manual, Exploración en tiemporeal, Exploración programada y Explorar ahora.

• Las siguientes carpetas ubicadas en \Exchsrvr\Mailroot\vsi 1: Queue,PickUp y BadMail

• .\Exchsrvr\mdbdata, incluidos estos archivos: priv1.stm, priv1.edb,pub1.stm y pub1.edb

• .\Exchsrvr\Storage Group

En Microsoft Exchange 2007 o versiones posteriores, es necesario añadir manualmentelas carpetas a la lista de exclusión de la exploración. Para consultar información detalladasobre las exclusiones de la exploración, consulte el siguiente sitio Web:


Consulte Exclusiones de la exploración en la página 7-33 para conocer los pasos que hay queseguir a la hora de configurar la lista de exclusión de la exploración.

Activar la exploración retardada en operaciones de archivos

Los administradores pueden configurar OfficeScan para retardar la exploración dearchivos. OfficeScan permite al usuario copiar archivos y, a continuación, explora losarchivos una vez que ha finalizado el proceso de copia. Esta exploración retardadamejora el rendimiento de los procesos de copia y exploración.

Nota

La exploración retardada requiere que el motor de exploración antivirus (VSAPI) sea laversión 9.713 o posterior. Para obtener más información sobre la actualización de esteservidor, consulte Actualización manual del servidor de OfficeScan en la página 6-26



7-75

Limpiar y eliminar archivos infectados dentro de archivoscomprimidosCuando todos los clientes gestionados por el servidor detectan virus o malware dentrode archivos comprimidos durante los procesos de Exploración manual, Exploración entiempo real, Exploración programada y Explorar ahora y, además, se cumplen lassiguientes condiciones, los clientes limpian o eliminan los archivos infectados.

• "Limpiar" o "Eliminar" es la acción definida para OfficeScan. Compruebe la acciónque OfficeScan lleva a cabo sobre los archivos infectados en Equipos en red >Administración de clientes > Configuración > Configuración de laexploración > {Tipo de exploración} > Acción.

• Puede activar esta configuración. Al activar esta configuración, puede aumentar eluso de los recursos del equipo durante la exploración y, además, la exploraciónpuede tardar más tiempo en completarse. Esto se debe a que OfficeScan tiene quedescomprimir el archivo, limpiar o eliminar los archivos infectados que seencuentran en el archivo comprimido y, a continuación, volver a comprimir elarchivo.

• Se admite el formato de archivo comprimido. OfficeScan solo admite ciertosformatos de archivo comprimido, incluidos ZIP y Office Open XML, que utilizalas tecnologías de compresión ZIP. Office Open XML es el formatopredeterminado para las aplicaciones de Microsoft Office 2007 tales como Excel,PowerPoint y Word.

Notapóngase en contacto con su proveedor de asistencia para obtener una lista completade formatos de archivo comprimidos.

Por ejemplo, la exploración en tiempo real está definida para que elimine los archivosinfectados por virus. Después de que la exploración en tiempo real descomprime unarchivo comprimido denominado abc.zip y detecta un archivo infectado llamado123.doc dentro del archivo comprimido, OfficeScan elimina 123.doc y, acontinuación, vuelve a comprimir abc.zip, al que ahora se puede acceder conseguridad.

En la siguiente tabla se describe lo que sucede si no se cumple ninguna de lascondiciones.


7-76

TABLA 7-17. Situaciones y resultados de los archivos comprimidos

ESTADO DE"LIMPIAR/ELIMINARARCHIVOS

INFECTADOSDENTRO DEARCHIVOS

COMPRIMIDOS"

ACCIÓN QUEDEBE REALIZAROFFICESCAN

FORMATO DEARCHIVO

COMPRIMIDORESULTADO

Activada Limpiar oeliminar

Incompatible

Ejemplo: def.rarcontiene elarchivo infectado123.doc.

OfficeScan cifra def.rar pero nolo limpia, elimina ni realizaninguna otra acción en 123.doc.

Desactivada Limpiar oeliminar

Compatible/Nocompatible

Ejemplo: abc.zipcontiene elarchivo infectado123.doc.

OfficeScan no limpia, elimina nirealiza ninguna otra acción sobreabc.zip y 123.doc.


7-77

ESTADO DE"LIMPIAR/ELIMINARARCHIVOS

INFECTADOSDENTRO DEARCHIVOS

COMPRIMIDOS"

ACCIÓN QUEDEBE REALIZAROFFICESCAN

FORMATO DEARCHIVO

COMPRIMIDORESULTADO

Activado/Desactivado

Sin limpiar oEliminar (enotraspalabras,cualquiera delas accionessiguientes:Cambiarnombre,Poner encuarentena,Denegaracceso uOmitir)

Compatible/Nocompatible

Ejemplo: abc.zipcontiene elarchivo infectado123.doc.

OfficeScan lleva a cabo la acciónconfigurada (Cambiar nombre,Poner en cuarentena, Denegaracceso u Omitir) en abc.zip, noen 123.doc.

Si la acción es:

Cambiar nombre: OfficeScancambia el nombre de abc.zip aabc.vir, pero no cambia elnombre de 123.doc.

Poner en cuarentena:OfficeScan pone en cuarentenaabc.zip (123.doc y todos losarchivos no infectados se ponenen cuarentena).

Omitir: OfficeScan no realizaninguna acción en abc.zip ni en123.doc pero registra ladetección del virus.

Denegar acceso: OfficeScandeniega el acceso a abc.zipcuando se abre (123.doc y no sepuede abrir ningún archivo noinfectado).

Activar el modo de valoración

Cuando está activado el modo de valoración, todos los clientes gestionados por elservidor registrarán el spyware y grayware detectado durante los procesos de


7-78

Exploración manual, Exploración programada, Exploración en tiempo real y Actualizarahora, pero no limpiará los componentes de spyware y grayware. La limpieza finaliza losprocesos o elimina los registros, los archivos, las cookies y los accesos directos.

Trend Micro ofrece un modo de valoración que le permite evaluar los elementos queTrend Micro detecta como spyware y grayware y emprender entonces las accionespertinentes. Por ejemplo, el spyware/grayware detectado que no considere un riesgo deseguridad se puede añadir a la Lista de spyware/grayware permitido.

Cuando este modo se encuentra activado, OfficeScan lleva a cabo las siguientes accionesde exploración:

• Omitir: durante los procesos Exploración manual, Exploración programada yExplorar ahora

• Denegar acceso: durante el proceso de Exploración en tiempo real

NotaEl modo de valoración anula cualquier acción de exploración definida por el usuario. Porejemplo, incluso si selecciona "Limpiar" como la acción de exploración para el escaneomanual, "Omitir" seguirá siendo la acción de escaneo en el modo de valoración.

Buscar cookiesSeleccione esta opción si considera las cookies como posibles riesgos de seguridad.Cuando esté seleccionada, todos los clientes gestionados por el servidor explorarán lascookies para comprobar si contienen spyware y grayware durante los procesos deExploración manual, Exploración programada, Exploración en tiempo real y Explorarahora.

Sección Configuración de la exploración programadaSólo los clientes configurados para ejecutar la Exploración programada podrán usar lossiguientes valores de configuración. La Exploración programada puede buscar virus,malware, spyware y grayware.

La sección Configuración de la exploración programada de la Configuración general dela exploración permite a los administradores configurar lo siguiente:


7-79

• Recordar a los usuarios la Exploración programada __ minutos antes de que se ejecute en lapágina 7-79

• Posponer la exploración programada hasta __ horas y __ minutos en la página 7-79

• Detener la exploración programada automáticamente si la exploración dura más de __ horas y__ minutos en la página 7-80

• Omitir la exploración programada si la duración de la batería del equipo inalámbrico es inferioral __ % y el adaptador de CA está desenchufado en la página 7-80

• Reanudar Escaneos programados omitidos en la página 7-80

Recordar a los usuarios la Exploración programada __minutos antes de que se ejecute

OfficeScan muestra un mensaje de notificación minutos antes de que se inicie laexploración para recordar a los usuarios la fecha y hora a la que se realizará laexploración programada y cualquier derecho que les haya concedido.

Puede activar o desactivar el mensaje de notificación en Equipos en red >Administración de clientes > Configuración > Derechos y otras configuraciones> (pestaña) Otras configuraciones > Configuración de la exploraciónprogramada. En caso de que esté desactivada esta opción, no aparecerá ningúnrecordatorio.

Posponer la exploración programada hasta __ horas y __minutos

Solo los usuarios con el derecho “Posponer la exploración programada” pueden llevar acabo las acciones siguientes:

• Posponer la exploración programada antes de que se ejecute y especificar laduración del aplazamiento.

• En caso de que la Exploración programada esté en curso, los usuarios puedendetener la exploración y reiniciarla más tarde. Los usuarios pueden especificar eltiempo que debe transcurrir para que se reinicie la exploración. Cuando se reiniciela exploración, se volverán a explorar todos los archivos anteriormente explorados.


7-80

La duración del aplazamiento/el tiempo transcurrido máximos que los usuariospueden especificar es de 12 horas y 45 minutos, periodo que pueden reducirespecificando el número de hora(s) y/o minuto(s) en los campos indicados.

Detener la exploración programada automáticamente si laexploración dura más de __ horas y __ minutos

OfficeScan detiene la exploración cuando se supera el tiempo especificado y aún no hafinalizado la exploración. OfficeScan notifica inmediatamente a los usuarios de cualquierriesgo de seguridad detectado durante la exploración.

Omitir la exploración programada si la duración de labatería del equipo inalámbrico es inferior al __ % y eladaptador de CA está desenchufado

OfficeScan omite la exploración inmediatamente tan pronto como se ejecuta laexploración programada si detecta que el equipo inalámbrico tiene poca batería y eladaptador de CA no está conectado a ninguna fuente de alimentación. Si queda pocabatería pero el adaptador de CA está conectado a una fuente de alimentación, laexploración continuará.

Reanudar Escaneos programados omitidos

Si la Exploración programada no se inició debido a que OfficeScan no estabaejecutándose en el día y a la hora establecidos para la exploración, puede especificarcuándo desea que OfficeScan la reanude:

• a la misma hora el día siguiente: si se está ejecutando OfficeScan exactamente ala misma hora del día siguiente, la exploración se reanudará.

• __ minutos tras el inicio del equipo: OfficeScan reanuda la exploración unosminutos después de que el usuario encienda el equipo. El número de minutos estácomprendido entre 10 y 120.


7-81

Nota

Los usuarios pueden posponer u omitir una exploración reanudada si el administrador haactivado este derecho. Para conocer más detalles, consulte Derechos y otras configuraciones de laexploración programada en la página 7-58.

Sección Configuración del ancho de banda del registro devirus/malware

La sección Configuración del ancho de banda del registro de virus/malware de laConfiguración general de la exploración permite a los administradores configurar:

Activar los clientes de OfficeScan para que creen una entrada de registro de virus/malware única paralas detecciones reincidentes del mismo virus/malware durante una hora en la página 7-81

Activar los clientes de OfficeScan para que creen unaentrada de registro de virus/malware única para lasdetecciones reincidentes del mismo virus/malware duranteuna hora

OfficeScan consolida las entradas de los registros de virus cuando detecta variasinfecciones del mismo virus/malware durante un breve periodo de tiempo. CuandoOfficeScan detecta un mismo virus/malware varias veces, lo que sucede es que se llenael registro de virus/malware en poco tiempo y se consume ancho de banda de la redcada vez que el cliente de OfficeScan envía la información del registro al servidor. Si seactiva esta función, se reducirá tanto el número de entradas del registro de virus/malware como la cantidad de ancho de banda de la red consumido por los clientes deOfficeScan cuando envían la información del registro de virus al servidor.

Notificaciones de riesgos de seguridadOfficeScan incluye un conjunto de mensajes de notificación predeterminados parainformarle a usted, a otros administradores de OfficeScan y a los usuarios del cliente deOfficeScan de los riesgos de seguridad detectados.


7-82

Para obtener más información sobre las notificaciones que se envían a losadministradores, consulte Notificaciones de riesgos de seguridad para los administradores en lapágina 7-82.

Para obtener más información sobre las notificaciones que se envían a los usuarios delcliente de OfficeScan, consulte Notificaciones de riesgos de seguridad para los usuarios de losclientes de OfficeScan en la página 7-86.

Notificaciones de riesgos de seguridad para losadministradores

Configure OfficeScan para que le envíe a usted y a otros administradores de OfficeScanuna notificación cuando detecte un riesgo de seguridad, o únicamente cuando la acciónrealizada para hacer frente al riesgo de seguridad no haya tenido éxito y, por lo tanto, serequiera la intervención del administrador.

OfficeScan incluye un conjunto de mensajes de notificación predeterminados parainformarle a usted y a los administradores de OfficeScan de las detecciones de riesgos deseguridad. Puede modificar las notificaciones y definir la configuración de notificacionesadicionales según sus necesidades.

NotaOfficeScan puede enviar notificaciones mediante correo electrónico, buscapersonas,captura SNMP y registros de sucesos de Windows NT. Defina la configuración cuandoOfficeScan envíe notificaciones mediante estos canales. Para conocer más detalles, consulteConfiguración de las notificaciones del administrador en la página 13-34.

Configuración de las notificaciones de riesgos de seguridadpara los administradores

Procedimiento

1. Vaya a Notificaciones > Notificaciones para administradores >Notificaciones estándar.

2. En la pestaña Criterios:


7-83

a. Vaya a las secciones Virus/Malware y Spyware/Grayware.

b. Especifique si las notificaciones se enviarán cuando OfficeScan detecte virus omalware y spyware o grayware o solo cuando la acción con estos riesgos deseguridad no se realice correctamente.

3. En la pestaña Correo electrónico:

a. Vaya a las secciones Detecciones de virus/malware y Detecciones despyware/grayware.

b. Seleccione Activar la notificación por correo electrónico.

c. Seleccione Enviar notificaciones a los usuarios con permisos de dominiodel árbol de clientes.

Puede utilizar la administración basada en funciones para conceder a losusuarios permisos de dominio de árbol de clientes. Si se produce unadetección en un cliente de OfficeScan que pertenece a un dominio específico,el correo electrónico se enviará a las direcciones de correo electrónico de losusuarios con permisos de dominio. Consulte los ejemplos de la siguiente tabla:

TABLA 7-18. Dominios y permisos del árbol de clientes

DOMINIO DELÁRBOL DE CLIENTES

FUNCIONES CONPERMISOS DE

DOMINIO

CUENTA DEUSUARIO CON LA

FUNCIÓN

DIRECCIÓN DECORREO

ELECTRÓNICO PARALA CUENTA DE

USUARIO

Dominio A Administrador(integrado)

root [email protected]

Role_01 admin_john [email protected]

admin_chris [email protected]

Dominio B Administrador(integrado)


Role_02 admin_jane [email protected]


7-84

Si un cliente de OfficeScan que pertenece al dominio A detecta un virus, elcorreo electrónico se enviará a [email protected], [email protected] [email protected].

Si un cliente de OfficeScan que pertenece al dominio B detecta spyware, elcorreo electrónico se enviará a [email protected] y [email protected].

Nota

Si activa esta opción, todos los usuarios con permisos de dominio deben teneruna dirección de correo electrónico correspondiente. El correo electrónico denotificación no se enviará a los usuarios sin dirección de correo electrónico. Losusuarios y las direcciones de correo electrónico se configuran enAdministración > Cuentas de usuario.

d. Seleccione Enviar notificaciones a la(s) siguiente(s) dirección(es) decorreo electrónico y, después, escriba las direcciones de correo electrónico.

e. Acepte o modifique el asunto y el mensaje predeterminados. Puede utilizarvariables de símbolo para representar los datos en los campos Asunto yMensaje.

TABLA 7-19. Variables de símbolo para notificaciones de riesgos deseguridad

VARIABLE DESCRIPCIÓN

Detecciones de virus/malware

%v Nombre del virus/malware

%s Equipo con virus/malware

%i Dirección IP del equipo

%c Dirección MAC del equipo

%m Dominio del equipo

%p Ubicación del virus/malware

%y Fecha y hora de la detección del virus/malware


7-85


%e Versión del Motor de Escaneo antivirus

%r Versión del patrón de virus

%a Acción realizada frente al riesgo de seguridad

%n Nombre del usuario conectado al equipo infectado

Detecciones de spyware/grayware

%s Equipo con spyware/grayware

%i Dirección IP del equipo

%m Dominio del equipo

%y Fecha y hora de la detección del spyware/grayware

%n Nombre del usuario conectado al equipo en el momento dela detección

%T Spyware/Grayware y resultado de la exploración

4. En la pestaña Buscapersonas:


b. Seleccione Activar la notificación por buscapersonas.

c. Escriba el mensaje.

5. En la pestaña Captura SNMP:


b. Seleccione Activar la notificación por captura SNMP.

c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. Consulte elapartado Tabla 7-19: Variables de símbolo para notificaciones de riesgos de seguridad enla página 7-84 para obtener información detallada.


7-86

6. En la pestaña Registro de sucesos de NT:


b. Seleccione Activar la notificación por el registro de sucesos de NT.

c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. Consulte elapartado Tabla 7-19: Variables de símbolo para notificaciones de riesgos de seguridad enla página 7-84 para obtener información detallada.


Notificaciones de riesgos de seguridad para los usuariosde los clientes de OfficeScan

OfficeScan puede mostrar mensajes de notificación en los equipos cliente deOfficeScan:

• Inmediatamente después de que la exploración en tiempo real y la exploraciónprogramada detecten virus/malware y spyware/grayware. Active el mensaje denotificación y modifique de forma opcional su contenido.

• Si es preciso reiniciar un equipo cliente para finalizar la limpieza de archivosinfectados. Para la exploración en tiempo real, el mensaje aparece después de haberexplorado un riesgo de seguridad determinado. En el caso de que se utilicen lasopciones de exploración manual, exploración programada y Explorar ahora, elmensaje aparece una vez y sólo después de que OfficeScan termina de explorartodos los destinos de exploración.

Notificación a los usuarios de detecciones de virus/malwarey spyware/grayware

Procedimiento



7-87


3. Haga clic en Configuración > Configuración de la exploración >Configuración de la exploración en tiempo real o Configuración >Configuración de la exploración > Configuración de la exploraciónprogramada.

4. Haga clic en la pestaña Acción.


• Mostrar un mensaje de notificación en el equipo cliente cuando sedetecte una amenaza de virus/malware

• Mostrar un mensaje de notificación en el equipo cliente cuando sedetecte una posible amenaza de virus/malware




Configuración de las notificaciones de virus/malware

Procedimiento

1. Vaya a Notificaciones > Notificaciones a los usuarios de los clientes.

2. Haga clic en la pestaña Virus/Malware.

3. Defina la configuración de la detección.


7-88

a. Seleccione la opción de mostrar una notificación para todos los sucesosrelacionados con virus/malware o notificaciones independientes en funciónde los siguientes niveles de gravedad:

• Alto: el cliente de OfficeScan no ha podido actuar contra el malwarecrítico.

• Medio: el cliente de OfficeScan no ha podido actuar contra el malware.

• Bajo: el cliente de OfficeScan ha podido resolver todas las amenazas.

b. Acepte o modifique los mensajes predeterminados.

4. Para mostrar un mensaje de notificación si el virus/malware tiene su origen en elequipo cliente:

a. Seleccione la casilla de verificación que se encuentra en Origen de lainfección de virus o malware.

b. Especifique un intervalo para el envío de notificaciones:

c. De forma opcional puede modificar el mensaje de notificaciónpredeterminado.

NotaEste mensaje de notificación solo se muestra si se activa el servicio de WindowsMessenger. Compruebe el estado de este servicio en la pantalla Servicios (Panelde control > Herramientas administrativas > Servicios > Messenger).


Configuración de las notificaciones de spyware/grayware

Procedimiento


2. Haga clic en la pestaña Spyware/Grayware.

3. Acepte o modifique el mensaje predeterminado.


7-89


Notificación a los clientes de un reinicio para finalizar lalimpieza de los archivos infectados

Procedimiento




4. Haga clic en la pestaña Otras configuraciones y vaya a la sección Notificaciónde reinicialización.

5. Seleccione Mostrar un mensaje de notificación si el equipo cliente necesitareiniciarse para finalizar la limpieza de los archivos infectados.





7-90

Registros de riesgos de seguridadOfficeScan crea registros cuando detecta virus y malware o spyware y grayware, asícomo cuando restaura spyware y grayware.


Visualización de los registros de virus/malwareEl cliente de OfficeScan genera registros cuando detecta virus y malware, y envía estosregistros al servidor.

Procedimiento





3. Haga clic en Registros > Registros de virus/malware o Ver registros >Registros de virus/malware.


5. Visualice los registros. Los registros contienen la siguiente información:

• Fecha y hora de la detección del virus/malware

• Equipo infectado

• Nombre del virus/malware

• Origen de la infección


7-91

• Archivo infectado

• Tipo de exploración que detectó la presencia de virus/malware

• Resultados de la exploración

NotaPara obtener más información sobre los resultados de la exploración, consulteResultados de la exploración de virus y malware en la página 7-91.

• Dirección IP

• Dirección MAC

• Detalles del registro (haga clic en Ver para ver los detalles).


El archivo CSV contiene la siguiente información:

• Toda la información de los registros

• Nombre del usuario conectado al equipo en el momento de la detección

Resultados de la exploración de virus y malwareLos siguientes resultados de la exploración se muestran en los registros de virus/malware:

• Eliminado

• La primera acción es Eliminar y el archivo infectado se ha eliminado.

• La primera acción es Limpiar pero la limpieza no se realizó correctamente. Lasegunda acción es Eliminar y el archivo infectado se ha eliminado.

• En cuarentena

• La primera acción es Poner en cuarentena y el archivo infectado se ha puestoen cuarentena.


7-92

• La primera acción es Limpiar pero la limpieza no se realizó correctamente. Lasegunda acción es Poner en cuarentena y el archivo infectado se ha puesto encuarentena.

• Limpiado

Se limpió un archivo infectado.

• Nombre modificado

• La primera acción es Cambiar nombre y se ha cambiado el nombre delarchivo infectado.

• La primera acción es Limpiar pero la limpieza no se realizó correctamente. Lasegunda acción es Cambiar nombre y se ha cambiado el nombre del archivoinfectado.

• Acceso denegado

• La primera acción es Denegar acceso y se denegó el acceso al archivoinfectado cuando el usuario intentó abrir el archivo.

• La primera acción es Limpiar pero la limpieza no se realizó correctamente. Lasegunda acción es Denegar acceso y se denegó el acceso al archivo infectadocuando el usuario intentó abrir el archivo.

• Se han detectado posibles virus o malware durante la Exploración en tiemporeal.

• Es posible que la Exploración en tiempo real haya denegado el acceso a losarchivos infectados con un virus de arranque aunque la acción de exploraciónsea Limpiar (primera acción) y Poner en cuarentena (segunda acción). Esto esdebido a que al intentar limpiar un virus de arranque se puede dañar el registrode arranque maestro (MBR) o el equipo infectado. Ejecute la exploraciónmanual para que OfficeScan pueda limpiar o poner en cuarentena el archivo.

• Omitido

• La primera acción es Omitir. OfficeScan no ha realizado ninguna acción sobreel archivo infectado.


7-93

• La primera acción es Limpiar pero la limpieza no se realizó correctamente. Lasegunda acción es Omitir, así que OfficeScan no realizó ninguna acción sobreel archivo infectado.

• Posible riesgo de seguridad omitido

Este resultado de exploración sólo aparecerá cuando OfficeScan detecte "posiblesvirus o malware" durante el Escaneo manual, los Escaneos programados oExplorar ahora. Consulte la siguiente página de la Enciclopedia de virus en línea deTrend Micro para obtener información acerca de virus o malware probables y sabercómo enviar archivos sospechosos a Trend Micro para su análisis.

http://www.trendmicro.com/vinfo/es/virusencyclo/default5.asp?VName=POSSIBLE_VIRUS&VSect=Sn

• No se puede limpiar o poner en cuarentena el archivo

Limpiar es la primera acción. Poner en cuarentena es la segunda acción y ningunade las acciones se ha realizado correctamente.

Solución: See No se puede poner en cuarentena el archivo/No se puede cambiar el nombre delarchivo en la página 7-93.

• No se puede limpiar o eliminar el archivo.

Limpiar es la primera acción. Eliminar es la segunda acción, y ninguna de las dosacciones se ha realizado correctamente.

Solución: Consulte No se puede eliminar el archivo en la página 7-94.

• No se puede limpiar o cambiar el nombre del archivo

Limpiar es la primera acción. Cambiar el nombre es la segunda acción y ninguna delas acciones se ha realizado correctamente.

Solución: Consulte No se puede poner en cuarentena el archivo/No se puede cambiar elnombre del archivo en la página 7-93.

• No se puede poner en cuarentena el archivo/No se puede cambiar elnombre del archivo

Explicación 1




7-94

El archivo infectado puede estar bloqueado por otra aplicación, puede estarejecutándose o encontrarse en un CD. OfficeScan pondrá en cuarentena/renombrará el archivo cuando la aplicación libere el archivo o cuando se hayaejecutado.

Solución

Para los archivos infectados en un CD, considere no utilizar el CD, puesto que elvirus puede infectar otros equipos de la red.

Explicación 2

El archivo infectado se encuentra en la carpeta de archivos temporales de Internetdel equipo cliente. Puesto que el equipo descarga archivos mientras se navega, elexplorador puede haber bloqueado el archivo infectado. Cuando el explorador Weblibere el archivo, OfficeScan podrá poner en cuarentena/cambiar el nombre delarchivo.

Solución: Ninguna

• No se puede eliminar el archivo

Explicación 1

El archivo infectado puede estar contenido en un archivo comprimido y la opciónLimpiar/eliminar archivos infectados dentro de archivos comprimidos enEquipos en red > Configuración global del cliente está desactivada.

Solución

Active la opción Limpiar/eliminar archivos infectados dentro de archivoscomprimidos. Cuando se activa, OfficeScan descomprime un archivocomprimido, limpia/elimina los archivos infectados del archivo comprimido y, acontinuación, vuelve a comprimir el archivo.

NotaAl activar esta configuración, puede aumentar el uso de los recursos del equipodurante la exploración y, además, la exploración puede tardar más tiempo encompletarse.

Explicación 2


7-95

El archivo infectado puede estar bloqueado por otra aplicación, puede estarejecutándose o encontrarse en un CD. OfficeScan eliminará el archivo cuando laaplicación libere el archivo o cuando se haya ejecutado.

Solución

Para los archivos infectados en un CD, considere no utilizar el CD, puesto que elvirus puede infectar otros equipos de la red.

Explicación 3

El archivo infectado se encuentra en la carpeta de archivos temporales de Internetdel equipo cliente de OfficeScan. Puesto que el equipo descarga archivos mientrasse navega, el explorador puede haber bloqueado el archivo infectado. Cuando elexplorador Web libere el archivo, OfficeScan podrá eliminar el archivo.

Solución: Ninguna

• No se puede enviar el archivo en cuarentena a la carpeta de cuarentenaindicada

Aunque OfficeScan ha puesto en cuarentena correctamente un archivo en lacarpeta \Suspect del equipo cliente de OfficeScan, no puede enviar el archivo aldirectorio de cuarentena designado.

Solución

Determine qué tipo de exploración (Exploración manual, Exploración en tiemporeal, Exploración programada o Explorar ahora) ha detectado el virus o malware y,a continuación, haga clic en el directorio de cuarentena especificado en Equiposen red > Administración de clientes > Configuración > {Tipo deexploración} > Acción.

Si el directorio de cuarentena se encuentra en el Equipo del servidor de OfficeScano en otro Equipo del servidor de OfficeScan:

1. Compruebe si el cliente se puede conectar con el servidor.

2. Si utiliza una URL como el formato del directorio de cuarentena:

a. Asegúrese de que el nombre del equipo que especifica después de"http://" es correcto.


7-96

b. Compruebe el tamaño del archivo infectado. Si supera el tamaño dearchivo máximo especificado en Administración > Administrador decuarentena, ajuste la configuración para que se adecue al archivo.También puede realizar otras acciones como, por ejemplo, eliminar elarchivo.

c. Compruebe el tamaño de la carpeta del directorio de cuarentena ydetermine si ha superado la capacidad de la carpeta especificada enAdministración > Administrador de cuarentena. Ajuste la capacidadde la carpeta o de eliminar manualmente archivos del directorio decuarentena.

3. Si utiliza una ruta UNC, asegúrese de que la carpeta del directorio decuarentena está compartida con el grupo "Todos" y que este grupo tieneasignados derechos de escritura y lectura. Compruebe también que la carpetadel directorio de cuarentena existe y que la ruta UNC es correcta.

Si el directorio de cuarentena se encuentra en otro equipo de la red (sólo puedeutilizar la ruta UNC para esta situación):

1. Compruebe si el cliente de OfficeScan se puede conectar con el equipo.

2. Asegúrese de que la carpeta del directorio de cuarentena está compartida conel grupo "Todos" y que este grupo tiene asignados derechos de escritura ylectura.

3. Compruebe que la carpeta del directorio de cuarentena existe.

4. Compruebe que la ruta UNC es correcta.

Si el directorio de cuarentena se encuentra en otro directorio del equipo cliente deOfficeScan (en esta situación sólo puede utilizar la ruta absoluta), compruebe siexiste el directorio de cuarentena.

• No se puede limpiar el archivo

Explicación 1

El archivo infectado puede estar contenido en un archivo comprimido y la opciónLimpiar/eliminar archivos infectados dentro de archivos comprimidos en Equiposen red > Configuración general del cliente está desactivada.

Solución


7-97

Active la opción Limpiar/eliminar archivos infectados dentro de archivoscomprimidos. Cuando se activa, OfficeScan descomprime un archivocomprimido, limpia/elimina los archivos infectados del archivo comprimido y, acontinuación, vuelve a comprimir el archivo.

Nota

Al activar esta configuración, puede aumentar el uso de los recursos del equipodurante la exploración y, además, la exploración puede tardar más tiempo encompletarse.

Explicación 2

El archivo infectado se encuentra en la carpeta de archivos temporales de Internetdel equipo cliente de OfficeScan. Puesto que el equipo descarga archivos mientrasse navega, el explorador puede haber bloqueado el archivo infectado. Cuando elexplorador Web libere el archivo, OfficeScan podrá limpiar el archivo.

Solución: Ninguna

Explicación 3

Es posible que el archivo no se pueda limpiar. Consulte Archivo que no se puedelimpiar en la página E-16 para obtener más información.

Visualización de los registros de spyware/grayware

El cliente de OfficeScan genera registros cuando detecta spyware y grayware, y envíaestos registros al servidor.

Procedimiento





7-98


3. Haga clic en Registros > Registros de spyware y grayware o Ver registros >Registros de spyware y grayware.



• Fecha y hora de la detección del spyware/grayware

• Equipo afectado

• Nombre del spyware/grayware

• Tipo de exploración que detectó la presencia de spyware/grayware

• Detalles sobre los resultados de la exploración de spyware o grayware (si laacción de exploración se ha realizado correctamente o no). Consulte Resultadosde la exploración antispyware y grayware en la página 7-99 para obtener másinformación.

• Dirección IP

• Dirección MAC

• Detalles del registro (haga clic en Ver para ver los detalles).

6. Agregue spyware o grayware que considere inofensivo a la lista de spyware/grayware permitido.


El archivo CSV contiene la siguiente información:

• Toda la información de los registros

• Nombre del usuario conectado al equipo en el momento de la detección


7-99

Resultados de la exploración antispyware y grayware

Los siguientes resultados de la exploración se muestran en los registros de spyware/grayware:

• Acción realizada correctamente. No se requiere ninguna otra.

Este es el resultado de primer nivel si la acción de exploración se ha realizadocorrectamente. El resultado de segundo nivel puede ser cualquiera de los siguientes:

• Limpiados: OfficeScan ha finalizado los procesos o ha eliminado losregistros, archivos, cookies y accesos directos.

• Acceso denegado: OfficeScan ha denegado el acceso a los componentes despyware y grayware detectados para copiarlos o abrirlos

• Se requieren más acciones

Este es el resultado de primer nivel si la acción de exploración no se ha realizadocorrectamente. Los resultados de segundo nivel deben contener como mínimo unode los mensajes siguientes:

• Omitido: OfficeScan no ha realizado ninguna acción pero ha registrado ladetección de spyware y grayware para su valoración.

Solución: agregue spyware/grayware que considere seguro a la lista despyware/grayware permitido.

• No es seguro limpiar el spyware/grayware: este mensaje aparece si elmotor de exploración de spyware intenta limpiar una carpeta y se reúnen lascondiciones siguientes:

• Los elementos que se deben limpiar superan los 250 MB.

• El sistema operativo utiliza los archivos de la carpeta. La carpeta tambiénpuede ser necesaria para un funcionamiento normal del sistema.

• La carpeta es un directorio raíz (por ejemplo, C: o F:).

Solución: Póngase en contacto con su proveedor de asistencia para recibirayuda.


7-100

• Exploración de spyware/grayware detenida manualmente. Lleve a cabouna exploración completa: un usuario detuvo la exploración antes de que secompletara.

Solución: ejecute una exploración manual y espere a que finalice.

• Spyware/Grayware limpiado, es necesario reiniciar. Reinicie el equipo:OfficeScan ha limpiado componentes de spyware/grayware, pero el equipodebe reiniciarse para completar la tarea.

Solución: reinicie el equipo inmediatamente.

• No se puede limpiar el spyware/grayware: Se han detectado spyware ygrayware en un CD-ROM o en una unidad de red. OfficeScan no puedelimpiar los spyware/grayware detectados en estas ubicaciones.

Solución: Elimine manualmente el archivo infectado.

• Resultado de la exploración de spyware/grayware sin identificar.Póngase en contacto con el equipo de asistencia técnica de TrendMicro: Una nueva versión del Motor de Escaneo de Spyware proporciona unnuevo resultado de exploración para el cual no se ha configurado OfficeScan.

Solución: Póngase en contacto con su proveedor de asistencia para obtenerayuda para determinar el nuevo resultado de la exploración.

Visualización de los registros de restauración de spyware ygraywareTras limpiar el spyware y grayware, los clientes de OfficeScan realizan una copia deseguridad de los datos del spyware y grayware. Avise a un cliente que esté en línea paraque restaure los datos de los cuales se ha realizado una copia de seguridad si consideraque estos son inofensivos. En los registros está disponible la información sobre quédatos de la copia de seguridad de spyware y grayware se han recuperado, el equipoafectado y el resultado de la restauración.

Procedimiento

1. Vaya a Registros > Registros de equipos conectados en red > Restauraciónde spyware y grayware.


7-101

2. Consulte la columna Resultado para comprobar si OfficeScan ha restaurado losdatos de spyware y grayware correctamente.


Registros de exploraciónCuando se ejecutan la exploración manual, la exploración programada o Explorar ahora,el cliente de OfficeScan crea un registro de exploración que contiene información acercade esta. Puede ver el registro de la exploración accediendo a la consola del cliente deOfficeScan. Los clientes no envían el registro de exploración al servidor.

Los registros de exploración muestran la siguiente información:

• Fecha y hora en que OfficeScan inició la exploración

• Fecha y hora en que OfficeScan detuvo la exploración

• Estado de la exploración

• Completado: la exploración se ha completado sin problemas.

• Detenida: el usuario detuvo la exploración antes de que se completara.

• Se ha detenido de forma inesperada: el usuario, el sistema o un sucesoinesperado ha interrumpido la exploración. Por ejemplo, el servicio deexploración en tiempo real de OfficeScan puede haber finalizado de formainesperada o el usuario ha forzado el reinicio del cliente.

• Tipo de exploración

• Número de objetos explorados

• Número de archivos infectados

• Número de acciones incorrectas

• Número de acciones correctas

• Versión del patrón de virus


7-102

• Versión del Smart Scan Agent Pattern

• Versión del Motor Anti-Spyware

Epidemias de riesgos de seguridadUna epidemia de riesgos de seguridad se produce cuando las detecciones de virus/malware, spyware/grayware y sesiones de carpetas compartidas superan, en un periodoconcreto de tiempo, un umbral específico. Hay varias formas de responder y decontener las epidemias de la red. Algunas de ellas son:

• Activar OfficeScan para que supervise la red en busca de actividades sospechosas

• Bloquear puertos y carpetas de equipos cliente críticos

• Enviar a los clientes mensajes de alerta de epidemias

• Limpiar los equipos infectados

Criterios y notificaciones de las epidemias de riesgos deseguridad

Configure OfficeScan para que envíe a los administradores de OfficeScan unanotificación cuando se produzcan los siguientes eventos:

• Epidemia de virus/malware

• Epidemia de spyware/grayware

• Epidemias de infracciones del cortafuegos

• Epidemia de sesiones de carpetas compartidas

Defina una epidemia en función del número de detecciones y del periodo de detección.Las epidemias se activan cuando se supera el número de detecciones durante el periodode detección.

OfficeScan incluye un conjunto de mensajes de notificación predeterminados parainformarle a usted y a los administradores de OfficeScan de una epidemia. Puede


7-103

modificar las notificaciones y definir la configuración de notificaciones adicionales segúnsus necesidades.

NotaOfficeScan puede enviar notificaciones de las epidemias de riesgos de seguridad por correoelectrónico, buscapersonas, captura SNMP y registros de sucesos de Windows NT. En elcaso de las epidemias en sesiones con carpetas compartidas, OfficeScan envía lanotificación por correo electrónico. Defina la configuración cuando OfficeScan envíenotificaciones mediante estos canales. Para conocer más detalles, consulte Configuración de lasnotificaciones del administrador en la página 13-34.

Configuración de los criterios y las notificaciones de lasepidemias de riesgos de seguridad

Procedimiento

1. Vaya a Notificaciones > Notificaciones para administradores >Notificaciones de epidemias.


a. Vaya a las secciones Virus/Malware y Spyware/Grayware:

b. Especifique el número de fuentes de detección exclusivas.

c. Especifique el número de detecciones y el periodo de detección de cada riesgode seguridad.

ConsejoTrend Micro recomienda aceptar los valores predeterminados de esta pantalla.

OfficeScan envía un mensaje de notificación cuando se supera el número dedetecciones especificado. Por ejemplo, si se especifican 10 fuentes exclusivas, 100detecciones y un periodo de 5 horas en la sección Virus/Malware, OfficeScanenvía la notificación cuando 10 clientes distintos informan de un total de 101riesgos de seguridad en un periodo de 5 horas. Si todas las detecciones se realizanen un único cliente en un periodo de 5 horas, OfficeScan no envía la notificación.


7-104


a. Vaya a la sección Sesiones de carpetas compartidas.

b. Seleccione Supervisar las sesiones de carpetas compartidas en la red.

c. En Sesiones de carpetas compartidas grabadas, haga clic en el enlace denúmero para ver los equipos con carpetas compartidas y los equipos quepueden acceder a ellas.

d. Especifique el número de sesiones de carpetas compartidas y el periodo dedetección.

OfficeScan envía un mensaje de notificación cuando se supera el número desesiones de carpetas compartidas especificado.


a. Vaya a las secciones Epidemias de virus/malware, Epidemias despyware/grayware y Epidemias de sesiones de carpetas compartidas.


c. Especifique los destinatarios del correo electrónico.

d. Acepte o modifique el asunto y el mensaje predeterminados del correoelectrónico. Puede utilizar variables de símbolo para representar los datos enlos campos Asunto y Mensaje.

TABLA 7-20. Variables de símbolo para notificaciones de epidemias deriesgos de seguridad


Epidemias de virus/malware

%CV Número total de virus/malware detectados

%CC Número total de equipos con virus/malware

Epidemias de spyware/grayware

%CV Número total de spyware/grayware detectados


7-105


%CC Número total de equipos con spyware/grayware

Epidemias de sesiones de carpetas compartidas

%S Número de sesiones de carpetas compartidas

%T Periodo de tiempo durante el cual se acumulan sesiones decarpetas compartidas

%M Periodo de tiempo: en minutos

e. Seleccione información de virus o malware y de spyware o grayware paraincluirla en el correo electrónico. Puede incluir el nombre del cliente o deldominio, el del riesgo de seguridad, la fecha y hora de la detección, la ruta y elarchivo infectado y el resultado de la exploración.

f. Acepte o modifique los mensajes de notificación predeterminados.


a. Vaya a las secciones Epidemias de virus/malware y Epidemias despyware/grayware.






c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. ConsulteTabla 7-20: Variables de símbolo para notificaciones de epidemias de riesgos de seguridaden la página 7-104 para obtener más información.




7-106


c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. ConsulteTabla 7-20: Variables de símbolo para notificaciones de epidemias de riesgos de seguridaden la página 7-104 para obtener más información.


Configuración de la prevención de epidemias de riesgosde seguridad

Cuando se produzca una epidemia, refuerce las medidas de prevención de epidemiaspara responder a ésta y contenerla. Defina la configuración de la prevención condetenimiento, ya que una configuración incorrecta puede causar problemas imprevistosen la red.

Procedimiento

1. Vaya a Equipos en red > Prevención de epidemias.


3. Haga clic en Iniciar Prevención de epidemias.

4. Haga clic en una de las siguientes políticas de prevención de epidemias y, acontinuación, configúrela:

• Limitar/Denegar el acceso a las carpetas compartidas en la página 7-108

• Bloqueo de puertos desprotegidos en la página 7-109

• Denegar el acceso de escritura a archivos y carpetas en la página 7-110

5. Seleccione las políticas que desea aplicar.

6. Seleccione el número de horas en que estará en vigor la prevención de epidemias.De forma predeterminada, son 48 horas. Puede restaurar manualmente la


7-107

configuración de la red antes de que se cumpla el periodo de la prevención deepidemias.

¡ADVERTENCIA!No permita que la prevención de epidemias permanezca activa indefinidamente. Parabloquear o denegar el acceso a archivos, carpetas o puertos de forma indefinida,modifique directamente la configuración del equipo y la red en vez de utilizarOfficeScan.

7. Acepte o modifique el mensaje de notificación predeterminado.

NotaPara configurar OfficeScan para que le notifique durante una epidemia, vaya aNotificaciones > Notificaciones para administradores > Notificaciones deepidemias.

8. Haga clic en Iniciar la notificación de epidemia.

Las medidas de prevención de epidemias que ha seleccionado se mostrarán en unaventana nueva.

9. De nuevo en el árbol de clientes de Prevención de epidemias, compruebe lacolumna Prevención de epidemias.

Aparecerá una marca de verificación en los equipos que están aplicando medidas deprevención de epidemias.

OfficeScan graba los siguientes sucesos en los registros de sucesos del sistema:

• Sucesos del servidor (inicio de la prevención de epidemias y notificación a losclientes para activar la prevención de epidemias)

• Suceso del cliente de OfficeScan (activación de la prevención de epidemias)

Políticas de prevención de epidemiasCuando se produzca una epidemia, aplique cualquiera de las siguientes políticas:

• Limitar/Denegar el acceso a las carpetas compartidas en la página 7-108


7-108

• Bloqueo de puertos desprotegidos en la página 7-109

• Denegar el acceso de escritura a archivos y carpetas en la página 7-110

Limitar/Denegar el acceso a las carpetas compartidasDurante las epidemias, limite o deniegue el acceso a las carpetas compartidas de la redpara evitar que los riesgos de seguridad se propaguen por ellas.

Cuando esta política surte efecto, los usuarios pueden seguir compartiendo carpetas,pero la política no se aplicará a éstas. Además, informe a los usuarios que no compartancarpetas durante una epidemia y que no implementen la política de nuevo con el fin deaplicarla a las nuevas carpetas.

Procedimiento




4. Haga clic en Limitar/Denegar el acceso a las carpetas compartidas.

5. Seleccione una de las siguientes opciones:

• Permite el acceso de solo lectura: limita el acceso a las carpetascompartidas.

• Deniega el acceso completo

NotaLa configuración de acceso de solo lectura no se aplica a las carpetascompartidas que ya están configuradas para denegar el acceso completo.


Aparecerá de nuevo la pantalla Configuración de la prevención de epidemias.



7-109


Bloqueo de puertos desprotegidos

Durante las epidemias, bloquee los puertos vulnerables que los virus o malware podríanutilizar para obtener acceso a los equipos cliente de OfficeScan.

¡ADVERTENCIA!

Configure los parámetros de la prevención de epidemias con detenimiento. Tenga encuenta que bloquear puertos activos puede hacer que los servicios de red que dependen deellos dejen de estar disponibles. Por ejemplo, si bloquea el puerto de confianza, OfficeScanno podrá comunicarse con el cliente mientras exista la epidemia.

Procedimiento




4. Haga clic en Bloquear puertos.

5. Seleccione si desea bloquear el puerto de confianza.

6. Seleccione los puertos que desea bloquear en la columna Puertos bloqueados.

a. Si no hay ningún puerto en la tabla, haga clic en Agregar. En la pantalla quese abre, seleccione los puertos que desea bloquear y haga clic en Guardar.

• Todos los puertos (ICMP incluidos): esta opción bloquea todos lospuertos excepto el puerto de confianza. Si también desea bloquear elpuerto de confianza, active la casilla de verificación Bloquear puerto deconfianza de la pantalla anterior.


7-110

• Puertos utilizados habitualmente: seleccione al menos un número depuerto para que OfficeScan pueda guardar la configuración del bloqueode puertos.

• Puertos de troyanos: bloquea los puertos que normalmente utilizan lostroyanos. Consulte Puerto de troyanos en la página E-14 para obtener másinformación.

• Un número de puerto o un rango de puertos: también puedeespecificar la dirección del tráfico que se bloqueará y algunoscomentarios, tales como el motivo del bloqueo de los puertosespecificados.

• Protocolo Ping (rechazar ICMP): haga clic en esta opción si deseabloquear solamente paquetes ICMP, por ejemplo, solicitudes ping.

b. Para editar la configuración de los puertos bloqueados, haga clic en el númerode puerto.

c. En la pantalla que se abre, modifique la configuración y haga clic en Guardar.

d. Para quitar un puerto de la lista, selecciona la casilla de verificación queaparece junto al puerto deseado y haga clic en Eliminar.





Denegar el acceso de escritura a archivos y carpetas

Los virus/malware pueden modificar o eliminar archivos y carpetas de los equipos host.Durante una epidemia, configure OfficeScan para que los virus o malware nomodifiquen ni eliminen los archivos y las carpetas de los equipos cliente de OfficeScan.


7-111

Procedimiento




4. Haga clic en Denegar el acceso de escritura a archivos y carpetas.

5. Escriba la ruta de acceso de directorio. Cuando acabe de escribir la ruta de accesode los directorios que desee proteger, haga clic en Agregar.

NotaEscriba la ruta de acceso absoluta del directorio en vez de la ruta virtual.

6. Especifique los archivos que desea proteger en los directorios protegidos.Seleccione todos los archivos o archivos según sus extensiones. Para lasextensiones de archivos, especifique una extensión que no figure en la lista,escríbala en el cuadro de texto y haga clic en Añadir.

7. Para proteger archivos específicos, en Archivos para proteger, escriba el nombrecompleto del archivo y haga clic en Agregar.





Desactivar la prevención de epidemiasRestaure la configuración de red normal mediante la desactivación de la prevención deepidemias sólo cuando esté seguro de que una epidemia se ha contenido y de queOfficeScan ha limpiado o puesto en cuarentena todos los archivos infectados.


7-112

Procedimiento



3. Haga clic en Restaurar configuración.

4. Para informar a los usuarios de que la epidemia ha finalizado, seleccione Notificara los usuarios cliente después de restaurar la configuración original.

5. Acepte o modifique el mensaje de notificación predeterminado.

6. Haga clic en Restaurar configuración.

NotaSi no restablece la configuración de la red manualmente, OfficeScan la restablecerá deforma automática una vez transcurrido el número de horas especificado en Restaurarautomáticamente la configuración de la red a su estado normal tras __ horasde la pantalla Configuración de la prevención frente a epidemias. Laconfiguración predeterminada es 48 horas.

OfficeScan graba los siguientes sucesos en los registros de sucesos del sistema:

• Sucesos del servidor (inicio de la prevención de epidemias y notificación a losclientes de OfficeScan para activar la prevención de epidemias)

• Suceso del cliente de OfficeScan (activación de la prevención de epidemias)

7. Después de desactivar la prevención de epidemias, explore los equipos conectadosen red en busca de riesgos de seguridad para garantizar que la epidemia se hacontenido.

8-1

Capítulo 8

Uso de Supervisión delcomportamiento

En este capítulo se describe cómo proteger los ordenadores frente a riesgos de seguridadmediante la función Supervisión de comportamiento.


• Supervisión del comportamiento en la página 8-2

• Privilegios de supervisión de comportamiento en la página 8-11

• Notificaciones de Supervisión del comportamiento para usuarios del cliente de OfficeScan en lapágina 8-12

• Registros de supervisión del comportamiento en la página 8-14


8-2

Supervisión del comportamientoEl componente Supervisión del comportamiento supervisa constantemente los puntosfinales en busca de modificaciones inusuales en el sistema operativo o en el softwareinstalado. El componente Supervisión del comportamiento protege los puntos finalesmediante las funciones Bloqueador de comportamientos malintencionados ySupervisión de sucesos. Como complemento a dichas funciones, dispone de una listade excepciones configurada por el usuario y del Servicio de software segurocertificado.

Importante

El componente Supervisión del comportamiento no es compatible con lasplataformas Windows XP o Windows 2003 de 64 bits.

El componente Supervisión del comportamiento no es compatible con lasplataformas Windows Vista de 64 bits con SP1 o posterior.

De forma predeterminada, el componente Supervisión de comportamiento estádesactivado en todas las versiones de Windows Server 2003, Windows Server 2008 yWindows Server 2012. Antes de activar el componente Supervisión decomportamiento en estas plataformas del servidor, lea las directrices y las prácticasrecomendadas que se describen en Servicios del cliente de OfficeScan en la página 14-7.

Bloqueador de comportamientos malintencionados

El Bloqueador de comportamientos malintencionados proporciona una capa adicionalpara la protección frente a amenazas procedentes de programas que muestren uncomportamiento malicioso. Observa eventos del sistema durante un periodo de tiempo.Si los programas ejecutan combinaciones o secuencias de acciones diferentes, elBloqueador de comportamientos malintencionados detecta el comportamientomalicioso conocido y bloquea los programas a los que esté asociado. Utilice esta funciónpara garantizar un mayor nivel de seguridad frente a amenazas nuevas, desconocidas yemergentes.

Cuando se bloquea un programa y las notificaciones están activadas, OfficeScan muestrauna notificación en el equipo cliente de OfficeScan. Para obtener información detallada

Uso de Supervisión del comportamiento

8-3

acerca de las notificaciones, consulte Notificaciones de Supervisión del comportamiento parausuarios del cliente de OfficeScan en la página 8-12.

Supervisión de sucesosLa función Supervisión de sucesos proporciona un enfoque más general en la protecciónfrente a software no autorizado o ataques de malware. Supervisa determinados sucesosen áreas del sistema, lo que permite que los administradores regulen aquellos programasque den lugar a dichos eventos. Utilice la función Supervisión de sucesos si cuenta conunos requisitos de protección del sistema específicos que se hallen más allá de laprotección que proporciona el Bloqueador de comportamientos malintencionados.

En la siguiente tabla se muestra una lista de los sucesos del sistema supervisado.

TABLA 8-1. Sucesos del sistema supervisado

SUCESOS DESCRIPCIÓN

Archivo de sistemaduplicado

Muchos programas maliciosos crean copias de sí mismos o deotros programas maliciosos utilizando nombres de archivosusados por los archivos del sistema de Windows. Esto lo hacennormalmente para sobrescribir o sustituir archivos del sistema,evitar ser detectados o evitar que los usuarios eliminen losarchivos maliciosos.

Modificación delarchivo Hosts

El archivo Hosts hace coincidir los nombres de los dominios conlas direcciones IP. Muchos programas maliciosos modifican elarchivo Hosts para que el explorador Web entre en sitios Webinfectados, falsos o que no existen.

Comportamientosospechoso

Un comportamiento sospechoso puede ser una acción específicao una serie de acciones que llevan a cabo de manera extraña losprogramas legítimos. Los programas que muestran uncomportamiento sospechoso se deben utilizar con precaución.

Nuevocomplemento deInternet Explorer

Programas de spyware y grayware que a menudo instalancomplementos de Internet Explorer no deseados, incluidas barrasde herramientas y objetos auxiliadores del explorador.


8-4


Modificación de laconfiguración deInternet Explorer

Muchos virus o malware cambian elementos de la configuraciónde Internet Explorer, incluidos la página de inicio, sitios Web deconfianza, configuración del servidor proxy y extensiones demenú.

Modificación de lapolítica deseguridad

Las modificaciones realizadas en la política de seguridad deWindows pueden permitir a las aplicaciones no deseadasejecutarse y realizar cambios en la configuración del sistema.

Inyección en labiblioteca delprograma

Muchos programas maliciosos configuran Windows para quetodas las aplicaciones carguen de forma automática unabiblioteca de programas (DLL). Esto permite a las rutinasmaliciosas de la DDL ejecutarse cada vez que se inicia unaaplicación.

Modificación delshell

Muchos programas maliciosos modifican la configuración del shellde Windows para asociarse a determinados tipos de archivos.Esta rutina permite a los programas maliciosos iniciarseautomáticamente si los usuarios abren los archivos asociados enel Explorador de Windows. Los cambios en la configuración delshell de Windows pueden también permitir a los programasmaliciosos realizar un seguimiento de los programas utilizados einiciar aplicaciones legítimas cercanas.

Nuevo servicio Los servicios de Windows son procesos que cuentan confunciones especiales y normalmente se ejecutan continuamenteen segundo plano con acceso administrativo completo. A veceslos programas maliciosos se instalan como servicios parapermanecer ocultos.

Modificación dearchivos del sistema

Algunos archivos del sistema de Windows determinan elcomportamiento del sistema, incluidos los programas de arranquey la configuración del salvapantallas. Muchos programasmaliciosos modifican los archivos del sistema para que se inicienautomáticamente en el arranque y controlar el comportamientodel sistema.

Modificación de lapolítica del Firewall

La política del Firewall de Windows determina qué aplicacionestienen acceso a la red, qué puertos se abren para establecer lacomunicación y la dirección IP que puede comunicarse con elequipo. Muchos programas maliciosos modifican esta políticapara poder acceder a la red y a Internet.


8-5


Modificación de losprocesos delsistema

Muchos programas maliciosos llevan a cabo varias acciones enlos procesos integrados de Windows. Estas acciones puedenincluir la finalización o la modificación de los procesos deejecución.

Nuevo programa deinicio

Muchos programas maliciosos configuran Windows para quetodas las aplicaciones carguen de forma automática unabiblioteca de programas (DLL). Esto permite a las rutinasmaliciosas de la DDL ejecutarse cada vez que se inicia unaaplicación.

Cuando la función Supervisión de sucesos detecta un suceso del sistema que se estésupervisando, efectúa la acción configurada para dicho suceso.

En la siguiente tabla se muestran posibles acciones que los administradores puedenrealizar en los sucesos del sistema supervisado.

TABLA 8-2. Acciones en los sucesos del sistema supervisado


Valorar OfficeScan permite siempre los programas asociados a un suceso,pero registra la acción en los registros para su valoración.

Esta es la acción predeterminada para los sucesos del sistemasupervisado.

NotaEsta opción no es compatible con la Inyección en labiblioteca del programa en sistemas de 64 bits.

Permitir OfficeScan permite siempre los programas asociados a un suceso.


8-6


Preguntar en casonecesario

OfficeScan solicita a los usuarios que permitan o denieguenprogramas asociados a un suceso y que añadan dichosprogramas a la lista de excepciones.

Si el usuario no responde una vez transcurrido un determinadoperiodo de tiempo, OfficeScan permite de forma automática que elprograma se ejecute. El periodo de tiempo predeterminado es de30 segundos. Para modificar el periodo de tiempo, consulteConfiguración de las opciones de supervisión de comportamientoglobal en la página 8-8.

NotaEsta opción no es compatible con la Inyección en labiblioteca del programa en sistemas de 64 bits.

Denegar OfficeScan bloquea siempre los programas asociados a un sucesoe incluye la acción en los registros.

Cuando se bloquea un programa y las notificaciones estánactivadas, OfficeScan muestra una notificación en el equipo clientede OfficeScan. Para obtener información detallada acerca de lasnotificaciones, consulte Notificaciones de Supervisión delcomportamiento para usuarios del cliente de OfficeScan en lapágina 8-12.

Lista de excepción de supervisión del comportamiento

La lista de excepciones de Supervisión del comportamiento contiene programas que estafunción no supervisa.

• Programas permitidos: Los programas de esta lista pueden ejecutarse. Otrasfunciones de OfficeScan (como la exploración basada en archivos) seguiráncomprobando los programas permitidos antes de que finalmente se les permitaejecutarse.

• Programas bloqueados: Los programas de esta lista no se pueden iniciar jamás.La función Supervisión de sucesos debe estar activada para que se pueda configuraresta lista.


8-7

Configure la lista de excepciones desde la consola Web. También puede conceder a losusuarios el derecho de configurar su propia lista de excepciones desde la consola delcliente de OfficeScan. Para conocer más detalles, consulte Privilegios de supervisión decomportamiento en la página 8-11.

Configuración del Bloqueador de comportamientosmalintencionados, la función Supervisión de sucesos y laLista de excepciones

Procedimiento



3. Haga clic en Configuración > Configuración de la supervisión delcomportamiento.

4. Seleccione Activar Bloqueador de comportamientos malintencionados.

5. Defina la configuración de la función Supervisión de sucesos.

a. Seleccione Activar Supervisión de sucesos.

b. Elija los sucesos del sistema que desee supervisar y seleccione una acción paracada uno de los eventos seleccionados. Para obtener más información acercade los sucesos y acciones del sistema supervisado, consulte Supervisión de sucesosen la página 8-3.

6. Configure la lista de excepciones.

a. En Escribir la ruta completa del programa, introduzca la ruta completa delprograma que desee permitir o bloquear. Separe las entradas múltiplesmediante punto y coma (;). La lista de excepciones es compatible concomodines y rutas UNC.

b. Haga clic en Programas permitidos o Programas bloqueados.

c. Para eliminar de la lista un programa bloqueado o permitido, haga clic en elicono de la papelera ( ) situado junto al programa.


8-8

NotaOfficeScan acepta un máximo de 100 programas permitidos y 100 programasbloqueados.




Configuración de las opciones de supervisiónde comportamiento global

OfficeScan aplica la configuración general del cliente a todos los clientes o solo a losclientes con determinados derechos.

Procedimiento


2. Vaya a la sección Configuración de la supervisión del comportamiento.

3. Configure las siguientes opciones cuando se le solicite:


8-9


Permitirautomáticamenteel programa si elcliente noresponde en__segundos

Esta configuración solo funciona si está activa la funciónSupervisión de sucesos y se ha seleccionado la acción"Preguntar en caso necesario" para un suceso del sistemaque se supervisa. Esta acción solicita al usuario que permitao deniegue programas asociados al suceso. Si el usuario noresponde una vez transcurrido un determinado periodo detiempo, OfficeScan permite de forma automática que elprograma se ejecute. Para conocer más detalles, consulteSupervisión de sucesos en la página 8-3.

Activar Serviciode softwaresegurocertificado

El Servicio de software seguro certificado realiza consultas alos centros de datos de Trend Micro para comprobar laseguridad de un programa que haya detectado la Supervisiónde sucesos o el Bloqueador de comportamientosmalintencionados. Active el Servicio de software segurocertificado para reducir la probabilidad de detecciones defalsos positivos.

NotaAsegúrese de que los clientes de OfficeScan tengan laconfiguración del proxy correcta (para obtenerinformación detallada, consulte Configuración del proxydel cliente de OfficeScan en la página 14-51) antes dehabilitar el servicio de software seguro certificado. Unaconfiguración incorrecta del proxy, junto con unaconexión intermitente a Internet, puede acarrearatrasos o fallos en la respuesta de los centros de datosde Trend Micro, lo que puede hacer que los programasque se supervisen no respondan.

Además, los clientes de OfficeScan que solo utilicenIPv6 no podrán realizar consultas directas a los centrosde datos de Trend Micro. Con el fin de permitir que losclientes de OfficeScan se conecten a los centros dedatos de Trend Micro, se necesita un servidor proxy dedoble pila que pueda convertir direcciones IP, comopuede ser DeleGate.


8-10


Pregunta a losusuarios antes deejecutarprogramas reciénencontrados quese handescargado através de HTTP odel correoelectrónico de lasaplicaciones(excluidas lasplataformas deservidores)

La supervisión de comportamiento trabaja junto con losServicios de Reputación Web para comprobar la prevalenciade los archivos descargados a través de canales HTTP oaplicaciones de correo electrónico. Tras detectar un archivo"recién encontrado", los administradores pueden elegirpreguntar a los usuarios antes de ejecutar el archivo. TrendMicro clasifica un programa como recién encontrado enfunción del número de detecciones de archivos o de la edadhistórica del archivo según lo determina Smart ProtectionNetwork.

Nota

• Los administradores deben activar los Servicios deReputación Web en el cliente para permitir aOfficeScan explorar el tráfico HTTP antes de quese pueda mostrar esta solicitud.

• Para sistemas con Windows 7/Vista/XP, estasolicitud sólo admite los puertos 80, 81 y 8080.

• OfficeScan compara los nombres de los archivosdescargados a través de aplicaciones de correoelectrónico durante el proceso de ejecución. Si elnombre de archivo ha sido cambiado, el usuario norecibe una notificación.



8-11

Privilegios de supervisión de comportamientoSi los clientes disponen de los privilegios de supervisión de comportamiento, la pestañaSupervisión del comportamiento aparecerá en la consola del cliente de OfficeScan. Losusuarios pueden administrar su propia lista de excepciones.

FIGURA 8-1. Pestaña Supervisión del comportamiento de la consola del cliente deOfficeScan


8-12

Concesión de privilegios de supervisión decomportamiento

Procedimiento




4. En la pestaña Derechos, vaya a la sección Derechos de supervisión delcomportamiento.

5. Seleccione Mostrar la pestaña Supervisión de comportamiento en la consoladel cliente.




Notificaciones de Supervisión delcomportamiento para usuarios del cliente deOfficeScan

OfficeScan puede mostrar un mensaje de notificación en un equipo cliente deOfficeScan inmediatamente después de que Supervisión del comportamiento bloquee un


8-13

programa. Active el envío de mensajes de notificación y, de forma opcional, modifiqueel contenido del mensaje.

Habilitación del envío de mensajes de notificación

Procedimiento


2. En el árbol de clientes, haga clic en el icono del dominio raíz ( ) para incluirtodos los clientes o seleccionar dominios o clientes específicos.


4. Haga clic en la pestaña Otras configuraciones y vaya a la sección Configuraciónde la supervisión del comportamiento.

5. Seleccione Mostrar una notificación cuando se bloquee un programa.




Modificación del contenido del mensaje de notificación

Procedimiento



8-14

2. Haga clic en la pestaña Infracciones de la política de supervisión delcomportamiento.

3. Modifique el mensaje predeterminado en el cuadro de texto que aparece.


Registros de supervisión del comportamientoLos clientes de OfficeScan registran los intentos de acceso no autorizado por parte delos programas y envían los registros al servidor. De forma predeterminada, un cliente deOfficeScan que se ejecute de forma continua agrega continuamente los registros y losenvía cada 60 minutos.


Visualización de registros de supervisión delcomportamiento

Procedimiento

1. Vaya a Registros > Registros de equipos conectados en red > Riesgos deseguridad o Equipos en red > Administración de clientes.


3. Haga clic en Registros > Registros de supervisión del comportamiento o Verregistros > Registros de supervisión del comportamiento.




8-15

• Fecha y hora en la que se ha detectado el proceso no autorizado

• Equipo en el que se ha detectado el proceso no autorizado

• Dominio del equipo

• Infracción, que es la regla de supervisión de suceso que ha infringido elproceso

• Acción que se estaba llevando a cabo cuando se ha producido la infracción

• Suceso, que es el tipo de objeto al que ha accedido el programa

• Nivel de riesgo del programa no autorizado

• Programa, que es el programa no autorizado

• Operación, que es la acción que ha llevado a cabo el programa no autorizado

• Objetivo, que es el proceso al que se ha accedido


Configuración del programa de envío del registro desupervisión del comportamiento

Procedimiento



3. Busque la cadena "SendBMLogPeriod" y marque el valor que aparece junto aésta.

El valor predeterminado es 3.600 segundos y la cadena aparece comoSendBMLogPeriod=3600.


8-16

4. Especifique el valor en segundos.

Por ejemplo, para cambiar el período de registro a 2 horas, cambie el valor a 7.200.

5. Guarde el archivo.


7. Haga clic en Guardar sin realizar ningún cambio en la configuración.

8. Reinicie el cliente.

9-1

Capítulo 9

Uso del Control de dispositivosEn este capítulo se describe cómo proteger los ordenadores frente a riesgos de seguridadmediante la función Control de dispositivos.


• Control de dispositivos en la página 9-2

• Permisos para dispositivos de almacenamiento en la página 9-3

• Permisos para dispositivos sin almacenamiento en la página 9-10

• Modificación de las notificaciones de Control de dispositivos en la página 9-17

• Registros de control de dispositivos en la página 9-18


9-2

Control de dispositivosControl de dispositivos regula el acceso a los dispositivos de almacenamiento externo y alos recursos de red conectados a los equipos. El control de dispositivos ayuda a evitar lapérdida y la fuga de datos y, junto con la exploración de archivos, ayuda a protegersefrente a los riesgos de seguridad.

Puede configurar las políticas de Control de dispositivos para clientes internos yexternos. Los administradores de OfficeScan suelen configurar una política más estrictapara los clientes externos.

Las políticas constituyen una configuración granular en el árbol de clientes deOfficeScan. Puede aplicar determinadas políticas a grupos de clientes o clientesindividuales. A su vez, también puede aplicar una única política a todos los clientes.

Después de implementar las políticas, los clientes utilizan los criterios de ubicación quehaya definido en la pantalla Ubicación del equipo (consulte Ubicación del equipo en la página14-2) para determinar sus ubicaciones y la política que se va a aplicar. Los clientescambian de política cada vez que cambia la ubicación.

Importante:

• De forma predeterminada, la función Control de dispositivos está desactivada entodas las versiones de Windows Server 2003, Windows Server 2008 y WindowsServer 2012. Antes de activar la función Control de dispositivos en estasplataformas del servidor, lea las directrices y prácticas recomendadas que sedescriben en Servicios del cliente de OfficeScan en la página 14-7.

• Los tipos de dispositivos que OfficeScan puede supervisar dependen de que estéactivada la licencia de protección de datos. La protección de datos es un módulocon licencia individual y se ha de activar antes de poder utilizarse. Para obtenerinformación detallada acerca de la licencia de protección de datos, consulte Licenciade protección de datos en la página 3-4.

TABLA 9-1. Tipos de dispositivos

PROTECCIÓN DE DATOSACTIVADA

PROTECCIÓN DE DATOS NOACTIVADA

Dispositivos de almacenamiento

Uso del Control de dispositivos

9-3

PROTECCIÓN DE DATOSACTIVADA

PROTECCIÓN DE DATOS NOACTIVADA

CD/DVD Supervisado Supervisado

Disquetes Supervisado Supervisado

Unidades de red Supervisado Supervisado

Dispositivos dealmacenamiento USB

Supervisado Supervisado

Dispositivos sin almacenamiento

Adaptadores Bluetooth Supervisado No supervisado

Puertos COM y LPT Supervisado No supervisado

Interfaz IEEE 1394 Supervisado No supervisado

Dispositivos de imagen Supervisado No supervisado

Dispositivos infrarrojo Supervisado No supervisado

Módems Supervisado No supervisado

Tarjeta PCMCIA Supervisado No supervisado

Llave de impresión depantalla

Supervisado No supervisado

NIC inalámbricas Supervisado No supervisado

• Para obtener una lista de los modelos de dispositivos compatibles, consulte eldocumento Listas de protección de datos en:


Permisos para dispositivos dealmacenamiento

Los permisos de Control de dispositivos para dispositivos de almacenamiento se utilizancuando:



9-4

• Permite el acceso a dispositivos USB de almacenamiento, CD/DVD, disquetes yunidades de red. Puede conceder el acceso total a estos dispositivos o limitar elnivel de acceso.

• Configure la lista de dispositivos USB de almacenamiento permitidos. La funciónControl de dispositivos le permite bloquear el acceso a todos los dispositivos USBde almacenamiento, excepto a aquellos que se hayan agregado a lista de dispositivospermitidos. Puede conceder el acceso total a los dispositivos permitidos o limitar elnivel de acceso.

En la siguiente tabla se muestran los permisos para los dispositivos de almacenamiento.

TABLA 9-2. Permisos de Control de dispositivos para dispositivos dealmacenamiento

PERMISOS ARCHIVOS DEL DISPOSITIVO ARCHIVOS ENTRANTES

Acceso completo Operaciones permitidas: copiar,mover, abrir, guardar, eliminar yejecutar

Operaciones permitidas:guardar, mover y copiar

Esto significa que un archivo sepuede guardar, mover y copiaren el dispositivo.

Modificar Operaciones permitidas: copiar,mover, abrir, guardar y eliminar

Operaciones prohibidas:ejecutar

Operaciones permitidas:guardar, mover y copiar

Leer y ejecutar Operaciones permitidas: copiar,abrir y ejecutar

Operaciones prohibidas:guardar, mover y eliminar

Operaciones prohibidas:guardar, mover y copiar

Leer Operaciones permitidas: copiary abrir

Operaciones prohibidas:guardar, mover, eliminar yejecutar



9-5

PERMISOS ARCHIVOS DEL DISPOSITIVO ARCHIVOS ENTRANTES

Enumerar solocontenido deldispositivo

Operaciones prohibidas: todaslas operaciones

El dispositivo y los archivos queeste contiene están visiblespara el usuario (por ejemplo,desde el Explorador deWindows).


Bloquear

(disponible trasactivar laprotección dedatos)

Operaciones prohibidas: todaslas operaciones

Ni el dispositivo ni los archivosque este contiene están visiblespara el usuario (por ejemplo,desde el Explorador deWindows).


La función de exploración basada en archivos de OfficeScan complementa y puedeinvalidar los permisos de los dispositivos. Por ejemplo, si el permiso permite que se abraun archivo pero OfficeScan detecta que está infectado con malware, se llevará a cabouna acción de exploración específica sobre el archivo con el fin de eliminar el malware.Si la acción de exploración es limpiar, el archivo se abrirá una vez se haya limpiado. Sinembargo, si la acción es eliminar, el archivo se eliminará.

ConsejoEl control de dispositivos para la protección de datos es compatible con todas lasplataformas de 64 bits. Para la supervisión de la prevención de cambios no autorizados ensistemas con los que OfficeScan no es compatible (para obtener información detallada,consulte Compatibilidad de 64 bits de control de dispositivos para el servicio de prevención de cambios noautorizados en la página 1-9), establezca el permiso en Bloquear para limitar el acceso a esosdispositivos.

Permisos avanzados para dispositivos dealmacenamiento

Los permisos avanzados son aplicables cuando se conceden permisos limitados a losdispositivos de almacenamiento. El permiso puede ser alguno de los siguientes:


9-6

• Modificar

• Leer y ejecutar

• Leer

• Enumerar solo contenido del dispositivo

Puede mantener limitados los permisos pero conceder permisos avanzados adeterminados programas en los dispositivos de almacenamiento y en el equipo local.

Para definir programas, configure las siguientes listas de programas.

TABLA 9-3. Listas de programas

LISTA DEPROGRAMAS

DESCRIPCIÓN ENTRADAS VÁLIDAS

Programas conacceso de lecturay escritura en losdispositivos

Esta lista contiene programas locales yprogramas en dispositivos dealmacenamiento que disponen de accesode lectura y escritura a los dispositivos.

Un ejemplo de programa local es MicrosoftWord (winword.exe), que sueleencontrarse en C:\Archivos de programa\Microsoft Office\Office. Si el permisopara los dispositivos de almacenamientoUSB es "Enumerar solo contenido deldispositivo", pero "C:\Archivos deprograma\Microsoft Office\Office\winword.exe" está incluido en esta lista:

• Un usuario tendrá acceso de lectura yescritura a cualquier archivo en eldispositivo de almacenamiento USB alque se accede desde Microsoft Word.

• Un usuario puede guardar, mover ocopiar un archivo de Microsoft Word aldispositivo de almacenamiento USB.

Ruta y nombre deprograma

Para conocer másdetalles, consulteEspecificación deuna ruta y nombrede programa en lapágina 9-8.


9-7

LISTA DEPROGRAMAS

DESCRIPCIÓN ENTRADAS VÁLIDAS

Programas de losdispositivos conpermiso deejecución

Esta lista contiene los programas en losdispositivos de almacenamiento que losusuarios o el sistema pueden ejecutar.

Por ejemplo, si desea permitir a losusuarios instalar software desde un CD,agregue la ruta y el nombre del programade instalación como, por ejemplo, "E:\InstallerSetup.exe", a esta lista.

Ruta y nombre deprograma oproveedor de firmasdigitales

Para obtenerinformacióndetallada, consulteEspecificación deuna ruta y nombrede programa en lapágina 9-8 oEspecificación de unproveedor de firmasdigitales en la página9-8.

Hay instancias cuando se necesita agregar un programa a ambas listas. Considere lafunción de bloqueo de datos en un dispositivo de almacenamiento USB que, si se activa,solicita a los usuarios un nombre de usuario válido y una contraseña antes de poderdesbloquear el dispositivo. La función de bloqueo de datos utiliza un programa en eldispositivo denominado "Password.exe", cuya ejecución se debe permitir para que losusuarios puedan desbloquear el dispositivo correctamente. "Password.exe" tambiéndebe disponer de acceso de lectura y escritura al dispositivo para que los usuariospuedan cambiar el nombre de usuario o la contraseña.

Cada lista de programas de la interfaz de usuario puede contener hasta 100 programas. Sidesea agregar más programas a una lista de programas, tendrá que agregarlos al archivoofcscan.ini, que tiene cabida para 1.000 programas como máximo. Para obtenerinstrucciones sobre cómo agregar programas al archivo ofcscan.ini, consulte Adiciónde programas a las listas de Control de dispositivos mediante ofcscan.ini en la página 9-16.

¡ADVERTENCIA!Los programas agregados al archivo ofcscan.ini se implementarán en el dominio raíz ysobrescribirán programas en clientes y dominios individuales.


9-8

Especificación de un proveedor de firmas digitalesEspecifique un proveedor de firmas digitales si confía en programas publicados por elproveedor. Por ejemplo, escriba Microsoft Corporation o Trend Micro, Inc. Puedeobtener el proveedor de firmas digitales comprobando las propiedades de un programa(por ejemplo, haciendo clic con el botón derecho en el programa y seleccionandoPropiedades).

FIGURA 9-1. Proveedor de firmas digitales para el programa cliente de OfficeScan(PccNTMon.exe)

Especificación de una ruta y nombre de programaEl nombre y la ruta de programa deben tener 259 caracteres como máximo y solopueden contener caracteres alfanuméricos (A-Z, a-z, 0-9). No es posible especificar soloel nombre del programa.

Puede usar comodines en lugar de letras de unidad y nombres de programas. Puedeutilizar un signo de interrogación (?) para representar datos de un solo carácter, como


9-9

por ejemplo la letra de una unidad. Utilice un asterisco (*) para representar datos devarios caracteres, como por ejemplo el nombre de un programa.

NotaNo se pueden utilizar comodines para representar nombres de carpeta. Se debe especificarel nombre exacto de una carpeta.

Los comodines se utilizan correctamente en los ejemplos siguientes:

TABLA 9-4. Uso correcto de comodines

EJEMPLO DATOS COINCIDENTES

?:\Password.exe El archivo "Password.exe" ubicado directamente encualquier unidad

C:\Archivos de programa\Microsoft\*.exe

Cualquier archivo en C:\Archivos de programa quetenga una extensión de archivo

C:\Archivos de programa\*.* Cualquier archivo en C:\Archivos de programa quetenga una extensión de archivo

C:\Archivos de programa\a?c.exe

Cualquier archivo .exe en C:\Archivos de programaque tenga 3 caracteres empezando por la letra "a" yterminando por la letra "c"

C:\* Cualquier archivo ubicado directamente en la unidadC:\ con o sin extensiones de archivo

Los comodines se utilizan incorrectamente en los ejemplos siguientes:

TABLA 9-5. Uso incorrecto de comodines

EJEMPLO MOTIVO

??:\Buffalo\Password.exe ?? representa dos caracteres y las letras de unidadsolo tienen un único carácter alfabético.

*:\Buffalo\Password.exe * representa datos de varios caracteres y las letras deunidad solo tienen un único carácter alfabético.


9-10

EJEMPLO MOTIVO

C:\*\Password.exe No se pueden utilizar comodines para representarnombres de carpeta. Se debe especificar el nombreexacto de una carpeta.C:\?\Password.exe

Permisos para dispositivos sinalmacenamiento

Puede permitir o bloquear el acceso a dispositivos sin almacenamiento. No hay permisosgranulares o avanzados para estos dispositivos.

Administración del acceso a dispositivos externos(protección de datos activada)

Procedimiento



3. Haga clic en Configuración > Configuración de Control de dispositivos.

4. Haga clic en la pestaña Clientes externos para definir la configuración en clientesexternos o en la pestaña Clientes internos para definir la configuración en clientesinternos.

5. Seleccione Activar Control de dispositivos.

6. Aplique la siguiente configuración:

• En el caso de que se encuentre en la pestaña Clientes externos, puede aplicarla configuración en los clientes internos si selecciona Aplicar laconfiguración en los clientes internos.


9-11

• En el caso de que se encuentre en la pestaña Clientes internos, puede aplicarla configuración de acción en los clientes externos si selecciona Aplicar laconfiguración en los clientes externos.

7. Seleccione si desea bloquear o permitir la función de ejecución automática(autorun.inf) en los dispositivos de almacenamiento USB.

8. Definir la configuración para dispositivos de almacenamiento.

a. Seleccione un permiso para cada dispositivo de almacenamiento. Para obtenerinformación detallada acerca de los permisos, consulte Permisos para dispositivosde almacenamiento en la página 9-3.

b. Si el permiso para dispositivos de almacenamiento USB es Bloquear,configure una lista de dispositivos permitidos. Los usuarios pueden acceder aestos dispositivos y puede controlar el nivel de acceso mediante los permisos.Consulte Configuración de una lista de dispositivos USB permitidos en la página 9-13.

9. Para dispositivos sin almacenamiento, seleccione Permitir o Bloquear.




Configuración de los permisos avanzadosAunque puede configurar notificaciones y permisos avanzados para un dispositivo dealmacenamiento específico en la interfaz de usuario, los permisos y notificaciones seaplican realmente a todos los dispositivos de almacenamiento. Esto significa que cuandose hace clic en Permisos avanzados y notificaciones para CD/DVD, realmente estádefiniendo permisos y notificaciones para todos los dispositivos de almacenamiento.


9-12

Nota

Para obtener información detallada acerca de los permisos avanzados y cómo definirprogramas correctamente con permisos avanzados, consulte Permisos avanzados paradispositivos de almacenamiento en la página 9-5.

Procedimiento

1. Haga clic en Permisos avanzados y notificaciones.


2. Debajo de Programas con acceso de lectura y escritura a los dispositivos dealmacenamiento, escriba un nombre de archivo y una ruta de programa y, acontinuación, haga clic en Agregar.

No se acepta el proveedor de firmas digitales.

3. Debajo de Programas de los dispositivos de almacenamiento con permiso deejecución, escriba el nombre y la ruta del programa o el proveedor de firmasdigitales y, a continuación, haga clic en Agregar.

4. Seleccione Mostrar un mensaje de notificación en el equipo cliente cuandoOfficeScan detecte un acceso no autorizado al dispositivo.

• El acceso no autorizado al dispositivo se refiere a operaciones del dispositivoprohibidas. Por ejemplo, si el permiso del dispositivo es "Lectura", losusuarios no podrán guardar, mover, eliminar ni ejecutar un archivo en eldispositivo. Para obtener una lista de operaciones de dispositivo prohibidasbasadas en los permisos, consulte Permisos para dispositivos de almacenamiento en lapágina 9-3.

• Puede modificar el mensaje de notificación. Para obtener informacióndetallada, consulte Modificación de las notificaciones de Control de dispositivos en lapágina 9-17.

5. Haga clic en Atrás.


9-13

Configuración de una lista de dispositivos USB permitidos

La lista dispositivos USB permitidos es compatible con el uso del asterisco (*) comocomodín. Sustituya cualquier campo con el asterisco (*) para incluir todos losdispositivos que cumplan con los otros campos. Por ejemplo, [proveedor]-[modelo]-*coloca todos los dispositivos USB del proveedor específico y del tipo de modeloespecífico, independientemente del ID de serie, en la lista permitida.

Procedimiento

1. Haga clic en Dispositivos permitidos

2. Escriba el nombre del proveedor de dispositivos.

3. Escriba el modelo de dispositivo y el ID de serie.

Consejo

Utilice la herramienta de lista de dispositivos para realizar consultas en losdispositivos que estén conectados a puntos finales. La herramienta proporciona eldistribuidor, el modelo y el ID de serie de cada dispositivo. Para conocer más detalles,consulte Herramienta de lista de dispositivos en la página 9-13.

4. Seleccione el permiso para el dispositivo.

Si desea obtener información detallada sobre los permisos, consulte Permisos paradispositivos de almacenamiento en la página 9-3.

5. Para agregar más dispositivos, haga clic en el icono +.

6. Haga clic en < Atrás.

Herramienta de lista de dispositivos

Ejecute la herramienta de lista de dispositivos localmente en cada punto final pararealizar consultas en los dispositivos externos que estén conectados al punto final. Laherramienta explora un punto final en busca de dispositivos externos y, después,muestra información del dispositivo en una ventana del explorador. Puede utilizar la


9-14

información al configurar los parámetros del dispositivo para la prevención de pérdidade datos y Control de dispositivos.

Ejecución de la herramienta de lista de Dispositivo

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la \PCCSRV\Admin\Utility\ListDeviceInfo.

2. Copie listDeviceInfo.exe en el punto final de destino.

3. En el punto final, ejecute listDeviceInfo.exe.

4. Vea la información del dispositivo que muestra la ventana del navegador. Elservicio de prevención de pérdida de datos y el Control de dispositivos utilizan lasiguiente información:

• Proveedor (necesario)

• Modelo (opcional)

• ID de serie (opcional)

Administración del acceso a dispositivos externos(protección de datos activada)

Procedimiento



3. Haga clic en Configuración > Configuración de Control de dispositivos.

4. Haga clic en la pestaña Clientes externos para definir la configuración en clientesexternos o en la pestaña Clientes internos para definir la configuración en clientesinternos.


9-15

5. Seleccione Activar Control de dispositivos.

6. Aplique la siguiente configuración:

• En el caso de que se encuentre en la pestaña Clientes externos, puede aplicarla configuración en los clientes internos si selecciona Aplicar laconfiguración en los clientes internos.

• En el caso de que se encuentre en la pestaña Clientes internos, puede aplicarla configuración de acción en los clientes externos si selecciona Aplicar laconfiguración en los clientes externos.

7. Seleccione si desea bloquear o permitir la función de ejecución automática(autorun.inf) en los dispositivos de almacenamiento USB.

8. Seleccione un permiso para cada dispositivo de almacenamiento. Para obtenerinformación detallada acerca de los permisos, consulte Permisos para dispositivos dealmacenamiento en la página 9-3.

9. Configure las notificaciones y los permisos avanzados si el permiso de undispositivo de almacenamiento es alguno de los siguientes: Modificar, Leer yejecutar, Leer o Enumerar solo contenido del dispositivo. ConsulteConfiguración de los permisos avanzados en la página 9-11.





9-16

Adición de programas a las listas de Control de dispositivosmediante ofcscan.ini

NotaPara obtener información detallada acerca de las listas de programas y cómo definircorrectamente programas que se puedan agregar a las listas, consulte Permisos avanzados paradispositivos de almacenamiento en la página 9-5.

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV.

2. Abra el archivo ofcscan.ini con un editor de texto.

3. Para agregar programas con acceso de lectura y escritura a los dispositivos dealmacenamiento:

a. Localice las siguientes líneas:

[DAC_APPROVED_LIST]

Count=x

b. Sustituya "x" por el número de programas en la lista de programas.

c. Debajo de Count=x, agregue programas escribiendo lo siguiente:

Item<número>=<nombre y ruta del programa o proveedor defirmas digitales>

Por ejemplo:

[DAC_APPROVED_LIST]

Count=3

Item0=C:\Program Files\program.exe

Item1=?:\password.exe

Item2=Microsoft Corporation


9-17

4. Para agregar programas de los dispositivos de almacenamiento con permiso deejecución:

a. Localice las siguientes líneas:

[DAC_EXECUTABLE_LIST]

Count=x

b. Sustituya "x" por el número de programas en la lista de programas.

c. Debajo de Count=x, agregue programas escribiendo lo siguiente:

Item<número>=<nombre y ruta del programa o proveedor defirmas digitales>

Por ejemplo:

[DAC_EXECUTABLE_LIST]

Count=3

Item0=?:\Installer\Setup.exe

Item1=E:\*.exe

Item2=Trend Micro, Inc.

5. Guarde y cierre el archivo ofcscan.ini.

6. Abra la consola Web de OfficeScan y vaya a Equipos en red > Configuracióngeneral del cliente.

7. Haga clic en Guardar para implementar las listas de programas a todos los clientes.

Modificación de las notificaciones de Controlde dispositivos

Cuando se produzcan infracciones de Control de dispositivos, se mostrarán mensajes denotificación en los puntos finales. Los administradores pueden modificar, en caso de quesea necesario, el mensaje de notificación predeterminado.


9-18

Procedimiento


2. Haga clic en la pestaña Infracción del Control de Dispositivos.

3. Modifique los mensajes predeterminados en el cuadro de texto habilitado para ello.


Registros de control de dispositivosLos clientes de OfficeScan registran los intentos de acceso no autorizado a losdispositivos y envían los registros al servidor. Un cliente que se ejecuta de formacontinua agrega los registros y los envía cada 24 horas. Una cliente que se ha reiniciadocomprueba cuándo fue la última vez que se enviaron los registros al servidor. Si hacemás de 24 horas, el cliente envía los registros en ese mismo instante.


Visualización de los registros de Control de dispositivos

Procedimiento



3. Haga clic en Registros > Registros de Control de dispositivos o Ver registros> Registros de control de dispositivos.



9-19


• Fecha y hora en la que se ha detectado el acceso no autorizado

• Equipo en el que se conectan los dispositivos externos o donde se asignan losrecursos de red

• Dominio del equipo en el que se conectan los dispositivos externos o dondese asignan los recursos de red

• Tipo de dispositivo o recurso de red al que se puede acceder

• Objetivo, que es el elemento del dispositivo o del recurso de red al que se hapodido acceder

• Origen, donde se especifica desde dónde se ha iniciado el acceso

• Permisos establecidos para el destino


10-1

Capítulo 10

Uso de la Prevención de pérdida dedatos

En este capítulo se describe cómo utilizar la función de la Prevención de pérdida dedatos.


• Acerca de la prevención de pérdida de datos en la página 10-2

• Políticas de prevención de pérdida de datos en la página 10-3

• Tipos de identificadores de datos en la página 10-5

• Plantillas de prevención de pérdida de datos en la página 10-20

• Canales de la DLP en la página 10-24

• Acciones de la prevención de pérdida de datos en la página 10-37

• Excepciones de la prevención de pérdida de datos en la página 10-38

• Configuración de las políticas de prevención de pérdida de datos en la página 10-44

• Notificaciones de la prevención de pérdida de datos en la página 10-49

• Registros de prevención de pérdida de datos en la página 10-54


10-2

Acerca de la prevención de pérdida de datosLas soluciones de seguridad tradicionales se centran en evitar que las amenazas deseguridad externas lleguen a la red. En los entornos de seguridad actuales, eso es solouna parte del problema. El acceso no autorizado a datos se ha convertido en algocomún, por lo que los datos confidenciales de una organización (lo que se conoce comoactivos digitales) quedan expuestos a terceras partes no autorizadas. El acceso noautorizado a datos puede producirse a raíz de un error o descuido de un empleadointerno, la externalización de datos, el robo o la pérdida de dispositivos informáticos oataques malintencionados.

Las infracciones de seguridad pueden:

• Dañar la reputación de la marca

• Mermar la confianza del cliente en la organización

• Acarrear costes innecesarios con los que cubrir la solución y pagar sanciones porinfringir las normativas de conformidad

• Provocar pérdidas de oportunidades empresariales e ingresos cuando haya robos depropiedad intelectual

Dada la prevalencia y los dañinos efectos de las infracciones de seguridad, lasorganizaciones ven ahora la protección de archivos digitales como un componentecrítico en su infraestructura de seguridad.

El servicio de prevención de pérdida de datos protege los datos confidenciales de laorganización frente a fugas accidentales o intencionadas. La prevención de pérdida dedatos le permite:

• Identificar la información confidencial que requiera protección mediante losidentificadores de datos.

• Crear políticas que limiten o eviten la transmisión de activos digitales a través decanales de transmisión frecuentes, tales como mensajes de correo electrónico ydispositivos externos.

• Aplicar la conformidad a estándares de privacidad establecidos

Antes de poder supervisar la información confidencial en busca de pérdidas potenciales,debe poder responder a las preguntas siguientes:

Uso de la Prevención de pérdida de datos

10-3

• ¿Qué datos necesitan protección frente a usuarios no autorizados?

• ¿Dónde residen los datos confidenciales?

• ¿Cómo de transmiten los datos confidenciales?

• ¿Qué usuarios están autorizados a acceder a los datos confidenciales o atransmitirlos?

• ¿Qué acción se debe llevar a cabo si se produce una infracción de seguridad?

Esta importante auditoría implica normalmente a varios departamentos y personalfamiliarizado con la información confidencial en la organización.

Si ya ha definido las políticas de seguridad e información confidencial, puede comenzar adefinir los identificadores de datos y las políticas de empresa.

Políticas de prevención de pérdida de datosOfficeScan evalúa un archivo o dato en relación con un conjunto de reglas definido enlas políticas de DLP. Las políticas determinan qué archivos o datos deben protegersefrente a transmisiones sin autorización, así como la acción que OfficeScan llevará a cabocuando detecte dichas transmisiones.

Nota

No se supervisan las transmisiones de datos entre el servidor de OfficeScan y sus clientes.

Puede configurar las políticas para clientes internos y externos. Los administradores deOfficeScan suelen configurar una política más estricta para los clientes externos.

Puede aplicar determinadas políticas a grupos de clientes o clientes individuales. A suvez, también puede aplicar una única política a todos los clientes.

Después de implementar las políticas, los clientes utilizan los criterios de ubicación quehaya definido en la pantalla Ubicación del equipo (consulte Ubicación del equipo en lapágina 14-2) para determinar sus ubicaciones y la política que se va a aplicar. Losclientes cambian de política cada vez que cambia la ubicación.


10-4

Configuración de políticas

Defina las políticas de DLP. Para ello, configure las siguientes opciones e implemente laconfiguración en los clientes seleccionados:

TABLA 10-1. Configuración que define una política de DLP

CONFIGURACIÓN DESCRIPCIÓN

Identificadores dedatos

OfficeScan utiliza los identificadores de datos para detectarinformación confidencial. Entre los identificadores de datos seincluyen expresiones, atributos de archivo y palabras clave queactúan como bloques de construcción para las plantillas de DLP.

Reglas Una regla de DLP puede consistir en varias plantillas, canales yacciones. Cada regla es un subconjunto de la política de DLP quela abarca.

Plantillas Una plantilla de DLP combina identificadores de datos yoperadores lógicos (Y, O, Excepto) para formar condiciones. Sololos archivos o los datos que cumplan con una determinadacondición estarán sujetos a una regla de DLP.

OfficeScan incluye un conjunto de plantillas predefinidas y lepermite crear plantillas personalizadas.

Una regla de DLP puede contener una o varias plantillas.OfficeScan utiliza la regla de primera coincidencia al comprobar lasplantillas. Esto significa que si un archivo o datos coinciden con losidentificadores de datos en una plantilla, OfficeScan no seguirácomprobando las demás.

Canales Los canales son entidades que transmiten información confidencial.OfficeScan admite canales de transmisión populares tales como,correo electrónico, dispositivos de almacenamiento extraíbles yaplicaciones de mensajería instantánea.

Acciones OfficeScan realiza una o varias acciones cuando detecta un intentode transmitir información confidencial mediante cualquiera de loscanales.

Excepciones Las excepciones actúan como reemplazos a las reglas DLPconfiguradas. Configure las excepciones para administrar losdestinos no supervisados, los destinos supervisados y laexploración de archivos comprimidos.


10-5

Tipos de identificadores de datosLos activos digitales son archivos y datos que una organización debe proteger de lastransmisiones sin autorización. Puede definir los activos digitales mediante los siguientesidentificadores de datos:

• Expresiones: datos que tienen una determinada estructura. Para conocer másdetalles, consulte Expresiones en la página 10-5.

• Atributos de archivo: propiedades de los archivos, como el tipo o el tamaño. Paraconocer más detalles, consulte Atributos de archivo en la página 10-10.

• Palabras clave: una lista de palabras o frases especiales. Para conocer más detalles,consulte Palabras clave en la página 10-13.

Nota

No se puede eliminar un identificador de datos que se esté utilizando en una política deDLP. Elimine la plantilla antes de eliminar el identificador de datos.

Expresiones

Una expresión hace referencia a datos con una determinada estructura. Por ejemplo, losnúmeros de tarjetas de crédito suelen tener 16 dígitos con el formato "nnnn-nnnn-nnnn-nnnn", lo que los hace apropiados para detecciones basadas en expresiones.

Puede utilizar expresiones predefinidas y personalizadas. Para conocer más detalles,consulte Expresiones predefinidas en la página 10-5 y Expresiones personalizadas en la página10-6.

Expresiones predefinidas

OfficeScan incluye un conjunto de expresiones predefinidas. Estas expresiones no sepueden modificar ni eliminar.

OfficeScan comprueba estas expresiones utilizando coincidencia de patrones yecuaciones matemáticas. Después de que OfficeScan asigne datos potencialmente


10-6

confidenciales a una expresión, los datos también se pueden someter a comprobacionesde verificación adicionales.

Para ver la lista completa de expresiones predefinidas, consulte el documento Listas deprotección de datos en http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Visualización de la configuración de las expresionespredefinidas

NotaLas expresiones predefinidas no se pueden modificar ni eliminar.

Procedimiento

1. Vaya a Equipos en red > Prevención de pérdida de datos > Identificadoresde datos.

2. Haga clic en la pestaña expresión.

3. Haga clic en el nombre de la expresión.

4. Vea la configuración en la pantalla que se abre.

Expresiones personalizadasCree expresiones personalizadas si no hay ninguna expresión predefinida que satisfagasus necesidades.

Las expresiones son una poderosa herramienta de coincidencia de cadenas. Asegúrese defamiliarizarse con la sintaxis de expresiones antes de crearlas. Una expresión escritaincorrectamente puede tener nefastos resultados en el rendimiento.

Al crear expresiones:

• Consulte las expresiones predefinidas a modo de guía para ver cómo definirexpresiones válidas. Si, por ejemplo, está creando una expresión que incluya unafecha, puede consultar las expresiones con el prefijo "Date".

http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx



10-7

• Tenga en cuenta que OfficeScan permite los formatos de expresión definidos en lalibrería Perl Compatible Regular Expressions (PCRE). Para obtener másinformación sobre PCRE, visite el siguiente sitio Web:

http://www.pcre.org/

• Comience con expresiones sencillas. Modifique las expresiones que causen falsasalarmas o ajústelas con mayor precisión para mejorar las detecciones.

Son varios los criterios entre los que puede elegir a la hora de crear expresiones. Unaexpresión debe cumplir los criterios que escoja antes de que OfficeScan la supedite a unapolítica de DLP. Para obtener información detallada acerca de las distintas opciones decriterios, consulte Criterios para las expresiones personalizadas en la página 10-7.

Criterios para las expresiones personalizadas

TABLA 10-2. Opciones de criterios para las expresiones personalizadas

CRITERIOS REGLA EJEMPLO

Ninguna Ninguna Todo - Nombres de la Oficina delCenso estadounidense

Expresión: [^\w]([A-Z][a-z]{1,12}(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]{1,12})[^\w]

Caracteresespecíficos

Una expresión debe incluirlos caracteres que hayaespecificado.

Además, el número decaracteres de la expresióndebe hallarse dentro de loslímites mínimo y máximo.

EE.UU. - Número de enrutamientoABA

Expresión: [^\d]([0123678]\d{8})[^\d]

Caracteres: 0123456789

Núm. mínimo de caracteres: 9

Núm. máximo de caracteres: 9

http://www.pcre.org/


10-8

CRITERIOS REGLA EJEMPLO

Sufijo El sufijo hace referencia alúltimo segmento de unaexpresión. Un sufijo debeincluir los caracteres quese hayan especificado ycontener un determinadonúmero de estos.

Además, el número decaracteres de la expresióndebe hallarse dentro de loslímites mínimo y máximo.

Todo - Dirección particular

Expresión: \D(\d+\s[a-z.]+\s([a-z]+\s){0,2} (lane|ln|street|st|avenue|ave| road|rd|place|pl|drive|dr|circle| cr|court|ct|boulevard|blvd)\.? [0-9a-z,#\s\.]{0,30}[\s|,][a-z]{2}\s\d{5}(-\d{4})?)[^\d-]

Caracteres del sufijo:0123456789-

Número de caracteres: 5

Núm. mínimo de caracteres en laexpresión: 25

Núm. máximo de caracteres en laexpresión: 80

Separador decaracteres

Una expresión debe tenerdos segmentos separadospor un carácter. El carácterdebe tener 1 byte delongitud.

Además, el número decaracteres a la izquierdadel separador debehallarse dentro de loslímites mínimo y máximo.El número de caracteres ala derecha del separadorno debe exceder el límitemáximo.

Todo - Dirección de correo electrónico

Expresión: [^\w.]([\w\.]{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}[a-z\.]{0,10})[^\w.]

Separador: @

Núm. mínimo de caracteres a laizquierda: 3

Núm. máximo de caracteres a laizquierda: 15

Núm. máximo de caracteres a laderecha: 30

Creación de una expresión personalizada

Procedimiento



10-9




4. Escriba un nombre para la expresión. El nombre no debe tener más de 100 delongitud ni contener los siguientes caracteres:

• > < * ^ | & ? \ /

5. Escriba una descripción que no supere los 256 bytes de longitud.

6. Escriba la expresión y especifique si distingue entre mayúsculas y minúsculas.

7. Escriba los datos mostrados.

Si, por ejemplo, está creando una expresión para números de ID, escriba unnúmero de ID de ejemplo. Este dato se utiliza únicamente como referencia y noaparecerá en ningún otro lugar en el producto.

8. Escoja uno de los siguientes criterios y defina la configuración adicional para loscriterios elegidos (consulte Criterios para las expresiones personalizadas en la página 10-7):

• Ninguna

• Caracteres específicos

• Sufijo

• Separador de caracteres

9. Contraste la expresión con datos reales.

Si, por ejemplo, la expresión es para un ID nacional, escriba un número de IDválido en el cuadro de texto Datos de prueba, haga clic en Probar y, después,compruebe el resultado.

10. Haga clic en Guardar si está de acuerdo con el resultado.

NotaGuarde la configuración únicamente si la prueba se realizó de modo correcto. Unaexpresión que no puede detectar datos desperdicia recursos del sistema y puedeafectar al rendimiento del sistema.


10-10

11. Aparece un mensaje que le recuerda que debe implementar la configuración en losclientes. Haga clic en Cerrar.

12. De nuevo en la pantalla Identificadores de datos de la DLP, haga clic enAplicar a todos los clientes.

Importación de expresiones personalizadas

Utilice esta opción si cuenta con un archivo .dat que tenga el formato correcto ycontenga las expresiones. Para generar el archivo, puede exportar las expresiones desdeel servidor de OfficeScan al cual esté accediendo o desde otro servidor de OfficeScan.

NotaLos archivos de expresiones .dat generados por esta versión de OfficeScan no soncompatibles con las versiones anteriores.

Procedimiento



3. Haga clic en Importar y, a continuación, encuentre el archivo .dat que contengalas expresiones.

4. Haga clic en Abrir.

Aparecerá un mensaje en el que se le informará de que la importación se realizócorrectamente. Si la expresión que se va a importar ya existe, esta se omitirá.

5. Haga clic en Aplicar a todos los clientes.

Atributos de archivoLos atributos de archivo son propiedades específicas del mismo. Puede utilizar dosatributos de archivo al definir identificadores de datos; a saber: tipo de archivo y tamaño


10-11

de archivo. Por ejemplo, una empresa de desarrollo de software puede que quiera limitarel uso compartido del instalador del software de la empresa al departamento de I+D,cuyos miembros son responsables del desarrollo y comprobación del software. En talcaso, el administrador de OfficeScan puede crear una política que bloquee la transmisiónde archivos ejecutables que tengan entre 10 y 40 MB a todos los departamentos, exceptoa I+D.

En sí mismos, los atributos de archivo son identificadores deficientes de archivosconfidenciales. Prosiguiendo con el ejemplo de este tema, la mayoría de los instaladoresde software de terceros que se compartan con otros departamentos se bloqueará. Por lotanto, Trend Micro recomienda que se combinen atributos de archivo con otrosidentificadores de datos de la función DLP para así conseguir una detección de archivosconfidenciales más específica.

Para ver la lista completa de tipos de archivos compatibles, consulte el documento Listasde protección de datos en http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Creación de una lista de atributos de archivo

Procedimiento


2. Haga clic en la pestaña atributo de archivo.



4. Escriba un nombre para la lista de atributos de archivo. El nombre no debe tenermás de 100 de longitud ni contener los siguientes caracteres:

• > < * ^ | & ? \ /


6. Seleccione sus tipos de archivo verdadero preferidos.

7. Si no figura el tipo de archivo que desea incluir, seleccione Extensiones dearchivo y, a continuación, escriba la extensión del tipo de archivo. OfficeScan




10-12

comprueba los archivos con la extensión especificada pero no comprueba sus tiposde archivo verdadero. Directrices al especificar extensiones de archivo:

• Cada extensión debe comenzar por un asterisco (*), seguida de un punto (.) y,a continuación, la extensión. El asterisco es un comodín, que representa elnombre real de un archivo. Por ejemplo, *.pol coincide con 12345.pol ytest.pol.

• Puede incluir comodines en las extensiones. Utilice un signo de interrogación(?) para representar un carácter único y un asterisco (*) para representar dos omás caracteres. Consulte los siguientes ejemplos:

- *.*m coincide con los archivos siguientes: ABC.dem, ABC.prm, ABC.sdcm- *.m*r coincide con los archivos siguientes: ABC.mgdr, ABC.mtp2r,ABC.mdmr- *.fm? coincide con los archivos siguientes: ABC.fme, ABC.fml, ABC.fmp

• Tenga cuidado al agregar un asterisco al final de una extensión, ya que estopodría hacer coincidir partes de un nombre de archivo y una extensión norelacionada. Por ejemplo: *.do* coincide con abc.doctor_john.jpg yabc.donor12.pdf.

• Separe las extensiones de archivo con punto y coma (;). No es necesarioagregar un espacio después de punto y coma.

8. Escriba los tamaños mínimo y máximo del archivo en bytes. Ambos tamaños dearchivo han de ser números enteros mayores que cero.




Importación de una lista de atributos de archivoUtilice esta opción si cuenta con un archivo .dat que tenga el formato correcto ycontenga las listas de atributos de archivo. Para generar el archivo, puede exportar las


10-13

listas de atributos de archivo desde el servidor de OfficeScan al cual esté accediendo odesde otro servidor de OfficeScan.

Nota

Los archivos de atributos de archivo .dat generados por esta versión de OfficeScan noson compatibles con las versiones anteriores.

Procedimiento


2. Haga clic en la pestaña atributo de archivo.

3. Haga clic en Importar y, después, encuentre el archivo .dat que contenga laslistas de atributos de archivo.


Aparecerá un mensaje en el que se le informará de que la importación se realizócorrectamente. Si la lista de atributos de archivo que se va a importar ya existe, estase omitirá.


Palabras clave

Las palabras clave son palabras o frases especiales. Puede agregar palabras claverelacionadas a una lista de palabras clave para identificar tipos de datos específicos. Porejemplo, en un certificado médico pueden aparecer las palabras clave "pronóstico","grupo sanguíneo", "vacunación" y "médico". Si desea evitar la transmisión de archivosde certificados médicos, puede utilizar estas palabras clave en la política de DLP y,después, configurar OfficeScan para que bloquee los archivos que las contengan.

Se pueden combinar palabras de uso común para que formen palabras clavesignificativas. Por ejemplo, "end" ('fin', 'final', 'finalizar'), "read" ('lectura', 'leer'), "if" ('si')y "at" ('a', 'al') se pueden combinar para formar palabras clave que se pueden encontrar


10-14

en códigos fuente, tales como "END-IF" ('finalizar si'), "END-READ" ('finalizarlectura') y "AT END" ('al final').

Puede utilizar listas de palabras clave predefinidas y personalizadas. Para conocer másdetalles, consulte Listas de palabras clave predefinidas en la página 10-14 y Listas de palabrasclave personalizadas en la página 10-15.

Listas de palabras clave predefinidas

OfficeScan incluye un conjunto de listas de palabras clave predefinidas. Estas listas depalabras clave no se pueden modificar ni eliminar. Cada lista presenta sus propiascondiciones integradas que determinan si la plantilla debe activar una infracción depolítica.

Para ver la lista completa de palabras clave predefinidas de OfficeScan, consulte eldocumento Listas de protección de datos en http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Funcionamiento de las listas de palabras clave

Número de condición de palabras clave

Cada lista de palabras clave contiene una condición que requiere que haya undeterminado número de palabras clave en un documento para que la lista active unainfracción.

La condición de número de palabras clave contiene los siguientes valores:

• Todos: todas las palabras clave de la lista deben estar presentes en el documento.

• Cualquiera: cualquiera de las palabras clave de la lista debe estar presente en eldocumento.

• Número específico: debe haber al menos el número especificado de palabrasclave en el documento. Si hay más palabras clave en el documento que el númeroespecificado, se activará una infracción.




10-15

Condición de distancia

Algunas de las listas contienen una condición de "distancia" para determinar si se haproducido una infracción. La "distancia" hace referencia a la cantidad de caracteres entreel primero de una palabra clave y el último de otra palabra clave. Tenga en cuenta lasiguiente entrada:

Nombre:_Jerónimo_ Apellido:_Sancho_

La lista Formularios - Nombre, apellido presenta una condición de "distancia" decincuenta (50) y los campos de formulario utilizados habitualmente "Nombre" y"Apellido". En el ejemplo anterior, se activará una violación si el número de caracteresentre la "N" de Nombre y la "A" de Apellido es igual a dieciocho (18).

A continuación se muestra un ejemplo de una entrada que no activará una infracción:

El nombre del nuevo empleado procedente de Perú es Jerónimo. Su apellido esSancho.

En este ejemplo, el número de caracteres entre la "n" de nombre y la "a" de apellido essesenta y uno (61). Esta separación supera el umbral de distancia y no activa unainfracción.

Listas de palabras clave personalizadas

Cree listas de palabras clave personalizadas si no hay ninguna lista de palabras clavepredefinidas que satisfaga sus necesidades.

Son varios los criterios entre los que puede elegir a la hora de configurar una lista depalabras clave. Una lista de palabras clave debe cumplir con los criterios que escoja antesde que OfficeScan la supedite a una política de DLP. Escoja uno de los siguientescriterios para cada lista de palabras clave:

• Cualquier palabra clave

• Todas las palabras clave

• Todas las palabras clave de <x> caracteres

• El resultado combinado de las palabras clave es mayor que el umbral


10-16

Para obtener información acerca de las reglas de criterios, consulte Criterios de la lista depalabras clave personalizada en la página 10-16.

Criterios de la lista de palabras clave personalizada

TABLA 10-3. Criterios para una lista de palabras clave

CRITERIOS REGLA

Cualquierpalabra clave

Un archivo debe contener al menos una palabra clave de la lista depalabras clave.

Todas laspalabras clave

Un archivo debe contener todas las palabras clave de la lista depalabras clave.

Todas laspalabras clavede <x>caracteres

Un archivo debe contener todas las palabras clave de la lista depalabras clave. Además, entre cada par de palabras clave debe haber<x> caracteres.

Tomemos un ejemplo en el que se usen las palabras clave WEB, DISKy USB, y se especifique que haya 20 caracteres.

Si OfficeScan detecta todas las palabras clave en el orden DISK, WEBy USB, el número de caracteres desde la "D" (de DISK) a la "W" (deWEB) y de la "W" a la "U" (de USB) debe ser 20 o menos.

Los siguientes datos coinciden con los criterios:DISK####WEB############USB

Los siguientes datos no coinciden con los criterios:DISK*******************WEB****USB(23 caracteres entre la "D" y la"W")

Al decidir el número de caracteres, recuerde que lo habitual es que unnúmero pequeño, como puede ser el 10, permita menores tiempos deexploración, pero cubra un área relativamente pequeña. Esto puedereducir la probabilidad de detectar datos confidenciales, sobre todo, enarchivos de gran tamaño. Al aumentar el número, el área que se cubratambién aumentará, pero el tiempo de exploración puede ser superior.


10-17

CRITERIOS REGLA

El resultadocombinado delas palabrasclave esmayor que elumbral

Un archivo debe contener una o más palabras clave de la lista depalabras clave. Si solo se detecta una palabra clave, su puntuacióndebe ser superior al umbral. Si hay varias palabras clave, supuntuación combinada debe ser superior al umbral.

Asigne a cada palabra clave una puntuación del 1 al 10. Una palabra ofrase muy confidenciales, como puede ser "aumento salarial" para eldepartamento de Recursos Humanos, debe tener una puntuaciónrelativamente alta. Las palabras o frases que, por sí mismas, notengan mucho peso deben tener puntuaciones menores.

Cuando configure el umbral, tenga en cuenta las puntuaciones quehaya asignado a las palabras clave. Si, por ejemplo, tiene cincopalabras clave y tres de ellas son de alta prioridad, el umbral puede serigual o inferior a la puntuación combinada de las tres palabras clave dealta prioridad. Esto quiere decir que la detección de estas tres palabrasclave basta para tratar el archivo como confidencial.

Creación de una lista de palabras clave

Procedimiento


2. Haga clic en la pestaña palabra clave.



4. Escriba un nombre para la lista de palabras clave. El nombre no debe tener más de100 de longitud ni contener los siguientes caracteres:

• > < * ^ | & ? \ /


6. Escoja uno de los siguientes criterios y defina la configuración adicional para loscriterios elegidos:


10-18

• Cualquier palabra clave

• Todas las palabras clave

• Todas las palabras clave de <x> caracteres

• El resultado combinado de las palabras clave es mayor que el umbral

7. Para añadir de forma manual palabras clave a la lista:

a. Escriba una palabra clave que tenga entre 3 y 40 bytes de longitud yespecifique si distingue entre mayúsculas y minúsculas.

b. Haga clic en Agregar.

8. Para añadir palabras clave mediante la opción "importar":

NotaUtilice esta opción si cuenta con un archivo .csv que tenga el formato correcto ycontenga las palabras clave. Para generar el archivo, puede exportar las palabras clavedesde el servidor de OfficeScan al cual esté accediendo o desde otro servidor deOfficeScan.

a. Haga clic en Importar y, a continuación, busque el archivo .csv quecontiene las palabras clave.

b. Haga clic en Abrir.

Aparecerá un mensaje en el que se le informará de que la importación serealizó correctamente. Si la palabra clave que se va a importar ya está en lalista, esta se omitirá.

9. Para eliminar palabras clave, selecciónelas y haga clic en Eliminar.

10. Para exportar palabras clave:

NotaUtilice la función "exportar" para realizar una copia de seguridad de las palabras claveo para importarlas a otro servidor de OfficeScan. Se exportarán todas las palabrasclave de la lista de palabras clave. No se pueden exportar palabras clave de formaindividual.


10-19

a. Haga clic en Exportar.

b. Guarde el archivo .csv resultante en la ubicación que prefiera.




Importación de una lista de palabras clave

Utilice esta opción si cuenta con un archivo .dat que tenga el formato correcto ycontenga las listas de palabras clave. Para generar el archivo, puede exportar las listas depalabras clave desde el servidor de OfficeScan al cual esté accediendo o desde otroservidor de OfficeScan.

Nota

Los archivos de lista .datpalabra clave generados por esta versión de OfficeScan no soncompatibles con las versiones anteriores.

Procedimiento


2. Haga clic en la pestaña palabra clave.

3. Haga clic en Importar y, a continuación, busque el archivo .dat que contiene laslistas de palabras clave.


Aparecerá un mensaje en el que se le informará de que la importación se realizócorrectamente. Si la lista de palabras clave que se va a importar ya existe, esta seomitirá.


10-20


Plantillas de prevención de pérdida de datosUna plantilla de DLP combina identificadores de datos de DLP y operadores lógicos (Y,O, Excepto) para formar condiciones. Solo los archivos o los datos que cumplan conuna determinada condición estarán sujetos a una política de DLP.

Por ejemplo, un archivo debe ser un archivo de Microsoft Word (atributo de archivo) Ycontener determinados términos legales (palabras clave) Y números de ID (expresiones)para estar sujeto a una política de "contratos de empleo". Esta política permite que elpersonal de Recursos Humanos transmita el archivo mediante impresión, de modo queun empleado pueda firmar la copia impresa. La transmisión mediante todos los demáscanales posibles, tales como el correo electrónico, se bloqueará.

Puede crear sus propias plantillas si ha configurado los identificadores de datos de DLP.También puede utilizar las plantillas predefinidas. Para conocer más detalles, consultePlantillas personalizadas de la DLP en la página 10-21 y Plantillas predefinidas de la DLP en lapágina 10-20.

Nota

No se puede eliminar una plantilla que se esté utilizando en una política de DLP. Eliminede la política la plantilla antes de eliminarla por completo.

Plantillas predefinidas de la DLP

OfficeScan incluye el siguiente conjunto de plantillas predefinidas que se pueden utilizarpara cumplir con varios estándares reguladores. Estas plantillas no se pueden modificarni eliminar.

• GLBA: Ley Gramm-Leach-Billey

• HIPAA: Ley de Portabilidad y Contabilidad de Seguros de Salud

• PCI-DSS: Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago


10-21

• SB-1386: Ley del Senado de EE. UU. 1386

• US PII: Información personal identificable de EE. UU.

Para obtener una lista detallada sobre la finalidad de todas las plantillas predefinidas yejemplos de datos protegidos, consulte el documento Listas de protección de datos enhttp://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Plantillas personalizadas de la DLP

Cree sus propias plantillas si ha configurado los identificadores de datos. Una plantillacombina identificadores de datos y operadores lógicos (Y, O, Excepto) para formarcondiciones.

Para obtener más información y ejemplos acerca del funcionamientos de las condicionesy los operadores lógicos, consulte Condiciones y operadores lógicos en la página 10-21.

Condiciones y operadores lógicos

OfficeScan evalúa las condiciones de izquierda a derecha. Proceda con cautela a la horade utilizar operadores lógicos al configurar condiciones. El uso incorrecto puedeacarrear una condición errónea, la cual es muy probable que produzca resultadosinesperados.

Consulte los ejemplos de la siguiente tabla.

TABLA 10-4. Condiciones de ejemplo

CONDICIÓN INTERPRETACIÓN Y EJEMPLO

[Identificador de datos 1] Y[Identificador de datos 2]Excepto [Identificador dedatos 3]

Un archivo debe cumplir con [Identificador de datos 1] y[Identificador de datos 2], pero no con [Identificador dedatos 3].

Por ejemplo:

Un archivo debe ser [un documento Adobe PDF] ycontener [una dirección de correo electrónico], pero nodebe contener [todas las palabras clave de la lista depalabras clave].




10-22

CONDICIÓN INTERPRETACIÓN Y EJEMPLO

[Identificador de datos 1] O[Identificador de datos 2]

Un archivo debe cumplir con [Identificador de datos 1] o[Identificador de datos 2].

Por ejemplo:

Un archivo debe ser [un documento Adobe PDF] o [undocumento de Microsot Word].

Excepto [Identificador dedatos 1]

Un archivo no debe cumplir con [Identificador de datos 1].

Por ejemplo:

Un archivo no debe ser [un archivo multimedia].

Como se muestra en el último ejemplo de la tabla, el primer identificador de datos de lacondición puede tener el operador "Excepto" en el caso de que un archivo no debacumplir con todos los identificadores de datos de la condición. Sin embargo, en lamayoría de los casos, la definición del identificador de datos no cuenta con un operador.

Creación de una plantilla

Procedimiento

1. Vaya a Equipos en red > Prevención de pérdida de datos > plantillas.



3. Escriba un nombre para la plantilla. El nombre no debe tener más de 100 delongitud ni contener los siguientes caracteres:

• > < * ^ | & ? \ /


5. Seleccione los identificadores de datos y, a continuación, haga clic en el icono"añadir".

Al seleccionar definiciones:


10-23

• Para seleccionar varias entradas, pulse y mantenga pulsada la tecla CTRL y,después, seleccione los identificadores de datos.

• Utilice la función de búsqueda si tiene en mente una definición específica.Puede escribir el nombre completo o parcial del identificador de datos.

• Cada plantilla puede contener un máximo de 30 identificadores de datos.

6. Para crear una nueva expresión, haga clic en expresiones y, a continuación, enAgregar nueva expresión. Defina la configuración de la expresión en la pantallaen la que aparezca.

7. En la nueva lista de atributos de archivos, haga clic en atributos de archivo y, acontinuación, en Agregar nuevo atributo de archivo. En la pantalla que aparece,defina la configuración de la lista de atributos de archivo.

8. Para crear una nueva palabra clave, haga clic en Palabras clave y, a continuación,en Agregar nueva palabra clave. Defina la configuración de la lista de palabrasclave en la pantalla en la que aparezca.

9. Si ha seleccionado una expresión, escriba el número de apariciones, el cual indicalas veces que una expresión ha de tener lugar antes de que OfficeScan la supedite auna política de DLP.

10. Escoja un operador lógico para cada definición.

NotaProceda con cautela a la hora de utilizar operadores lógicos al configurar condiciones.El uso incorrecto puede acarrear una condición errónea, la cual es muy probable queproduzca resultados inesperados. Consulte Condiciones y operadores lógicos en la página10-21 para observar ejemplos del uso correcto.

11. Haga clic en el icono de la papelera para eliminar un identificador de datos de lalista de identificadores seleccionados.

12. Debajo de Vista previa, compruebe la condición y realice cambios si no es lacondición deseada.




10-24

15. Al volver a la pantalla Plantillas de DLP, haga clic en Aplicar a todos losclientes.

Importación de plantillas

Utilice esta opción si cuenta con un archivo .dat que tenga el formato correcto ycontenga las plantillas. Para generar el archivo, puede exportar las plantillas desde elservidor de OfficeScan al cual esté accediendo o desde otro servidor de OfficeScan.

Nota

Para importar plantillas de DLP desde OfficeScan 10.6, importe primero los identificadoresde datos asociados (denominados anteriormente definiciones). OfficeScan no puedeimportar plantillas que no presenten identificadores de datos asociados.

Procedimiento

1. Vaya a Equipos en red > Prevención de pérdida de datos > plantillas.

2. Haga clic en Importar y, a continuación, encuentre el archivo .dat que contengalas plantillas.


Aparecerá un mensaje en el que se le informará de que la importación se realizócorrectamente. Si la plantilla que se va a importar ya existe, esta se omitirá.


Canales de la DLPLos usuarios pueden transmitir información confidencial mediante varios canales.OfficeScan puede supervisar los siguientes canales:

• Canales de red: la información confidencial se transmite mediante protocolos dered como, por ejemplo, HTTP y FTP.


10-25

• Canales de aplicaciones y sistemas: la información confidencial se transmitemediante aplicaciones y periféricos de un equipo local.

Canales de redOfficeScan puede supervisar transmisiones de datos a través de los siguientes canales dered:

• Enviar correo electrónico a los clientes

• FTP

• HTTP y HTTPS

• Aplicaciones de MI

• Protocolo SMB

• Correo electrónico Web

Para determinar las transmisiones de datos que supervisar, OfficeScan comprueba elalcance de la transmisión, que se tiene que configurar. Dependiendo del alcance quehaya seleccionado, OfficeScan supervisará todas las transmisiones de datos o sólo lastransmisiones externas a la Red de área local (LAN). Para obtener información detalladasobre el alcance de la transmisión, consulte Destinos y alcance de la transmisión para canales dered en la página 10-29.

Clientes de correo electrónico

OfficeScan supervisa el correo electrónico transmitido a través de varios clientes decorreo electrónico. OfficeScan comprueba que no haya identificadores de datos en elasunto, el cuerpo ni los archivos adjuntos del mensaje de correo electrónico. Paraobtener una lista de los clientes de correo compatibles, consulte el documento Listas deprotección de datos en:


La supervisión tiene lugar cuando un usuario intenta enviar el mensaje de correoelectrónico. Si el mensaje de correo electrónico contiene identificadores de datos,OfficeScan permitirá o bloqueará su envío.



10-26

Puede definir los dominios de correo electrónico internos supervisados y nosupervisados.

• Dominios de correo electrónico supervisados: Cuando OfficeScan detectacorreo electrónico transmitido a un dominio supervisado, comprueba la acción enel marco de la política. Dependiendo de la acción, la transmisión se permite o sebloquea.

NotaSi selecciona clientes de correo electrónico como un canal supervisado, un correoelectrónico debe coincidir con una política para que sea supervisado. Por el contrario,un correo electrónico enviado a dominios de correo electrónico supervisados sesupervisa automáticamente, incluso si no coincide con una política.

• Dominios de correo electrónico no supervisados: OfficeScan permiteinmediatamente la transmisión de correos electrónicos enviados a dominios nosupervisados.

NotaLas transmisiones de datos a dominios de correo electrónico no supervisados y adominios de correo electrónico supervisados en los que la acción es "Supervisar" seasemejan en que la transmisión es permitida. La única diferencia es que para losdominios de correo electrónico no supervisados, OfficeScan no registra latransmisión, mientras que para los dominios de correo electrónico supervisados, latransmisión siempre se registra.

Especifique los dominios mediante cualquiera de los formatos siguientes, separandovarios dominios por comas:

• Formato X400, como, por ejemplo, /O=Trend/OU=USA, /O=Trend/OU=China

• Dominios de correo electrónico como, por ejemplo, ejemplo.com

Para correos electrónicos enviados mediante el protocolo SMTP, OfficeScan compruebasi el servidor SMTP de destino se encuentra en las listas siguientes:

1. Destinos supervisados

2. Destinos no supervisados


10-27

Nota

Para obtener información sobre destinos supervisados y no supervisados, consulteDefinición de destinos no supervisados y supervisados en la página 10-38.

3. Dominios de correo electrónico supervisados

4. Dominios de correo electrónico no supervisados

Esto significa que si se envía un correo electrónico a un servidor SMTP en la lista dedestinos supervisados, el correo electrónico se supervisa. Si el servidor SMTP no está enla lista de destinos supervisados, OfficeScan comprueba las demás listas.

Para correos electrónicos enviados a través de otros protocolos, OfficeScan solocomprueba las listas siguientes:

1. Dominios de correo electrónico supervisados

2. Dominios de correo electrónico no supervisados

FTP

Cuando OfficeScan detecta que un cliente FTP está intentando cargar archivos en elservidor FTP, comprueba la presencia de identificadores de datos en dichos archivos.Aún no se ha cargado ningún archivo. En función de la política de DLP, OfficeScanpermitirá o bloqueará la carga.

Cuando defina una política que bloquee las cargas de archivos, recuerde lo siguiente:

• Cuando OfficeScan bloquea una carga, algunos clientes FTP intentan volver acargar los archivos. En este caso, OfficeScan finaliza el cliente FTP para evitar queesto suceda. Los usuarios no reciben ninguna notificación cuando el cliente FTPfinaliza. Infórmeles de esta situación cuando implemente sus políticas de DLP.

• Si la carga de un archivo produce la sobrescritura de otro en el servidor FTP, puedeque se elimine el que se encuentre en dicho servidor.

Para obtener una lista de los clientes FTP compatibles, consulte el documento Listas deprotección de datos en:




10-28

HTTP y HTTPS

OfficeScan supervisa los datos que se transmitirán mediante HTTP y HTTPS. En elcaso de HTTPS, OfficeScan comprueba los datos antes de que se cifren y transmitan.

Para obtener una lista de las aplicaciones y exploradores Web compatibles, consulte eldocumento Listas de protección de datos en:


Aplicaciones de MI

OfficeScan supervisa los mensajes y archivos que los usuarios envían medianteaplicaciones de mensajería instantánea (MI). Los mensajes y archivos que reciben losusuarios no se supervisan.

Para obtener una lista de las aplicaciones IM compatibles, consulte el documento Listasde protección de datos en:


Cuando OfficeScan bloquea un mensaje o archivo que se ha enviado mediante AOLInstant Messenger, MSN, Windows Messenger o Windows Live Messenger, tambiénfinaliza la aplicación. Si OfficeScan no realiza esta acción, la aplicación no responderá ylos usuarios se verán obligados a finalizarla de todos modos. Los usuarios no recibenninguna notificación cuando la aplicación finaliza. Infórmeles de esta situación cuandoimplemente sus políticas de DLP.

Protocolo SMB

OfficeScan supervisa las transmisiones de datos mediante el protocolo Server MessageBlock (SMB), el cual facilita el acceso a los archivos compartidos. Cuando otro usuariointenta copiar o leer un archivo compartido del usuario, OfficeScan comprueba quedicho archivo no sea ni contenga un identificador de datos y, después, permite o bloqueala operación.




10-29

Nota

La acción de la función Control de dispositivos tiene mayor prioridad que la acción de lafunción DLP. Si, por ejemplo, la función Control de dispositivos no permite que semuevan archivos en unidades de red asignadas, no se producirá la transmisión deinformación confidencial aunque la función DLP sí lo permita. Para obtener informacióndetallada acerca de las acciones de Control de dispositivos, consulte Permisos para dispositivosde almacenamiento en la página 9-3.

Para obtener una lista de aplicaciones que OfficeScan supervise para acceso de archivoscompartido, consulte el documento Listas de protección de datos en:


Correo electrónico Web

Los servicios de correo electrónico basado en Web transmiten datos mediante HTTP. SiOfficeScan detecta datos salientes desde los servicios compatibles, comprueba lapresencia de identificadores de datos en dichos datos.

Para obtener una lista de los servicios de correo electrónico basados en Webcompatibles, consulte el documento Listas de protección de datos en:


Destinos y alcance de la transmisión para canales de red

Los destinos y alcance de transmisión definen transmisiones de datos en canales de redque OfficeScan debe supervisar. Para las transmisiones que se deben supervisar,OfficeScan comprueba la presencia de identificadores de datos antes de permitir obloquear la transmisión. Para las transmisiones que no se deben supervisar, OfficeScanno comprueba la presencia de identificadores de datos y permite inmediatamente latransmisión.

Alcance de la transmisión Todas las transmisiones

OfficeScan supervisa los datos transmitidos fuera del equipo host.




10-30

NotaTrend Micro recomienda seleccionar esta opción para los clientes externos.

Si no desea supervisar las transmisiones de datos a determinados destinos fuera delequipo host, defina lo siguiente:

• Destinos no supervisados: OfficeScan no supervisa los datos transmitidos a estosdestinos.

NotaLas transmisiones de datos a destinos no supervisados y a destinos supervisados enlos que la acción es "Supervisar" se asemejan en que la transmisión es permitida. Laúnica diferencia es que para los destinos no supervisados, OfficeScan no registra latransmisión, mientras que para los destinos supervisados, la transmisión siempre seregistra.

• Destinos supervisados: son destinos específicos incluidos en los destinos nosupervisados que deben supervisarse. Los destinos supervisados son:

• Opcionales si se definen destinos no supervisados.

• No configurables si no se han definido destinos no supervisados.

Por ejemplo:

Las siguientes direcciones IP se asignan al Departamento legal de su empresa:

• de 10.201.168.1 a 10.201.168.25

Está creando una política que supervisa la transmisión de certificados de empleo a todoslos empleados, excepto a la plantilla a jornada completa del Departamento legal. Paraello, seleccionaría Todas las transmisiones como alcance de la transmisión y, acontinuación:

Opción 1:

1. Agregue 10.201.168.1-10.201.168.25 a los destinos no supervisados.

2. Agregue las direcciones IP del personal a tiempo parcial del Departamento legal alos destinos supervisados. Suponga que hay 3 direcciones IP,10.201.168.21-10.201.168.23.


10-31

Opción 2:

Agregue las direcciones IP del personal a jornada completa del Departamento legal a losdestinos no supervisados:

• 10.201.168.1-10.201.168.20

• 10.201.168.24-10.201.168.25

Para obtener información sobre la definición de destinos supervisados y nosupervisados, consulte Definición de destinos no supervisados y supervisados en la página 10-38.

Alcance de la transmisión Solo las transmisiones externas ala red de área local

OfficeScan supervisa los datos transmitidos a cualquier destino externo a la red de árealocal (LAN).

Nota

Trend Micro recomienda seleccionar esta opción para los clientes internos.

"Red" hace referencia a la red local o a la de la empresa. Esto incluye la red actual(dirección IP del punto final y máscara de red) y las siguientes direcciones IP privadasestándar:

• Clase A: 10.0.0.0 a 10.255.255.255

• Clase B: 172.16.0.0 a 172.31.255.255

• Clase C: 192.168.0.0 a 192.168.255.255

Si ha seleccionado este alcance de transmisión, puede definir lo siguiente:

• Destinos no supervisados: Definir destinos fuera de la red de área local queconsidere seguros y, por tanto, no se deben supervisar.


10-32

Nota

Las transmisiones de datos a destinos no supervisados y a destinos supervisados enlos que la acción es "Supervisar" se asemejan en que la transmisión es permitida. Laúnica diferencia es que para los destinos no supervisados, OfficeScan no registra latransmisión, mientras que para los destinos supervisados, la transmisión siempre seregistra.

• Destinos supervisados: Defina destinos dentro de la red de área local que deseesupervisar.

Para obtener información sobre la definición de destinos supervisados y nosupervisados, consulte Definición de destinos no supervisados y supervisados en la página 10-38.

Resolución de conflictos

Si la configuración para el alcance de transmisión, los destinos supervisados y losdestinos no supervisados provoca conflictos, OfficeScan reconoce las siguientesprioridades, en orden de prioridad más alta a más baja:

• Destinos supervisados

• Destinos no supervisados

• Alcance de la transmisión

Canales de aplicaciones y sistemasOfficeScan puede supervisar los siguientes canales de aplicaciones y sistemas:

• Grabadores de datos (CD/DVD)

• Aplicaciones de igual a igual

• Cifrado PGP

• Impresora

• Almacenamiento extraíble

• Software de sincronización (ActiveSync)


10-33

• Portapapeles de Windows

Grabadores de datos (CD/DVD)

OfficeScan supervisa los datos grabados en un CD o DVD. Para obtener una lista de losdispositivos y software de grabación de datos compatibles, consulte el documento Listasde protección de datos en:


Cuando OfficeScan detecta un comando "grabar" que se haya iniciado en cualquiera delos dispositivos o software compatibles y la acción sea Omitir, procederá con lagrabación de datos. Si la acción es Bloquear, OfficeScan comprueba que ninguno de losarchivos que se vayan a grabar no sea ni contenga un identificador de datos. SiOfficeScan detecta al menos un identificador de datos, no se grabará ningún archivo(incluidos aquellos que ni sean ni contengan identificadores de datos). OfficeScantambién impide que se expulse el CD/DVD. Si se produce este problema, indique a losusuarios que reinicien el proceso de software o restablezcan el dispositivo.

OfficeScan implementa reglas adicionales para la grabación de CD/DVD:

• Con el fin de reducir los falsos positivos, OfficeScan no supervisa los siguientesarchivos:

.bud .dll .gif .gpd .htm .ico .ini

.jpg .lnk .sys .ttf .url .xml

• Con el fin de aumentar el rendimiento, no se supervisan dos tipos de archivosutilizados por los grabadores Roxio (*.png y *.skn).

• OfficeScan no supervisa los archivos de los siguientes directorios:

*:\autoexec.bat *:\Windows

..\Application Data ..\Cookies

..\Local Settings ..\ProgramData

..\Archivos de programa ..\Users\*\AppData



10-34

..\WINNT

• No se supervisan las imágenes ISO creadas por los dispositivos y el software.

Aplicaciones de igual a igual

OfficeScan supervisa los archivos que los usuarios compartan mediante aplicaciones deigual a igual.

Para obtener una lista de las aplicaciones de igual a igual, consulte el documento Listas deprotección de datos en:


Cifrado PGP

OfficeScan supervisa los datos que se hayan de cifrar mediante el software de cifradoPGP. OfficeScan comprueba los datos antes de que se realice el cifrado.

Para obtener una lista del software de cifrado PGP compatible, consulte el documentoListas de protección de datos en:


Impresora

OfficeScan supervisa las operaciones de impresoras que se hayan iniciado desde variasaplicaciones.

OfficeScan no bloquea las operaciones de impresoras en archivos nuevos que no sehayan guardado porque hasta este momento la información de impresión solo se haalmacenado en la memoria.

Para obtener una lista de las aplicaciones que pueden iniciar operaciones de impresora,consulte el documento Listas de protección de datos en:






10-35

Almacenamiento extraíble

OfficeScan supervisa las transmisiones de datos hacia o en dispositivos dealmacenamiento extraíbles. Entre las actividades relacionadas con la transmisión dedatos se incluyen:

• Creación de un archivo dentro del dispositivo

• Copia de un archivo desde el equipo host en el dispositivo

• Cierre de un archivo modificado dentro del dispositivo

• Modificación de información del archivo (como puede ser la extensión) en eldispositivo

Cuando un archivo que se va a transmitir contiene un identificador de datos, OfficeScanbloquea o permite la transmisión.

NotaLa acción de la función Control de dispositivos tiene mayor prioridad que la acción de lafunción DLP. Si, por ejemplo, la función Control de dispositivos no permite que se copienarchivos en un dispositivo de almacenamiento extraíble, no se producirá la transmisión deinformación confidencial aunque la función DLP sí lo permita. Para obtener informacióndetallada acerca de las acciones de Control de dispositivos, consulte Permisos para dispositivosde almacenamiento en la página 9-3.

Para obtener una lista de las aplicaciones y los dispositivos de almacenamiento extraíblecompatibles, consulte el documento Listas de protección de datos en:


La gestión de transmisión de archivos a un dispositivo de almacenamiento extraíble esun proceso sencillo. Por ejemplo, un usuario que cree un archivo con Microsoft Wordpuede que quiera guardarlo en una tarjeta SD (sin que importe con qué tipo de archivolo guarde el usuario). Si el archivo contiene un identificador de datos que no se debetransmitir, OfficeScan impide que se guarde el archivo.

Para transmisiones de archivos dentro del dispositivo, OfficeScan realiza primero unacopia de seguridad del archivo (si ocupa 75 MB o menos) en %WINDIR%\system32\dgagent\temp antes de procesarlo. OfficeScan elimina la copia de



10-36

seguridad del archivo si permitió la transmisión del mismo. Si OfficeScan bloqueó latransmisión, puede que dicho archivo se haya eliminado en el proceso. En este caso,OfficeScan copiará el archivo de copia de seguridad en la carpeta que contenga elarchivo original.

OfficeScan permite definir dispositivos no supervisados. OfficeScan siempre permite lastransmisiones de datos hacia o en estos dispositivos. Identifique los dispositivos por susproveedores y, opcionalmente, proporcione los ID de serie y modelo de los dispositivos.

ConsejoUtilice la herramienta de lista de dispositivos para realizar consultas en los dispositivos queestén conectados a puntos finales. La herramienta proporciona el distribuidor, el modelo yel ID de serie de cada dispositivo. Para conocer más detalles, consulte Herramienta de lista dedispositivos en la página 9-13.

Software de sincronización (ActiveSync)

OfficeScan supervisa los datos transmitidos a un dispositivo móvil mediante el softwarede sincronización.

Para obtener una lista de software de sincronización compatible, consulte el documentoListas de protección de datos en:


Si los datos tienen una dirección IP de origen de 127.0.0.1 y se envían mediante lospuertos 990 o 5678 (aquellos que se utilizan para la sincronización), OfficeScancomprueba que los datos no sean un identificador de datos antes de permitir o bloquearla transmisión.

Cuando OfficeScan bloquea un archivo que se ha transmitido mediante el puerto 990,puede que aún se cree en la carpeta de destino del dispositivo móvil un archivo con elmismo nombre y que contenga caracteres con un formato incorrecto. Esto se debe a queciertas partes del archivo se habrían copiado en el dispositivo antes de que OfficeScanbloquease la transmisión.



10-37

Portapapeles de Windows

OfficeScan supervisa los datos que transmitirán al Portapapeles de Windows antes depermitir o bloquear la transmisión.

OfficeScan también puede supervisar las actividades del Portapapeles entre el equipohost y VMWare o Remote Desktop. La supervisión tiene lugar en la entidad con elcliente de OfficeScan. Por ejemplo, un cliente de OfficeScan en una máquina virtual deVMware puede impedir que se transmitan datos del Portapapeles de dicha máquinavirtual al equipo host. De forma similar, un equipo host con un cliente de OfficeScanpuede no que no copie datos del Portapapeles a un punto final al que se haya accedido através de Remote Desktop.

Acciones de la prevención de pérdida de datosCuando OfficeScan detecta la transmisión de identificadores de datos, comprueba lapolítica de DLP para los identificadores de datos detectados y realiza la acciónconfigurada para la política.

En la siguiente tabla figuran las acciones de Prevención de pérdida de datos.

TABLA 10-5. Acciones de la prevención de pérdida de datos


Acciones

Omitir OfficeScan permite y registra la transmisión

Bloquear OfficeScan bloquea y registra la transmisión

Acciones adicionales

Enviar notificación al usuariodel cliente

OfficeScan muestra un mensaje de notificación parainformar de la transmisión de datos al usuario y si esta seha omitido o bloqueado.


10-38


Grabar datos Independientemente de la acción principal, OfficeScanguarda la información confidencial en la <Carpeta deinstalación del cliente>\DLPLite\Forensic.Seleccione esta acción para evaluar la informaciónconfidencial que la función Prevención de pérdida dedatos esté marcando.

Es posible que la información confidencial guardadaconsuma demasiado espacio en el disco duro. Por tanto,Trend Micro recomienda encarecidamente que elija estaopción solo para información muy confidencial.

Excepciones de la prevención de pérdida dedatos

Las excepciones de DLP se aplican a toda la política, incluyendo todas las reglasdefinidas dentro de la misma. OfficeScan aplica la configuración de las excepciones atodas las transmisiones antes de buscar activos. Si una transmisión coincide con unaregla de excepción, OfficeScan de forma inmediata permite o explora la transmisióndependiendo del tipo de excepción.

Definición de destinos no supervisados y supervisadosDefina los destinos supervisados y no supervisados en base al alcance de transmisiónconfigurado en la pestaña Canal. Para obtener información sobre cómo definir losdestinos no supervisados y supervisados para Todas las transmisiones, consulteAlcance de la transmisión Todas las transmisiones en la página 10-29. Para obtener informaciónsobre cómo definir los destinos no supervisados y supervisados para Solo lastransmisiones fuera de la red de área local, consulte Alcance de la transmisión Solo lastransmisiones externas a la red de área local en la página 10-31.

Siga estas directrices al definir destinos supervisados y no supervisados:

1. Defina cada objetivo a través de:

• Dirección IP


10-39

• Nombre del host

• FQDN

• Dirección de red y máscara de subred, como 10.1.1.1/32

Nota

Para la máscara de subred, OfficeScan solo admite un puerto de tipo encaminamientointer-dominios sin clase (CIDR). Esto significa que solo puede escribir un númerocomo 32 en lugar de 255.255.255.0.

2. Para indicar como destino unos canales específicos, incluya los números de puertopredeterminados o definidos por la empresa correspondientes a dichos canales. Porejemplo, el puerto 21 suele corresponder al tráfico FTP, el puerto 80 al HTTP y elpuerto 443 al HTTPS. Separe el destino de los números de puerto mediante dospuntos.

3. También puede incluir rangos de puertos. Para incluir todos los puertos, ignore elintervalo de puertos.

A continuación se muestran algunos ejemplos de destino con números de puerto eintervalos de puertos:

• 10.1.1.1:80

• host:5-20

• host.domain.com:20

• 10.1.1.1/32:20

4. Separe los destinos mediante comas.

Reglas de descompresiónEs posible explorar el contenido de los archivos comprimidos para detectar activosdigitales. Para determinar los archivos que se van a explorar, OfficeScan aplica lassiguientes reglas a los archivos comprimidos:

• El tamaño de un archivo descomprimido es mayor que: __ MB (1-512MB)


10-40

• Las capas de compresión son mayores que: __ (1-20)

• El número de archivos es mayor que: __ (1-2000)

Regla 1: Tamaño máximo de un archivo descomprimido

Un archivo comprimido, tras la descompresión, debe cumplir el límite especificado.

Ejemplo: Ha establecido el límite en 20 MB.

Caso 1: Si el tamaño de archivo.zip tras la descompresión es de 30 MB, no seexplorará ninguno de los archivos contenidos en archivo.zip. Las otras dos reglas yano se comprobarán.

Caso 2: Si el tamaño de mi_archivo.zip tras la descompresión es de 10 MB:

• Si mi_archivo.zip no contiene archivos comprimidos, OfficeScan omite laRegla 2 y continúa con la Regla 3.

• Si mi_archivo.zip contiene archivos comprimidos, el tamaño de todos losarchivos descomprimidos debe estar dentro del límite. Por ejemplo, simi_archivo.zip contiene AAA.rar, BBB.zip y EEE.zip, y EEE.zipcontiene 222.zip:

mi_archivo.zip

= 10 MB tras la descompresión

\AAA.rar = 25MB tras la descompresión

\BBB.zip = 3MB tras la descompresión

\EEE.zip = 1MB tras la descompresión

\222.zip

= 2MB tras la descompresión

mi_archivo.zip, BBB.zip, EEE.zip y 222.zip se comprobarán con la Regla2 dado que el tamaño combinado de estos archivos está dentro del límite de 20MB. AAA.rar se omite.


10-41

Regla 2: Número máximo de capas de descompresión

Los archivos dentro del número especificado de capas se marcarán para exploración.

Por ejemplo:

mi_archivo.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Si ha establecido el límite en dos capas:

• OfficeScan ignorará 333.txt dado que está ubicado en la tercera capa.

• OfficeScan marcará los siguientes archivos para exploración y, a continuación,comprobará la Regla 3:

• DDD.txt (ubicado en la primera capa)

• CCC.xls (ubicado en la segunda capa)

• 111.pdf (ubicado en la segunda capa)

Regla 3: Número máximo de archivo para explorar

OfficeScan explora archivos hasta el límite especificado. OfficeScan explora los archivosy carpetas en orden numérico y, a continuación, alfabético.

Continuando a partir del ejemplo en Regla 2, OfficeScan ha marcado los archivosresaltados para exploración:

mi_archivo.zip

\BBB.zip \CCC.xls

\DDD.txt


10-42

\EEE.zip \111.pdf

\222.zip \333.txt

Además, mi_archivo.zip contiene una carpeta llamada Carpeta7, que no se hacomprobado con la Regla 2. Esta carpeta contiene FFF.doc y GGG.ppt. Esto hace queel número total de archivos que deben explorarse sea 5, como se destaca más abajo:

mi_archivo.zip

\7Folder \FFF.doc

\7Folder \GGG.ppt

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Si ha establecido el límite en 4 archivos, se exploran los archivos siguientes:

• FFF.doc

• GGG.ppt

• CCC.xls

• DDD.txt

Nota

Para los archivos que contienen archivos incrustados, OfficeScan extrae el contenido de losarchivos incrustados.

Si el contenido extraído es texto, el archivo host (como, por ejemplo, 123.doc) y losarchivos incrustados (como, por ejemplo, abc.txt y xyz.xls) se cuentan como uno.

Si el contenido extraído no es texto, el archivo host (como, por ejemplo, 123.doc) y losarchivos incrustados (como, por ejemplo, abc.exe) se cuentan por separado.


10-43

Sucesos que activan reglas de descompresión

Los sucesos siguientes activan reglas de descompresión:

• Suceso 1:

Un archivo comprimido que se va a transmitir coincide con una política y la acciónsobre el archivo comprimido es Omitir (transmitir el archivo).

Por ejemplo, para supervisar archivos .ZIP que los usuarios están transmitiendo, hadefinido un atributo de archivo (.ZIP), lo ha agregado a una plantilla, ha utilizado laplantilla en una política y, a continuación, ha configurado la acción en Omitir.

Nota

Si la acción es Bloquear, no se transmite todo el archivo comprimido y, por tanto, nohay necesidad de explorar los archivos que contiene.

• Suceso 2:

Un archivo comprimido que se va a transmitir no coincide con una política.

En este caso, OfficeScan seguirá sometiendo el archivo comprimido a las reglas dedescompresión para determinar cuáles de los archivos que contiene se debenexplorar en busca de activos digitales y si se debe transmitir todo el archivocomprimido.

• Resultado:

Los sucesos 1 y 2 tienen el mismo resultado. Cuando OfficeScan encuentra unarchivo comprimido:

• Si la Regla 1 no se satisface, OfficeScan permite la transmisión de todo elarchivo comprimido.

• Si la Regla 1 se satisface, se comprueban las otras dos reglas. OfficeScanpermite la transmisión de todo el archivo comprimido si:

• Todos los archivos explorados no coinciden con una política.

• Todos los archivos explorados coinciden con una política y la acción esOmitir.


10-44

La transmisión de todo el archivo comprimido se bloquea si al menosuno de los archivos explorados coincide con una política y la acción esBloquear.

Configuración de las políticas de prevenciónde pérdida de datos

Una vez que haya configurado los identificadores de datos y los haya organizado enplantillas, puede comenzar a crear políticas de Prevención de pérdida de datos.

Al crear una política, además de los identificadores de datos y las plantillas, es necesarioconfigurar los canales y las acciones. Para obtener información detallada acerca de laspolíticas, consulte Políticas de prevención de pérdida de datos en la página 10-3.

Crear una política de prevención de pérdida de datos

Procedimiento



3. Haga clic en Configuración > Configuración de DLP.

4. Haga clic en la pestaña Clientes externos para configurar una política en clientesexternos o en la pestaña Clientes internos para configurar una política en clientesinternos.

NotaDefina la configuración de la ubicación del cliente en caso de que no lo haya hecho.Los clientes utilizarán está configuración para determinar su ubicación y aplicar lapolítica de Prevención de pérdida de datos adecuada. Para conocer más detalles,consulte Ubicación del equipo en la página 14-2.

5. Seleccione Activar la prevención de pérdida de datos.


10-45

6. Seleccione una de las siguientes opciones:

• Si se encuentra en la pestaña Clientes externos, puede aplicar todas lasopciones de Prevención de pérdida de datos a los clientes internos. Para ello,seleccione Aplicar todos los valores de configuración en los clientesinternos.

• Si se encuentra en la pestaña Clientes internos, puede aplicar todas lasopciones de Prevención de pérdida de datos a los clientes externos. Para ello,seleccione Aplicar todos los valores de configuración en los clientesexternos.

7. En la pestaña Reglas, haga clic en Agregar.

Una política solo puede contener 40 reglas como máximo.

8. Defina la configuración de las reglas.

Para obtener información detallada sobre cómo crear reglas de DLP, consulte Crearreglas de prevención de pérdida de datos en la página 10-46.

9. Haga clic en la pestaña Excepciones y configure cualquier valor de excepciónnecesario.

Para obtener información detallada sobre la configuración de excepcionesdisponibles, consulte Excepciones de la prevención de pérdida de datos en la página 10-38.

10. En caso de que haya seleccionado dominios o clientes en el árbol de clientes, hagaclic en Guardar y aplicar la configuración a los clientes. En caso de que hayahecho clic en el icono del dominio raíz, seleccione alguna de las siguientesopciones:




10-46

Crear reglas de prevención de pérdida de datos

Procedimiento

1. Seleccione Activar esta regla.

2. Especifique un nombre para la regla.

Defina la configuración de la plantilla:

3. Haga clic en la pestaña Plantilla.

4. Seleccione plantillas de la lista Plantillas disponibles y, después, haga clicenAgregar.

Al seleccionar plantillas:

• Seleccione varias entradas haciendo clic en los nombres de plantilla quetengan el nombre resaltado.

• Utilice la función de búsqueda si tiene en mente una plantilla específica. Puedeescribir el nombre completo o parcial de la plantilla.

Nota

Cada regla puede contener un máximo de 200 plantillas.

5. Si no se encuentra su plantilla preferida en la lista Plantillas disponibles:

a. Haga clic en Agregar nueva plantilla.

Aparece la pantalla Plantillas de la Prevención de pérdida de datos.

Para obtener instrucciones sobre cómo agregar plantillas en la pantalla deplantillas de la Prevención de datos, consulte Plantillas de prevención de pérdidade datos en la página 10-20.

b. Después de crear la plantilla, selecciónela y, después, haga clic en Agregar.


10-47

NotaOfficeScan utiliza la regla de primera coincidencia al comprobar las plantillas. Estosignifica que si un archivo o datos coinciden con la definición en una plantilla,OfficeScan no seguirá comprobando las demás plantillas. La prioridad se basa en elorden de las plantillas de la lista.

Defina la configuración del canal:

6. Haga clic en la pestaña Canal.

7. Seleccione los canales para la regla.

Para obtener información detallada acerca de los canales, consulte Canales de red enla página 10-25 y Canales de aplicaciones y sistemas en la página 10-32.

8. Si ha seleccionado alguno de los canales de red, seleccione el alcance de latransmisión:

• Todas las transmisiones

• Solo las transmisiones externas a la red de área local

Consulte Destinos y alcance de la transmisión para canales de red en la página 10-29 paraconocer los detalles sobre el alcance de la transmisión, cómo funcionan losdestinos en función del alcance de transmisión y cómo se definen los destinoscorrectamente.

9. Si ha seleccionado Clientes de correo electrónico:

a. Haga clic en Excepciones.

b. Especifique los dominios de correo electrónico internos supervisados y nosupervisados. Para obtener detalles sobre los dominios de correo electrónicosupervisados y no supervisados, consulte Clientes de correo electrónico en la página10-25.

10. Si ha seleccionado Almacenamiento extraíble:

a. Haga clic en Excepciones.

b. Agregue dispositivos de almacenamiento extraíble no supervisado,identificados mediante sus proveedores. El modelo y la ID de serie sonopcionales.


10-48

La lista dispositivos USB permitidos es compatible con el uso del asterisco (*)como comodín. Sustituya cualquier campo con el asterisco (*) para incluirtodos los dispositivos que cumplan con los otros campos.

Por ejemplo, [proveedor]-[modelo]-* coloca todos los dispositivos USB delproveedor específico y del tipo de modelo específico, independientemente delID de serie, en la lista permitida.

c. Para agregar más dispositivos, haga clic en el icono +.

Consejo

Utilice la herramienta de lista de dispositivos para realizar consultas en losdispositivos que estén conectados a puntos finales. La herramienta proporciona eldistribuidor, el modelo y el ID de serie de cada dispositivo. Para conocer más detalles,consulte Herramienta de lista de dispositivos en la página 9-13.

Defina la configuración de la acción:

11. Haga clic en la pestaña Acción.

12. Seleccione una acción principal y las acciones adicionales que desee. Para obtenerinformación detallada acerca de las acciones, consulte Acciones de la prevención depérdida de datos en la página 10-37.

13. Después de definir la configuración de la Plantilla, Canal y Acción, haga clic enGuardar.

Importar, Exportar y Copiar reglas de DLP

Los administradores pueden importar reglas definidas previamente (contenidas en unarchivo .dat con el formato correcto) o exportar la lista de reglas de DLP configuradas.Copiar una regla de DLP permite a un administrador modificar el contenido de unaregla definida previamente para ahorrar tiempo.

La siguiente tabla describe cómo funciona cada función.


10-49

TABLA 10-6. Importar, Exportar y Copiar funciones para reglas de DLP

FUNCIÓN DESCRIPCIÓN

Importar Importar una lista de reglas añade reglas no existentes a la lista dereglas de DLP existente. OfficeScan omite reglas que ya existen en lalista de destino. OfficeScan mantiene toda la configuración definidapreviamente para cada regla, incluyendo el estado activado odesactivado.

Exportar Exportar una lista de reglas exporta la lista entera a un archivo .datque los administradores pueden entonces importar e implementar enotros dominios o clientes. OfficeScan guarda toda la configuración dereglas basada en la configuración actual.

Nota

• Los administradores deben guardar o aplicar cualquier reglanueva o modificada antes de exportar la lista.

• OfficeScan no exporta ninguna excepción configurada parala política, solo la configuración definida para cada regla.

Copiar Copiar una regla crea una réplica exacta de la configuración actualdefinida para la regla. Los administradores deben introducir un nuevonombre para la regla y pueden realizar cualquier modificaciónnecesaria en la configuración de la nueva regla.

Notificaciones de la prevención de pérdida dedatos

OfficeScan incluye un conjunto de mensajes de notificación predefinidos que informana los administradores de OfficeScan y a los usuarios de clientes de las transmisiones deactivos digitales.

Para obtener más información sobre las notificaciones que se envían a losadministradores, consulte Notificaciones de la prevención de pérdida de datos para administradoresen la página 10-50.


10-50

Para obtener más información sobre las notificaciones que se envían a los usuarioscliente, consulte Notificaciones de prevención de pérdida de datos para los usuarios de clientes en lapágina 10-53.

Notificaciones de la prevención de pérdida de datos paraadministradores

Configure OfficeScan para que envíe a los administradores de OfficeScan unanotificación cuando se detecte la transmisión de activos digitales o solo cuando dichatransmisión se bloquee.

OfficeScan incluye un conjunto de mensajes de notificación predefinidos que informana los administradores de las transmisiones de activos digitales. Modifique lasnotificaciones y defina la configuración de notificaciones adicionales según lasnecesidades de la empresa.

NotaOfficeScan puede enviar notificaciones mediante correo electrónico, buscapersonas,captura SNMP y registros de sucesos de Windows NT. Defina la configuración cuandoOfficeScan envíe notificaciones mediante estos canales. Para conocer más detalles, consulteConfiguración de las notificaciones del administrador en la página 13-34.

Configurar las notificaciones de la Prevención de pérdida dedatos para los administradores

Procedimiento



a. Vaya a la sección Transmisiones de activos digitales.

b. Especifique si desea enviar notificaciones cuando se detecte la transmisión deactivos digitales (la acción puede bloquearse u omitirse) o solo cuando sebloquee dicha transmisión.


10-51





Utilice Role-based Administration para conceder a los usuarios permisos dedominio de árbol de clientes. Si se produce una transmisión en un cliente quepertenezca a un dominio específico, el correo electrónico se envía a lasdirecciones de correo electrónico de los usuarios con permisos de dominio.Consulte los ejemplos de la siguiente tabla:




DOMINIO


FUNCIÓN

DIRECCIÓN DECORREO


USUARIO








Si un cliente de OfficeScan que pertenece al dominio A detecta la transmisiónde un activo digital, se enviará el mensaje de correo electrónico a lasdirecciones [email protected], [email protected] y [email protected].

Si el cliente que pertenece al dominio B detecta la transmisión, el mensaje decorreo electrónico se envía a las direcciones [email protected] y [email protected].


10-52

Nota

Si se activa esta opción, todos los usuarios con permisos de dominio debentener una dirección de correo electrónico correspondiente. El correoelectrónico de notificación no se enviará a los usuarios sin dirección de correoelectrónico. Los usuarios y las direcciones de correo electrónico se configuranen Administración > Cuentas de usuario.


e. Acepte o modifique el asunto y el mensaje predeterminados. Utilice variablesde símbolo para representar los datos en los campos Asunto y Mensaje.

TABLA 10-8. Variables de símbolo para las notificaciones de prevención depérdida de datos


%USER% El usuario conectado al equipo cuando se detectó latransmisión

%COMPUTER% Equipo en que se detectó la transmisión

%DOMAIN% Dominio del equipo

%DATETIME% La fecha y hora en las que se detectó la transmisión

%CHANNEL% El canal mediante el cual se detectó la transmisión

%TEMPLATE% La plantilla de activo digital que activó la transmisión









10-53

c. Acepte o modifique el mensaje predeterminado. Utilice variables de símbolopara representar los datos en el campo Mensaje. Consulte el apartadoTabla 10-8: Variables de símbolo para las notificaciones de prevención de pérdida de datosen la página 10-52 para obtener información detallada.




c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. Consulte elapartado Tabla 10-8: Variables de símbolo para las notificaciones de prevención depérdida de datos en la página 10-52 para obtener información detallada.


Notificaciones de prevención de pérdida de datos paralos usuarios de clientes

OfficeScan puede mostrar mensajes de notificación en equipos cliente inmediatamentedespués de permitir o bloquear la transmisión de activos digitales.

Para informar a los usuarios de que se ha permitido o bloqueado una transmisión deactivos digitales, seleccione la opción Enviar notificación al usuario del cliente alcrear una política de Prevención de pérdida de datos. Para obtener instrucciones sobrecómo crear una política, consulte Configuración de las políticas de prevención de pérdida de datosen la página 10-44.

Configurar las notificaciones de prevención de pérdida dedatos para los clientes

Procedimiento


2. Haga clic en la pestaña Transmisiones de activos digitales.


10-54

3. Acepte o modifique el mensaje predeterminado.


Registros de prevención de pérdida de datosLos clientes registran las transmisiones de activos digitales (tanto las bloqueadas comolas permitidas) y envían los registros inmediatamente al servidor. Si el cliente no puedeenviar los registros, este lo vuelve a intentar 5 minutos después.


Visualización de los registros de prevención de pérdidade datos

Procedimiento

1. Vaya a Equipos conectados en red > Administración de clientes o Registros> Registros de equipos conectados en red > Riesgos de seguridad.


3. Haga clic en Registros > Registros de prevención de pérdida de datos o Verregistros > Registros de DLP.


5. Visualice los registros.

Los registros contienen la siguiente información:


10-55

TABLA 10-9. Información de los registros de la Prevención de pérdida de datos


Fecha y hora La fecha y la hora en la que OfficeScan registró el incidente

Nombre de usuario El nombre de usuario conectado al equipo

Equipo El nombre del equipo en el que OfficeScan detectó latransmisión

Dominio El dominio del equipo

IP La dirección IP del equipo

Nombre de la regla Los nombre de regla que desencadenaron el incidente

NotaLas políticas creadas en una versión anterior deOfficeScan muestran el nombre predeterminado deLEGACY_DLP_Policy.

Canal El canal mediante el cual se produjo la transmisión

Proceso El proceso que facilitó la transmisión del activo digital (elproceso depende del canal)

Para conocer más detalles, consulte Procesos por canal en lapágina 10-56.

Fuente El origen del archivo que contiene el activo digital o canal (sino hay ningún origen disponible)

Destino El destino intencionado del archivo que contiene el activodigital o canal (si no hay ningún origen disponible)

Acción Acción realizada sobre la transmisión

Detalles Un enlace que incluye detalles adicionales acerca de latransmisión

Para conocer más detalles, consulte Detalles de los registrosde prevención de pérdida de datos en la página 10-58.


10-56


Procesos por canal

En la siguiente tabla se enumeran los procesos que se muestran bajo la columna Procesoen los registros de Prevención de pérdida de datos.

TABLA 10-10. Procesos por canal

CANAL PROCESO

Software desincronización(ActiveSync)

Ruta completa y nombre del proceso del software desincronización

Ejemplo:

C:\Windows\system32\WUDFHost.exe

Grabador de datos(CD/DVD)

Ruta completa y nombre de proceso del grabador de datos

Ejemplo:

C:\Windows\Explorer.exe

Portapapeles deWindows

No aplicable

Cliente de correoelectrónico: LotusNotes

Ruta completa y nombre de proceso de Lotus Notes

Ejemplo:

C:\Archivos de programa\IBM\Lotus\Notes\nlnotes.exe

Cliente de correoelectrónico:Microsoft Outlook

Ruta completa y nombre de proceso de Microsoft Outlook

Ejemplo:

C:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE


10-57

CANAL PROCESO

Cliente de correoelectrónico: todoslos clientes queutilizan el protocoloSMTP

Ruta completa y nombre de proceso del cliente de correoelectrónico

Ejemplo:

C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe

Almacenamientoextraíble

Nombre de proceso de la aplicación que realizó la transmisión dedatos al dispositivo de almacenamiento o dentro de este

Ejemplo:

explorer.exe

FTP Ruta completa y nombre de proceso del cliente FTP

Ejemplo:

D:\Archivos de programa\FileZilla FTP Client\filezilla.exe

HTTP "Aplicación HTTP"

HTTPS Ruta completa y nombre de proceso del explorador o la aplicación

Ejemplo:

C:\Archivos de programa\Internet Explorer\iexplore.exe

Aplicación de MI Ruta completa y nombre de proceso de la aplicación de MI

Ejemplo:

C:\Archivos de programa\Skype\Phone\Skype.exe

Aplicación de MI:MSN

• Ruta completa y nombre de proceso de MSN

Ejemplo:

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

• "Aplicación HTTP" si los datos se transmiten desde unaventana de chat


10-58

CANAL PROCESO

Aplicación de iguala igual

Ruta completa y nombre de proceso de la aplicación de igual aigual

Ejemplo:

D:\Archivos de programa\BitTorrent\bittorrent.exe

Cifrado PGP Ruta completa y nombre de proceso del software de cifrado PGP

Ejemplo:

C:\Archivos de programa\PGP Corporation\PGP Desktop\PGPmnApp.exe

Impresora Ruta completa y nombre de proceso de la aplicación que inició laoperación de impresora

Ejemplo:

C:\Archivos de programa\Microsoft Office\Office12\WINWORD.EXE

Protocolo SMB Ruta completa y nombre de proceso de la aplicación con la que sellevó a cabo la operación de acceso compartido (copia o creaciónde un archivo nuevo)

Ejemplo:

C:\Windows\Explorer.exe

Correo electrónicoWeb (modo HTTP)

"Aplicación HTTP"

Correo electrónicoWeb (modoHTTPS)

Ruta completa y nombre de proceso del explorador o la aplicación

Ejemplo:

C:\Archivos de programa\Mozilla Firefox\firefox.exe

Detalles de los registros de prevención de pérdida de datos

La pantalla Detalles del registro de la Prevención de pérdida de datos muestradetalles adicionales acerca de la transmisión de activos digitales. Los detalles de una


10-59

transmisión varían dependiendo del canal y el proceso a través del cual OfficeScandetectó el incidente.

En la siguiente tabla figuran los detalles que se muestran.

TABLA 10-11. Detalles de los registros de prevención de pérdida de datos

DETALLES DESCRIPCIÓN

Fecha y hora La fecha y la hora en la que OfficeScan registró el incidente

ID de infracción El ID exclusivo del incidente

Nombre de usuario El nombre de usuario conectado al equipo

Equipo El nombre del equipo en el que OfficeScan detectó la transmisión

Dominio El dominio del equipo

IP La dirección IP del equipo

Canal El canal mediante el cual se produjo la transmisión

Proceso El proceso que facilitó la transmisión del activo digital (el procesodepende del canal)

Para conocer más detalles, consulte Procesos por canal en lapágina 10-56.

Fuente El origen del archivo que contiene el activo digital o canal (si nohay ningún origen disponible)

Correo electrónicodel remitente

La dirección de correo electrónico en la que se originó latransmisión

Asunto del correoelectrónico:

La línea del asunto del mensaje de correo electrónico quecontiene el activo digital

Destinatarios delcorreo electrónico

Las direcciones de correo electrónico de destino del mensaje decorreo electrónico

URL La URL de un sitio o una página Web

Usuario de FTP El nombre de usuario utilizado para conectarse al servidor FTP

Clase de archivo El tipo de archivo en el que OfficeScan detectó el activo digital


10-60

DETALLES DESCRIPCIÓN

Regla/Plantilla Una lista de los nombres exactos y plantillas de regla quedesencadenaron la detección

NotaCada regla puede contener varias plantillas quedesencadenaron el incidente. Cuando hay varios nombresde plantillas se separan con comas.

Acción Acción realizada sobre la transmisión

Registros de depuración de protección de datos

Activar el registro de depuración del módulo de Protecciónde datos

Procedimiento

1. Obtenga el archivo logger.cfg de manos de su proveedor de asistencia.

2. Añada los siguientes datos en HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: Cadena

• Nombre: debugcfg

• Valor: C:\Log\logger.cfg

3. Cree una carpeta con el nombre «Log» en el directorio C:\.

4. Copie el archivo logger.cfg en la carpeta «Log».

5. Implemente la configuración de prevención de pérdida de datos y Control dedispositivos desde la consola Web para empezar a recopilar registros.


10-61

NotaDesactive el registro de depuración del módulo de Protección de datos. Para ello, eliminedebugcfg de la clave de registro y reinicie el equipo.

11-1

Capítulo 11

Protección de los equipos frente aamenazas basadas en Web

En este capítulo se describen las amenazas basadas en Web y el uso de OfficeScan paraproteger la red y los equipos ante ellas.


• Acerca de las amenazas Web en la página 11-2

• Servicios de Command & Control Contact Alert en la página 11-2

• Reputación Web en la página 11-4

• Políticas de reputación Web en la página 11-5

• Notificaciones de amenazas Web para usuarios del cliente en la página 11-13

• Configuración de notificaciones de rellamadas de C&C para administradores en la página11-14

• Epidemias de rellamada de C&C en la página 11-18

• Registros de reputación Web en la página 11-20


11-2

Acerca de las amenazas WebLas amenazas Web abarcan una amplia gama de amenazas que se originan en Internet.Las amenazas Web utilizan métodos sofisticados, con una combinación de diversosarchivos y técnicas en lugar de un solo archivo o enfoque. Por ejemplo, los creadores deamenazas Web cambian constantemente la versión o variante que utilizan. Dado que laamenaza Web se encuentra en una ubicación fija de un sitio Web y no en un equipoinfectado, el creador de la amenaza Web modifica constantemente su código para evitarser detectado.

En los últimos años, los individuos llamados hackers, programadores de virus,spammers y desarrolladores de spyware se conocen como delincuentes informáticos. Lasamenazas Web ayudan a estos individuos a conseguir uno de sus dos objetivos. Unobjetivo es robar información para venderla posteriormente. La consecuencia resultantees la fuga de información confidencial en forma de pérdida de identidad. El equipoinfectado también puede convertirse en una fuente de ataques de phishing u otrasactividades de recopilación de información. Entre otros efectos, esta amenaza puederepercutir negativamente en la fiabilidad del comercio por Internet y mermar laconfianza que hace falta para realizar transacciones a través de la Web. El segundoobjetivo es piratear la CPU de un usuario para utilizarla como instrumento para realizaractividades que les den beneficios. Entre estas actividades se incluye enviar spam o llevara cabo extorsión mediante ataques distribuidos de negación de servicios o actividades depago por clic.

Servicios de Command & Control Contact AlertLos Servicios de Command & Control (C&C) Contact Alert de Trend Microproporcionan funciones mejoradas de detección y alerta para mitigar el daño que causanlas amenazas continuas avanzadas y los ataques con destino. Los Servicios de C&CContact Alert se integran con los Servicios de Reputación Web que determinan la acciónque se va a realizar cuando se detectan direcciones de rellamada según el nivel deseguridad de la reputación Web.

La lista de IP de C&C mejora aún más las detecciones de recuperación C&C utilizandoel Motor de inspección del contenido de red para identificar los contactos C&C a travésde cualquier canal de la red.

Protección de los equipos frente a amenazas basadas en Web

11-3

Para obtener información detallada sobre la configuración del nivel de seguridad de losServicios de Reputación Web, consulte Configurar una Política de reputación Web en la página11-6.

TABLA 11-1. Características de los Servicios de C&C Contact Alert


Lista GlobalIntelligence

Trend Micro Smart Protection Network recopila la lista GlobalIntelligence de fuentes procedentes de todo el mundo, y prueba yevalúa el nivel de riesgo de cada dirección de rellamada de C&C. LosServicios de Reputación Web utilizan la lista Global Intelligence juntocon las puntuaciones de reputación sobre sitios Web con contenidomalicioso para proporcionar seguridad mejorada ante las amenazasavanzadas. El nivel de seguridad de la reputación Web determina laacción que se va a realizar cuando se encuentran sitios Web oservidores de C&C con contenido malicioso en función de los nivelesde riesgo asignados.

Integración conel servidor deDeep DiscoveryAdvisor y lalista VirtualAnalyzer

Los Smart Protection Servers se pueden integrar con Deep DiscoveryAdvisor para obtener la lista de servidores de C&C de VirtualAnalyzer. Virtual Analyzer de Deep Discovery Advisor evalúa losriesgos potenciales en un entorno seguro y, mediante el uso demétodos avanzados de comprobación heurísticos y decomportamiento, asigna un nivel de riesgo a las amenazasanalizadas. Virtual Analyzer rellena la lista Virtual Analyzer concualquier amenaza que intente conectarse a un posible servidor deC&C. La lista Virtual Analyzer está muy enfocada a cada empresa yproporciona una defensa más personalizada ante los ataques condestino.

Los Smart Protection Servers recuperan la lista de Deep DiscoveryAdvisor y, de este modo, pueden comparar todas las posiblesamenazas de C&C tanto con la lista Global Intelligence como con lalista Virtual Analyzer local.

Para obtener información detallada acerca de la conexión del SmartProtection Server integrado a Deep Discovery Advisor, consulteConfiguración de los ajustes de Smart Protection Server integrado enla página 4-24.


11-4


Lista IP deC&C

La lista IP de C&C funciona junto con el Motor de inspección decontenido de red (NCIE) para detectar conexiones de red conservidores de C&C conocidos. NCIE detecta el contacto del servidorC&C a través de cualquier canal de red.

OfficeScan registra toda la información de conexión en los servidoresde la lista IP de C&C para su evaluación.

Para obtener información detallada sobre la configuración de losregistros de la lista IP de C&C, consulte Configuración de las opcionesde rellamadas de C&C globales en la página 11-12.

Notificacionesparaadministradores

Los administradores pueden elegir recibir notificaciones detalladas ypersonalizables cuando se detecte una rellamada de C&C.

Para conocer más detalles, consulte Configuración de notificacionesde rellamadas de C&C para administradores en la página 11-14.

Notificacionesde puntosfinales

Los administradores pueden elegir enviar notificaciones detalladas ypersonalizables a los usuarios finales cuando se detecte unarellamada de C&C en un punto final.

Para conocer más detalles, consulte Activar las notificaciones derellamadas de C&C y Reputación Web en la página 11-13.

Notificacionesde epidemias

Los administradores pueden personalizar las notificaciones deepidemias específicas de eventos de rellamada de C&C y especificarsi la epidemia ocurre en un punto final único o por toda la red.

Para conocer más detalles, consulte Epidemias de rellamada de C&Cen la página 11-18.

Registros derellamadas deC&C

Los registros proporcionan información detallada relacionada contodos los eventos de rellamada de C&C.

Para conocer más detalles, consulte Visualización de los registros derellamadas de C&C en la página 11-22.

Reputación WebLa tecnología de reputación Web realiza un seguimiento de la credibilidad de losdominios Web mediante la asignación de un resultado de reputación basado en factores


11-5

como la antigüedad del sitio Web, los cambios en la ubicación histórica y lasindicaciones de actividades sospechosas descubiertas mediante el análisis decomportamientos malintencionados. A continuación seguirá con la exploración de lossitios y el bloqueo del acceso de los usuarios a los sitios infectados.

Los clientes de OfficeScan envían consultas a las fuentes de protección inteligente paradeterminar la reputación de los sitios Web a los que los usuarios intentan acceder. Lareputación de los sitios Web se correlaciona con la política de reputación Web específicaque se aplica en el equipo. En función de la política que se utilice, el cliente deOfficeScan bloqueará o permitirá el acceso al sitio Web.

Nota

Para obtener información detallada acerca de las fuentes de protección inteligente, consulteLista de fuentes de Protección Inteligente en la página 4-27.

Agregue los sitios Web que considere seguros o peligrosos a la lista de elementospermitidos o bloqueados. Cuando un cliente de OfficeScan detecta el acceso a uno deestos sitios Web, permite o bloquea automáticamente el acceso y deja de enviarconsultas a las fuentes de Smart Protection .

Políticas de reputación WebLas políticas de reputación Web establecen si OfficeScan bloqueará o permitirá el accesoa un sitio Web.

Puede configurar las políticas para clientes internos y externos. Los administradores deOfficeScan suelen configurar una política más estricta para los clientes externos.

Las políticas constituyen una configuración granular en el árbol de clientes deOfficeScan. Puede aplicar determinadas políticas a grupos de clientes o clientesindividuales. A su vez, también puede aplicar una única política a todos los clientes.

Después de implementar las políticas, los clientes utilizan los criterios de ubicación quehaya definido en la pantalla Ubicación del equipo (consulte Ubicación del equipo en la página14-2) a fin de determinar su ubicación y la política que debe aplicarse. Los clientescambian de política cada vez que cambia la ubicación.


11-6

Configurar una Política de reputación Web

Antes de empezar

Especifique las credenciales de autenticación del servidor proxy si ha configurado unservidor proxy para administrar la comunicación HTTP en su organización y se requiereautenticación antes de que se permita el acceso Web.

Para obtener instrucciones sobre la configuración del proxy, consulte Proxy externo paraclientes de OfficeScan en la página 14-53.

Procedimiento


2. Seleccione los destinos en el árbol de clientes.

• Para configurar una política para clientes que ejecuten Windows XP, Vista, 7 u8, seleccione el icono del dominio raíz ( ), dominios específicos o clientes.

Nota

Cuando seleccione el dominio raíz o dominios específicos, la configuración solose aplicará a clientes que estén ejecutando Windows XP, Vista, 7 u 8. Laconfiguración no se aplicará a clientes que estén ejecutando Windows Server2003, Windows Server 2008 o Windows Server 2012 aunque formen parte delos dominios.

• Para configurar una política para clientes que ejecuten Windows Server 2003,Windows Server 2008 o Windows Server 2012, seleccione un clienteespecífico.

3. Haga clic en Configuración > Configuración de la Reputación Web.

4. Haga clic en la pestaña Clientes externos para configurar una política en clientesexternos o en la pestaña Clientes internos para configurar una política en clientesinternos.


11-7

ConsejoDefina la configuración de la ubicación del cliente en caso de que no lo haya hecho.Los clientes utilizarán está configuración para determinar su ubicación y aplicar lapolítica de reputación Web adecuada. Para conocer más detalles, consulte Ubicación delequipo en la página 14-2.

5. Seleccione Activar política de reputación Web en los siguientes sistemasoperativos. La lista de sistemas operativos que aparece en la pantalla depende delos destinos seleccionados en el paso 1.

ConsejoTrend Micro recomienda desactivar la reputación Web para los clientes internos si yautiliza un producto de Trend Micro con la función de reputación Web, comoInterScan Web Security Virtual Appliance.

Cuando se activa una política de reputación Web:

• Los clientes externos envían consultas de reputación Web a la Red deProtección Inteligente.

• Los clientes internos envían las consultas de reputación Web a:

• Servidores de Protección Inteligente si la opción Enviar consultas a losServidores de Protección Inteligente está activada. Para obtenerinformación detallada sobre esta opción, consulte el paso 7.

• Red de Protección Inteligente si la opción Enviar consultas a la Redde Protección Inteligente está activada.

6. Seleccione Activar la valoración.

NotaEn el modo de valoración, los clientes permitirán el acceso a todos los sitios Web,pero registrarán el acceso a los sitios Web que se encontrarían bloqueados si lavaloración se encontrara desactivada. Trend Micro ofrece un modo de valoración quele permite evaluar los sitios Web y emprender entonces las acciones pertinentes enfunción de su evaluación. Por ejemplo, los sitios Web que considere seguros lospuede agregar a la lista de URL permitidas.


11-8

7. Seleccione Comprobar URL de HTTPS.

La comunicación HTTPS utiliza certificados para identificar servidores Web. Cifralos datos para evitar robos e interceptación. Aunque es más seguro, el acceso asitios web con HTTPS sigue presentando riesgos. Los sitios comprometidos,incluso aquellos que cuentan con certificados válidos, pueden alojar malware yrobar información personal. Además, los certificados son relativamente fáciles deobtener, y por lo tanto resulta sencillo configurar servidores web maliciosos queusen HTTPS.

Active la comprobación de URL de HTTPS para reducir la exposición a sitiosmalintencionados y comprometidos que utilizan HTTPS. OfficeScan puedesupervisar el tráfico HTTPS en los siguientes exploradores:

TABLA 11-2. Exploradores compatibles con el tráfico HTTPS

EXPLORADOR VERSIÓN

Microsoft Internet Explorer • 6 con SP2 o superior

• 7.x

• 8.x

• 9.x

• 10.x

Mozilla Firefox 3.5 o posterior


11-9

Importante

• La exploración HTTP solamente admite plataformas de Windows 8 o Windows2012 que funcionan en modo de escritorio.

• Después de habilitar la exploración HTTPS por primera vez en clientes deOfficeScan que ejecutan Internet Explorer 9 o 10, los usuarios deben activar elcomplemento TmIEPlugInBHO Class en la ventana emergente delexplorador antes de que la exploración HTTPS esté operativa.

Para obtener más información sobre cómo establecer los parámetros deconfiguración de Internet Explorer para reputación Web, consulte los siguientesartículos de la base de conocimientos:

• http://esupport.trendmicro.com/solution/en-us/1060643.aspx

• http://esupport.trendmicro.com/solution/en-us/1060644.aspx

8. Seleccione Explorar solo los puertos HTTP habituales para restringir laexploración de reputación Web al tráfico que atraviesa los puertos 80, 81 y 8080.OfficeScan examina de forma predeterminada todo el tráfico de todos los puertos.

9. Seleccione Enviar consultas a los Servidores de Protección Inteligente si deseaque los clientes internos envíen consultas de reputación Web a los Servidores deProtección Inteligente.

• Si activa esta opción:

• Los clientes consultan la lista de fuentes de protección inteligente paradeterminar los Servidores de Protección Inteligente a los que envían lasconsultas. Para obtener información acerca de la lista de fuentes deprotección inteligente, consulte Lista de fuentes de Protección Inteligente en lapágina 4-27.

• asegúrese de que haya servidores Smart Protection Server disponibles.En caso de que no haya ninguno disponible, los clientes no enviaránconsultas a Smart Protection Network. Las únicas fuentes de datos dereputación Web de las que dispondrán los clientes serán las listas dedirecciones URL permitidas y bloqueadas (configuradas en el paso 10).

• Si desea que los clientes se conecten a Servidores de ProtecciónInteligente a través de un servidor proxy, especifique la configuración del

http://esupport.trendmicro.com/solution/en-us/1060643.aspx



11-10

proxy en Administración > Configuración del proxy > Proxyinterno.

• Asegúrese de actualizar con regularidad los servidores Smart ProtectionServer para que la protección se mantenga vigente.

• Los clientes no podrán bloquear sitios Web no comprobados. Losservidores Smart Protection Servers no almacenan los datos dereputación Web de estos sitios Web.

• Si desactiva esta opción:

• Los clientes envían consultas de reputación Web a Smart ProtectionNetwork. Los equipos cliente deben disponer de una conexión a Internetpara enviar consultas correctamente.

• Si la conexión a la Smart Protection Network requiere una autenticaciónde servidor proxy, especifique las credenciales de autenticación enAdministración > Configuración del proxy > Proxy externo >Conexión del cliente con servidores de Trend Micro.

• Los clientes bloquearán los sitios Web no comprobados si seleccionaBloquear páginas que no han sido comprobadas por Trend Microen el paso 9.

10. Seleccione uno de los niveles de seguridad disponibles para la reputación Web:Alto, Medio o Bajo.

Nota

Los niveles de seguridad determinan si OfficeScan permitirá o bloqueará el acceso auna URL. Por ejemplo, si define un nivel de seguridad Bajo, OfficeScan solo bloquealas URL que son amenazas Web conocidas. Cuanto mayor sea el nivel de seguridadque configure, mayor será la tasa de detección de amenazas Web, pero también laposibilidad de falsos positivos.

11. Si ha desactivado la opción Enviar consultas a los servidores Smart ProtectionServer en el paso 7, puede seleccionar Bloquear páginas que no han sidocomprobadas por Trend Micro.


11-11

NotaMientras que Trend Micro comprueba de forma activa la seguridad de las páginasWeb, los usuarios pueden encontrarse con páginas sin comprobar cuando visitansitios Web nuevos o menos conocidos. Si se bloquea el acceso a las páginas sincomprobar se aumenta la seguridad, pero también se puede impedir el acceso apáginas seguras.

12. Configure las listas de elementos permitidos y bloqueados.

NotaLa lista de permitidos tiene preferencia sobre la lista de bloqueados. Cuando una URLcoincide con una entrada de la lista de URL permitidas, los clientes siempre permitenel acceso a dicha URL, incluso si está también en la lista de URL bloqueadas.

a. Seleccione Activar lista de permitidas/bloqueadas.

b. Escriba una URL.

Puede agregar un carácter comodín (*) en cualquier posición de la URL.

Por ejemplo:

• Si escribe www.trendmicro.com/*, todas las páginas del sitio Web deTrend Micro estarán permitidas.

• Si escribe *.trendmicro.com/*, todas las páginas de todos lossubdominios de Trend Micro estarán permitidas.

Puede escribir URL que contengan direcciones IP. Si una URL contiene unadirección IPv6, escríbala entre paréntesis.

c. Haga clic en Agregar a la lista de permitidos o Agregar a lista debloqueados.

d. Para exportar la lista a un archivo .dat, haga clic en Exportar y, acontinuación, en Guardar.

e. Si ha exportado una lista desde otro servidor y desea importarla a estapantalla, haga clic en Importar y busque el archivo .dat. La lista se cargaráen la pantalla.


11-12

13. Para enviar comentarios sobre la reputación Web, haga clic en el proveedor de laURL en Volver a valorar URL. El sistema de consultas de reputación Web deTrend Micro se abre en una ventana del explorador.

14. Seleccione si desea permitir que el cliente de OfficeScan envíe registros dereputación Web al servidor. Debe permitir a los clientes que puedan enviarregistros si desea analizar las URL bloqueadas por OfficeScan y emprender laacción apropiada en las URL que cree que son de acceso seguro.




Configuración de las opciones de rellamadasde C&C globales

Los administradores pueden configurar OfficeScan para registrar todas las conexionesentre los clientes y las direcciones de IP de C&C confirmadas.

Procedimiento


2. Vaya a la sección Configuración de C&C Contact Alert.

3. Active la opción Registrar conexiones de red entre los agentes y lasdirecciones IP de C&C confirmadas de Trend Micro.


11-13

4. Seleccione esta opción para registrar las conexiones de todos los puntos finales osolo las de los puntos finales que ejecutan sistemas operativos específicos.


Notificaciones de amenazas Web parausuarios del cliente

OfficeScan puede mostrar un mensaje de notificación en un equipo cliente deOfficeScan inmediatamente después de que bloquee una URL que infrinja la política dereputación Web. Es necesario que active el mensaje de notificación y que de formaopcional modifique su contenido.

Activar las notificaciones de rellamadas de C&C yReputación Web

Procedimiento




4. Haga clic en la pestaña Otras configuraciones.

5. En la sección Configuración de la reputación Web, seleccione Mostrar unanotificación cuando se bloquea un sitio Web.

6. En la sección Configuración de rellamadas de C&C, seleccione Mostrar unanotificación cuando se detecte una rellamada de C&C.



11-14



Modificar las notificaciones de amenazas Web

Procedimiento


2. En la lista desplegable Tipo, seleccione el tipo de notificación de amenaza Webpara modificarla:

• Infracciones de la reputación Web

• Rellamadas de C&C

3. Modifique el mensaje predeterminado en el cuadro de texto que aparece.


Configuración de notificaciones de rellamadasde C&C para administradores

OfficeScan incluye un conjunto de mensajes de notificación predeterminados parainformarle a usted y a los administradores de OfficeScan de las detecciones derellamadas de C&C. Puede modificar las notificaciones y definir la configuración denotificaciones adicionales según sus necesidades.


11-15

Procedimiento



a. Vaya a la sección Rellamadas de C&C.

b. Especifique si las notificaciones se enviarán cuando OfficeScan detecte unarellamada de C&C (la acción se puede bloquear u registrar) o solo cuando elnivel de riesgo de la dirección de rellamada sea Alto.





Utilice Role-based Administration para conceder a los usuarios permisos dedominio de árbol de clientes. Si se produce una transmisión en un cliente quepertenezca a un dominio específico, el correo electrónico se envía a lasdirecciones de correo electrónico de los usuarios con permisos de dominio.Consulte los ejemplos de la siguiente tabla:




DOMINIO


FUNCIÓN

DIRECCIÓN DECORREO


USUARIO






11-16



DOMINIO


FUNCIÓN

DIRECCIÓN DECORREO


USUARIO




Si un cliente de OfficeScan que pertenece al dominio A detecta una rellamadade C&C, el correo electrónico se enviará a [email protected], [email protected] [email protected].

Si un cliente que pertenece al dominio B detecta la rellamada de C&C, elmensaje de correo electrónico se envía a las direcciones [email protected] [email protected].

Nota

Si se activa esta opción, todos los usuarios con permisos de dominio debentener una dirección de correo electrónico correspondiente. El correoelectrónico de notificación no se enviará a los usuarios sin dirección de correoelectrónico. Los usuarios y las direcciones de correo electrónico se configuranen Administración > Cuentas de usuario.


e. Acepte o modifique el asunto y el mensaje predeterminados. Utilice variablesde símbolo para representar los datos en los campos Asunto y Mensaje.

TABLA 11-4. Variables de símbolo para notificaciones de rellamadas deC&C


%CLIENTCOMPUTER%

Equipo de destino que envió la rellamada

%IP% Dirección IP del equipo de destino


11-17


%DOMAIN% Dominio del equipo

%DATETIME% Fecha y hora en las que se detectó la transmisión

%CALLBACKADDRESS%

Dirección de rellamada del servidor C&C

%CNCRISKLEVEL%

Nivel de riesgo del servidor de C&C

%CNCLISTSOURCE%

Indica la lista de fuentes de C&C

%ACTION% Acción ejecutada




c. Acepte o modifique el mensaje predeterminado. Utilice variables de símbolopara representar los datos en el campo Mensaje. Consulte el apartadoTabla 11-4: Variables de símbolo para notificaciones de rellamadas de C&C en la página11-16 para obtener información detallada.




c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. Consulte elapartado Tabla 11-4: Variables de símbolo para notificaciones de rellamadas de C&Cen la página 11-16 para obtener información detallada.



11-18

Notificaciones de C&C Contact Alert para losusuarios del cliente

OfficeScan puede mostrar un mensaje de notificación en equipos cliente de OfficeScaninmediatamente después de bloquear una URL de servidor de C&C. Es necesario queactive el mensaje de notificación y que de forma opcional modifique su contenido

Epidemias de rellamada de C&C

Definir una epidemia de rellamada de C&C por el número, el origen y el nivel de riesgode las rellamadas.

OfficeScan incluye un mensaje de notificación predeterminado que le informa a usted ya los demás administradores de OfficeScan en caso de que se produzca una epidemia.Puede modificar el mensaje de notificación según sus necesidades.

Nota

OfficeScan puede enviar notificaciones de epidemias de rellamadas de C&C mediantecorreo electrónico. Defina la configuración del correo electrónico para permitir queOfficeScan envíe mensajes de correo electrónico correctamente. Para conocer más detalles,consulte Configuración de las notificaciones del administrador en la página 13-34.

Configuración de los criterios y las notificaciones de lasepidemias de rellamadas de C&C

Procedimiento


2. En la pestaña Criterios, configure las siguientes opciones:


11-19

Opción DescripciónEl mismo hostcomprometido

Selecciónela para definir una epidemia en función de lasdetecciones de rellamadas por punto final

Origen de lista de C&C Especifique si va a incluir todas las listas de fuentes deC&C, solo la lista Global Intelligence o solo la listaVirtual Analyzer

Nivel de riesgo de C&C Especifique si va a activar una epidemia en todas lasrellamadas de C&C o solo en las fuentes de riesgoelevado

Acción Seleccione de entre las opciones Cualquier acción,Conectado o Bloqueado

Detecciones Indique el número necesario de detecciones que definauna epidemia

Periodo de tiempo Indique el número de horas necesario durante las que elnúmero de detecciones debe producirse

Consejo

Trend Micro recomienda aceptar los valores predeterminados de esta pantalla.






TABLA 11-5. Variables de símbolo para notificaciones de epidemias derellamadas de C&C


%C Número de registros de rellamadas de C&C


11-20


%T Periodo de tiempo durante el cual se acumulan registros derellamadas de C&C

e. Seleccione de entre la información adicional de rellamadas de C&C que estédisponible para incluirla en el correo electrónico.




c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. Consulte elapartado Tabla 11-5: Variables de símbolo para notificaciones de epidemias derellamadas de C&C en la página 11-19 para obtener información detallada.




c. Acepte o modifique el mensaje predeterminado. Puede utilizar variables desímbolo para representar los datos en el campo Mensaje. Consulte elapartado Tabla 11-5: Variables de símbolo para notificaciones de epidemias derellamadas de C&C en la página 11-19 para obtener información detallada.


Registros de reputación WebConfigure tanto los clientes internos como externos para enviar los registros dereputación Web al servidor. Permítalo si desea analizar las direcciones URL queOfficeScan bloquea y tomar las medidas oportunas en las direcciones URL queconsidera seguras.


11-21


Ver registros de reputación Web

Procedimiento



3. Haga clic en Ver registros > Registros de reputación Web o Registros >Registros de reputación Web.



• Fecha/hora en que OfficeScan bloqueó la URL

• Equipo en el que el usuario accedió a la URL

• Dominio del equipo en el que el usuario accedió a la URL

• URL bloqueada

• Nivel de riesgo de la URL

6. Si hay URL que no deberían estar bloqueadas, haga clic en el botón Agregar a lalista de permitidos para agregar el sitio Web a la lista de URL permitidas.



11-22

Visualización de los registros de rellamadas de C&C

Procedimiento



3. Haga clic en Ver registros > Registros de rellamadas de C&C o Registros >Registros de rellamadas de C&C.



• Hora y fecha en las que OfficeScan registró la rellamada

• Host comprometido desde el que se originó la rellamada

• Dirección IP del host comprometido

• Dominio desde el que se originó la rellamada

• Dirección de rellamada a la que el punto final envío la rellamada

• Origen de lista de C&C que identificó el servidor de C&C

• Nivel de riesgo del servidor de C&C

• Acción realizada en la rellamada

6. Si hay URL que no deberían estar bloqueadas, haga clic en el botón Agregar a lalista de permitidas de reputación Web para agregar el sitio Web a la lista deURL permitidas de reputación Web.

Nota

OfficeScan siempre pasa los servidores de C&C detectados por la lista IP de C&C ylos administradores no pueden agregar estas direcciones IP a las listas de permitidosdesde la tabla de registros.


11-23


12-1

Capítulo 12

Uso de OfficeScan FirewallEn este capítulo se describen las características y la configuración de OfficeScanFirewall.


• Acerca de OfficeScan Firewall en la página 12-2

• Activar o desactivar OfficeScan Firewall en la página 12-6

• Perfiles y políticas del cortafuegos en la página 12-8

• Derechos del cortafuegos en la página 12-25

• Configuración general del cortafuegos en la página 12-27

• Notificaciones de infracciones del cortafuegos para usuarios del cliente de OfficeScan en la página12-29

• Registros del cortafuegos en la página 12-31

• Epidemias de infracciones del cortafuegos en la página 12-32

• Comprobar OfficeScan Firewall en la página 12-34


12-2

Acerca de OfficeScan FirewallEl cortafuegos de OfficeScan protege los clientes y servidores de la red mediantefunciones de inspección de estado, exploración y eliminación de virus de red de altorendimiento.. A través de la consola de administración central se pueden crear reglaspara filtrar las conexiones por aplicación, dirección IP, número de puerto o protocolo, yaplicarlas a continuación a diferentes grupos de usuarios.

NotaPuede activar, configurar y utilizar el cortafuegos de OfficeScan en equipos Windows XPque también tengan activado el cortafuegos de Windows.. No obstante, administre laspolíticas con sumo cuidado para no crear políticas de cortafuegos que entren en conflictoni obtener resultados inesperados. Consulte la documentación de Microsoft para obtenermás información sobre Firewall de Windows.

OfficeScan Firewall incluye las siguientes ventajas y funciones clave:

• Filtrado de tráfico en la página 12-2

• Filtro de aplicaciones en la página 12-3

• Lista de software seguro certificado en la página 12-3

• Buscar virus de red en la página 12-4

• Perfiles y políticas personalizables en la página 12-4

• Inspección de estado en la página 12-4

• Sistema de detección de intrusiones en la página 12-4

• Supervisor de epidemias de infracciones del cortafuegos en la página 12-6

• Derechos del cortafuegos del cliente de OfficeScan en la página 12-6

Filtrado de tráficoEl cortafuegos de OfficeScan filtra todo el tráfico de entrada y de salida, lo que lepermite bloquear determinados tipos de tráfico según los criterios que se indican acontinuación:

Uso de OfficeScan Firewall

12-3

• Dirección (entrada/salida)

• Protocolo (TCP/UDP/ICMP/ICMPv6)

• Puertos de destino

• Equipos de origen y destino

Filtro de aplicaciones

El cortafuegos de OfficeScan filtra el tráfico entrante y saliente para aplicacionesespecíficas, de forma que permite que estas aplicaciones accedan a la red. Sin embargo,las conexiones de red dependerán de las políticas definidas por el administrador.

Nota

OfficeScan no admite excepciones de aplicaciones específicas en las plataformas Windows8 y Windows Server 2012. OfficeScan permite o deniega todo el tráfico de las aplicacionesen equipos con estas plataformas.

Lista de software seguro certificado

La Lista de software seguro certificado ofrece una lista de aplicaciones que puedenomitir los niveles de seguridad de la política del cortafuegos. En caso de que el nivel deseguridad esté establecido en Medio o Alto, OfficeScan aún permitirá que se ejecutenaplicaciones y que éstas accedan a la red.

Active las consultas de la lista de software seguro certificado de carácter global que leofrece una lista más completa. Se trata de una lista que Trend Micro actualiza de formadinámica.

Nota

Esta opción funciona con la Supervisión de comportamiento. Asegúrese de que activa elServicio de prevención de cambios no autorizados y el Servicio de software segurocertificado antes de activar la Lista de software seguro certificado global.


12-4

Buscar virus de redEl cortafuegos de OfficeScan también examina cada paquete en busca de virus de red.Para conocer más detalles, consulte Virus y malware en la página 7-2.

Perfiles y políticas personalizablesEl cortafuegos de OfficeScan permite configurar políticas para bloquear o permitirdeterminados tipos de tráfico de red. Las políticas se pueden asignar a uno o másperfiles, que a su vez pueden implementarse en los clientes de OfficeScan que se desee.Es un método con un nivel de personalización elevado para organizar y definir laconfiguración del cortafuegos para los clientes.

Inspección de estadoOfficeScan Firewall es un cortafuegos con funciones de inspección de estado quesupervisa todas las conexiones con el cliente de OfficeScan y recuerda todos los estadosde conexión. Puede identificar condiciones específicas en cualquier conexión, predice lasacciones que pueden suceder a continuación y detecta las interrupciones en unaconexión normal. Por tanto, un uso eficaz del cortafuegos no sólo implica crear perfilesy políticas, sino también analizar paquetes de conexiones y filtros que pasen a través delcortafuegos.

Sistema de detección de intrusionesEl cortafuegos de OfficeScan también incluye un sistema de detección de intrusiones(IDS). Cuando está activado, el sistema IDS ayuda a identificar patrones de los paquetesde red que pueden ser síntoma de un ataque al cliente de OfficeScan. El cortafuegos deOfficeScan impide las intrusiones conocidas siguientes:

• Fragmento demasiado grande: Se trata de ataque de denegación de servicio enque un hacker envía un paquete TCP/UDP de gran tamaño a un equipo dedestino. Como consecuencia, se produce un desbordamiento del búfer del equipoque puede colapsar o reiniciar el sistema.

• Ping de la muerte: un ataque de denegación de servicio en el que un hacker envíaun paquete ICMP/ICMPv6 de gran tamaño a un equipo de destino. Como


12-5

consecuencia, se produce un desbordamiento del búfer del equipo que puedecolapsar o reiniciar el sistema.

• ARP en conflicto: un tipo de ataque en el que un hacker envía una solicitud ARP(Protocolo de resolución de direcciones) con la misma dirección IP de origen y dedestino a un equipo. El equipo de destino se envía a sí mismo ininterrumpidamenteuna respuesta ARP (la dirección MAC), lo que provoca el colapso o bloqueo delequipo.

• Desbordamiento SYN: Un ataque de denegación de servicio en el que unprograma envía numerosos paquetes TCP de sincronización (SYN) a un equipo, loque provoca que el equipo envíe continuadamente respuestas de confirmación desincronización (SYN/ACK). Este ataque puede agotar la memoria del equipo yllegar a bloquearlo.

• Solapamiento de fragmentos: Similar a un ataque Teardrop, este ataque dedenegación de servicio envía fragmentos TCP solapados a un equipo. Sobrescribela información de encabezado del primer fragmento TCP y puede atravesar uncortafuegos. El cortafuegos permitirá entonces que los fragmentos posteriores, concontenido malicioso, entren en el equipo de destino.

• Teardrop: Similar a un ataque de solapamiento de fragmentos, este ataque dedenegación de servicio utiliza fragmentos IP. Un valor de compensación confusoen el segundo fragmento de IP, o en otro posterior, puede provocar que el sistemaoperativo del equipo de recepción se bloquee al intentar volver a unir losfragmentos.

• Ataque de fragmentos pequeños: Un tipo de ataque en el que un tamañoreducido de un fragmento TCP obliga a introducir la información deencabezamiento del primer paquete TCP en el siguiente fragmento. Esto puedeocasionar que el enrutador que filtra el tráfico ignore los fragmentos siguientes, quepueden contener datos maliciosos.

• IGMP fragmentado: un ataque de denegación de servicio en el que se envíanpaquetes IGMP fragmentados a un equipo de destino que no los puede procesarcorrectamente. Este ataque puede colapsar o ralentizar el equipo.

• Ataque LAND: un tipo de ataque que envía paquetes IP de sincronización (SYN)con la misma dirección de origen y destino a un equipo y que provoca que este se


12-6

envíe a sí mismo la respuesta de confirmación de sincronización (SYN/ACK). Esteataque puede colapsar o ralentizar el equipo.

Supervisor de epidemias de infracciones del cortafuegos

El cortafuegos de OfficeScan envía un mensaje de notificación personalizado a losdestinatarios especificados cuando las infracciones del cortafuegos superandeterminados umbrales, lo que puede ser indicio de un ataque.

Derechos del cortafuegos del cliente de OfficeScan

Conceda a los usuarios de clientes de OfficeScan el derecho de ver la configuración delcortafuegos en la consola del cliente de OfficeScan. Concédales también el derecho deactivar o desactivar el cortafuegos, el sistema de detección de intrusiones y el mensaje denotificación de infracciones del cortafuegos.

Activar o desactivar OfficeScan FirewallDurante la instalación del servidor de OfficeScan, se le solicitará que active o desactiveOfficeScan Firewall.

Si activó el cortafuegos durante la instalación y ha notado una reducción delrendimiento, sobre todo en las plataformas del servidor (Windows Server 2003,Windows Server 2008 y Windows Server 2012), considere la desactivación de dichocortafuegos.

Si desactivó el cortafuegos durante la instalación, pero ahora quiere activarlo paraproteger un cliente frente a intrusiones, lea primero las directrices e instrucciones deServicios del cliente de OfficeScan en la página 14-7.

Puede activar o desactivar el cortafuegos en todos los equipos cliente de OfficeScan o enaquellos que seleccione.


12-7

Activar o desactivar OfficeScan Firewall en los equiposseleccionados

Método A: crear una nueva política y aplicarla a los clientesde OfficeScan.

Procedimiento

1. Cree una nueva política que active/desactive el cortafuegos. Para ver los pasos quehay que realizar para crear una política nueva, consulte Añadir y modificar una políticadel cortafuegos en la página 12-11.

2. Aplique la política a los clientes de OfficeScan.

Método B: activar/desactivar el servicio y el controlador delcortafuegos.

Procedimiento

1. Active/desactive el controlador del cortafuegos.

a. Abra Propiedades de conexión de red de Windows.

b. Active o desactive la casilla de verificación Driver del cortafuegos comúnde Trend Micro de la tarjeta de red.

2. Active/desactive el servicio del cortafuegos.

a. Abra el símbolo del sistema y escriba services.msc.

b. Inicie o detenga el cortafuegos de OfficeScan NT en MicrosoftManagement Console (MMC).


12-8

Método C: activar/desactivar el servicio del cortafuegos enla consola Web.

Para obtener información detallada acerca de los pasos que se deben seguir, consulteServicios del cliente de OfficeScan en la página 14-7.

Activar o desactivar OfficeScan Firewall en todos losequipos

Procedimiento

1. Desplácese a Administración > Licencia del producto.

2. Vaya a la sección Servicios adicionales.

3. En la sección Servicios adicionales, junto a la fila Cortafuegos para equipos enred, haga clic en Activado o Desactivado.

Perfiles y políticas del cortafuegosEl cortafuegos de OfficeScan utiliza políticas y perfiles para organizar y personalizar losmétodos de protección de los equipos conectados en red.

Con la integración de Active Directory y la Role-based Administration, cada función deusuario, en función de los permisos con los que cuente, puede crear, configurar oeliminar políticas y perfiles para dominios específicos.

Consejo

Si hay varias instalaciones de cortafuegos en el mismo equipo, se pueden producirresultados inesperados. Considere la opción de desinstalar otras aplicaciones de cortafuegosbasadas en software de los clientes de OfficeScan antes de implementar y activar elcortafuegos de OfficeScan.

Es necesario seguir estos pasos para utilizar correctamente OfficeScan Firewall:


12-9

1. Crear una política: la política le permite seleccionar un nivel de seguridad quebloquea o permite el tráfico en los equipos conectados en red y activa las funcionesdel cortafuegos.

2. Añadir excepciones a la política: las excepciones permiten a los clientes deOfficeScan evitar una política. Gracias a las excepciones se pueden especificarclientes y permitir o bloquear determinados tipos de tráfico a pesar de laconfiguración del nivel de seguridad de la política. Por ejemplo, bloquee todo eltráfico de un conjunto de clientes en una política, pero cree una excepción quepermita el tráfico HTTP para que los clientes puedan acceder a un servidor Web.

3. Crear y asignar perfiles a los clientes de OfficeScan: un perfil de cortafuegos incluyeun conjunto de atributos del cliente y se asocia con una política. Cuando un clientetiene los atributos especificados en el perfil, se activa la política asociada.

Políticas del cortafuegosLas políticas del cortafuegos le permiten bloquear o permitir determinados tipos detráfico de red no especificados en una política de excepciones. Una política tambiéndefine que funciones del cortafuegos se activan o desactivan. Asigne una política a uno ovarios perfiles del cortafuegos.

OfficeScan incluye un conjunto de políticas predeterminadas que puede modificar oeliminar.

Con la integración de Active Directory y la Role-based Administration, cada función deusuario, en función de los permisos con los que cuente, puede crear, configurar oeliminar políticas para dominios específicos.

En la siguiente tabla se enumeran las políticas predeterminadas del cortafuegos.


12-10

TABLA 12-1. Políticas predeterminadas del cortafuegos

NOMBRE DE LAPOLÍTICA

NIVEL DESEGURIDA

D

CONFIGURACIÓN DEL

CLIENTEEXCEPCIONES USO RECOMENDADO

Acceso total Bajo Activarcortafuegos

Ninguna Utilícela para permitira los clientes unacceso a la red sinrestricciones

Cisco TrustAgent for CiscoNAC

Bajo Activarcortafuegos

Permitir el tráficoUDP entrante ysaliente a través delpuerto 21862

Utilícela cuando losclientes tienen unainstalación del agenteCisco Trust Agent(CTA)

Puertos decomunicaciónpara TrendMicro ControlManager


Permitir todo eltráfico TCP/UDPentrante y saliente através de lospuertos 80 y 10319

Utilícela cuando losclientes tienen unainstalación del agenteMCP

Consola deScanMail forMicrosoftExchange


Permitir todo eltráfico TCP entrantey saliente a travésdel puerto 16372

Utilice esta opcióncuando los clientesnecesiten acceder a laconsola de ScanMail

Consola deInterScanMessagingSecurity Suite(IMSS)


Permitir todo eltráfico TCP entrantey saliente a travésdel puerto 80

Utilícela cuando losclientes necesitanacceder a la consolade IMSS

Cree también nuevas políticas si existen requisitos que no queden cubiertos con ningunade las políticas predeterminadas.

Todas las políticas del cortafuegos predeterminadas y creadas por el usuario aparecen enla lista de políticas del cortafuegos en la consola Web.


12-11

Configurar la lista de políticas del cortafuegos

Procedimiento

1. Desplácese a Equipos en red > Cortafuegos > Políticas.

2. Para añadir una nueva política, haga clic en Agregar.

Si la nueva política que desea crear tiene una configuración similar a la de la políticaexistente, seleccione esta última y haga clic en Copiar. Para editar una políticaexistente, haga clic en el nombre de la política.

Aparecerá una pantalla para realizar la configuración de la política. Consulte Añadiry modificar una política del cortafuegos en la página 12-11 para obtener más información.

3. Para eliminar una política existente, seleccione la casilla de verificación que figurajunto a la política y haga clic en Eliminar.

4. Para editar la plantilla de excepciones del cortafuegos, haga clic en Editar laplantilla de excepciones.

Consulte Editar la plantilla de excepciones del cortafuegos en la página 12-14 para obtenermás información.

Aparecerá el Editor de la plantilla de excepciones.

Añadir y modificar una política del cortafuegos

Configure los siguientes parámetros para cada política:

• Nivel de seguridad: una configuración general que bloquea o permite todo eltráfico entrante/saliente en el equipo cliente de OfficeScan.

• Funciones del cortafuegos: especifique si desea activar o desactivar OfficeScanFirewall, el Sistema de detección de intrusiones (IDS) y el mensaje de notificaciónde infracciones del cortafuegos. Consulte Sistema de detección de intrusiones en la página12-4 para obtener más información sobre IDS.

• Lista de software seguro certificado:especifique si desea permitir que lasaplicaciones certificadas seguras se conecten a la red. Consulte Lista de software seguro


12-12

certificado en la página 12-3 para obtener más información sobre Lista de softwareseguro certificado.

• Lista de excepciones de políticas: una lista de excepciones configurables parabloquear o permitir diversos tipos de tráfico de red.

Agregar una política de cortafuegos

Procedimiento


2. Para añadir una nueva política, haga clic en Agregar.

Si la nueva política que desea crear tiene valores de configuración similares a los dela política existente, seleccione la política existente y haga clic en Copiar.

3. Escriba el nombre de la política.

4. Seleccione un nivel de seguridad.

El nivel de seguridad seleccionado no se aplicará al tráfico que coincida con loscriterios de la excepción de política del cortafuegos.

5. Seleccione las funciones del cortafuegos que deben utilizarse para la política.

• El mensaje de notificación de infracción del cortafuegos se muestra cuando elcortafuegos bloquea un paquete saliente. Para modificar el mensaje, consulteModificar el contenido del mensaje de notificación del cortafuegos en la página 12-30.

• Si activa las funciones del cortafuegos, los usuarios clientes de OfficeScantendrán derechos para activar/desactivar las funciones y modificar laconfiguración del cortafuegos en la consola del cliente de OfficeScan.

¡ADVERTENCIA!No podrá utilizar la consola Web del servidor de OfficeScan para sobrescribir laconfiguración de la consola del cliente de OfficeScan que utilice el usuario.

• Si no activa las funciones, la configuración del cortafuegos que defina desde laconsola Web del servidor de OfficeScan aparece en la Lista de tarjetas de reden la consola del cliente de OfficeScan.


12-13

• La información que aparezca en Configuración en la pestaña Cortafuegosde la consola del cliente de OfficeScan siempre muestra la configuraciónestablecida desde la consola del cliente de OfficeScan, no desde la consolaWeb del servidor.

6. Active la lista de software seguro certificado global o local.

Nota

Asegúrese de que el Servicio de prevención de cambios no autorizados y los Serviciosde software seguro certificado se han activado antes de activar este servicio.

7. En Excepción, seleccione las excepciones de políticas del cortafuegos. Lasexcepciones de políticas incluidas se definen según la plantilla de excepción delcortafuegos. Consulte Editar la plantilla de excepciones del cortafuegos en la página 12-14para obtener más información.

• Modifique una excepción de política definida; para ello, haga clic en el nombrede la excepción de política y cambie la configuración en la página que se abre.

Nota

La excepción de política modificada no se aplicará a la política que se crea. Sidesea que la modificación de la excepción de la política sea permanente, deberárealizar la misma modificación a la excepción de la política en la plantilla deexcepción de cortafuegos.

• Haga clic en Agregar para crear una nueva excepción de política. Especifiquela configuración en la página que se abre.

Nota

La excepción de política también se aplicará sólo a la política que se crea. Paraaplicar esta excepción de política a otras políticas, debe agregarla primero a lalista de excepciones de políticas en la plantilla de excepción del cortafuegos.



12-14

Modificar una política de cortafuegos existente

Procedimiento


2. Haga clic en una política.

3. Modifique los siguientes parámetros:

• Nombre de la política

• Nivel de seguridad

• Funciones del cortafuegos que deben utilizarse para la política

• Estado de la Lista del servicio de software seguro certificado

• Excepciones de políticas del cortafuegos que deben incluirse en la política

• Edite una excepción de política existente (haga clic en el nombre de laexcepción de política y cambie la configuración en la página que se abre).

• Haga clic en Agregar para crear una nueva excepción de política.Especifique la configuración en la página que se abre.

4. Haga clic en Guardar para aplicar las modificaciones a la política existente.

Editar la plantilla de excepciones del cortafuegos

La plantilla de excepciones del cortafuegos contiene las excepciones de políticas quepueden configurarse para permitir o bloquear diferentes tipos de tráfico de red según losnúmeros de puerto y las direcciones IP de los equipos cliente de OfficeScan. Cuandotermine de crear una excepción de política, edite las políticas a las que se aplicará.

Decida qué tipo de excepción de política desea utilizar. Existen dos tipos:

• Restrictivas

Bloquea solo determinados tipos de tráficos de red y se aplican a las políticas quepermiten todo el tráfico de red. Un ejemplo de uso de una excepción de política


12-15

restrictiva es bloquear los puertos de clientes de OfficeScan vulnerables a ataques,tales como los puertos que utilizan los troyanos con mayor frecuencia.

• Permisivas

Permiten solo determinados tipos de tráficos de red y se aplican a las políticas quebloquean todo el tráfico de red. Por ejemplo, puede permitir que los clientes deOfficeScan accedan solo al servidor de OfficeScan y a un servidor Web. Para ello,permita el tráfico desde el puerto de confianza (utilizado para la comunicación conel servidor de OfficeScan) y el puerto que el cliente de OfficeScan utiliza para lacomunicación HTTP.

Puerto de escucha del cliente de OfficeScan: Equipos en red > Administraciónde clientes > Estado. El número de puerto se encuentra bajo Informaciónbásica.

Puerto de escucha del servidor: Administración > Configuración de laconexión. El número de puerto se encuentra bajo Configuración de la conexiónpara los equipos en red.

OfficeScan incluye un conjunto de excepciones de políticas de cortafuegospredeterminadas que puede modificar o eliminar.

TABLA 12-2. Excepciones de políticas del cortafuegos predeterminadas

NOMBRE DE LAEXCEPCIÓN

ACCIÓN PROTOCOLO PUERTO DIRECCIÓN

DNS Permitir TCP/UDP 53 Entrante y saliente

NetBIOS Permitir TCP/UDP 137, 138,139, 445

Entrante y saliente

HTTPS Permitir TCP 443 Entrante y saliente

HTTP Permitir TCP 80 Entrante y saliente

Telnet Permitir TCP 23 Entrante y saliente

SMTP Permitir TCP 25 Entrante y saliente

FTP Permitir TCP 21 Entrante y saliente


12-16

NOMBRE DE LAEXCEPCIÓN

ACCIÓN PROTOCOLO PUERTO DIRECCIÓN

POP3 Permitir TCP 110 Entrante y saliente

LDAP Permitir TCP/UDP 389 Entrante y saliente

NotaLas excepciones predeterminadas se aplican a todos los clientes. Si desea aplicar unaexcepción predeterminada sólo a determinados clientes, modifíquela y especifique lasdirecciones IP de los clientes.

La excepción LDAP no está disponible si actualiza desde una versión anterior deOfficeScan. Agregue esta excepción manualmente si no aparece en la lista de excepciones.

Agregar una excepción de política de cortafuegos

Procedimiento


2. Haga clic en Editar la plantilla de excepciones.


4. Escriba el nombre de la excepción de política.

5. Seleccione el tipo de aplicación. Puede seleccionar todas las aplicaciones o, por elcontrario, especificar las claves de registro o la ruta de aplicación.

NotaCompruebe el nombre y las rutas completas introducidos. La excepción de laaplicación no admite comodines.

6. Seleccione la acción que va a llevar a cabo OfficeScan en el tráfico de red (bloquearo permitir el tráfico que cumple con los criterios de excepción) y la dirección deltráfico (el tráfico de red entrante o saliente del equipo cliente de OfficeScan).

7. Seleccione el tipo de protocolo de red: TCP, UDP, ICMP o ICMPv6.


12-17

8. Especifique los puertos del equipo cliente de OfficeScan en que se va a realizar laacción.

9. Seleccione las direcciones IP de los equipos cliente de OfficeScan que desee incluiren la excepción. Por ejemplo, si decide denegar todo el tráfico de red (entrante ysaliente) y escribe la dirección IP de un único equipo de la red, los clientes deOfficeScan que tengan esta excepción en su política no podrán enviar ni recibirdatos a través de dicha dirección IP.

• Todas las direcciones IP: incluye todas las direcciones IP.

• Dirección IP única: escriba una dirección IPv4 o IPv6, o un nombre dehost.

• Intervalo (para IPv4 o IPv6): escriba un intervalo de direcciones IPv4 oIPv6.

• Intervalo (para IPv6): escriba un prefijo y longitud de dirección IPv6.

• Máscara de subred: escriba una dirección IPv4 y su máscara de subred.


Modificar una excepción de política de cortafuegos

Procedimiento



3. Haga clic en una excepción de política


• Nombre de la excepción de política

• Ruta, nombre y tipo de aplicación

• Acción que emprenderá OfficeScan en el tráfico de red y en la dirección deltráfico


12-18

• Tipo de protocolo de red

• Números de puertos para la excepción de política

• Direcciones IP de los equipos clientes de OfficeScan


Guardar la configuración de la lista de excepciones de políticas

Procedimiento



3. Haga clic en una de las siguientes opciones de guardado:

• Guardar los cambios de plantillas: guarda la plantilla de excepciones conlas excepciones de política y configuración actuales. Esta opción aplica laplantilla únicamente a las políticas creadas en el futuro, no a las actuales.

• Guardar y aplicar las políticas existentes: guarda la plantilla de excepcionescon las excepciones de política y configuración actuales. Esta opción aplica laplantilla a las políticas futuras y actuales.

Perfiles del cortafuegosLos perfiles del cortafuegos ofrecen gran flexibilidad al permitir seleccionar los atributosque debe tener un cliente o un grupo de clientes para poder aplicar una política. Creefunciones para usuario que puedan crear, configurar o eliminar perfiles para dominiosespecíficos.

Los usuarios que utilicen la cuenta de administrador integrado o los que tengan todos lospermisos de administración también pueden activar la opción Sobrescribir el nivel deseguridad del cliente/la lista de excepciones para sustituir la configuración del perfildel cliente de OfficeScan por la del servidor.

A continuación se indican los perfiles disponibles:


12-19

• Política asociada: cada perfil utiliza una única política.

• Atributos del cliente: los clientes de OfficeScan con uno o varios atributos deentre los que se indican a continuación se aplican a la política asociada:

• Dirección IP: un cliente de OfficeScan con una dirección IP específica, unadirección IP incluida en un intervalo de direcciones IP o una dirección IPperteneciente a una subred especificada.

• Dominio: un cliente de OfficeScan que pertenezca a un determinado dominiode OfficeScan.

• Equipo: un cliente de OfficeScan con un nombre de equipo específico.

• Plataforma: un cliente de OfficeScan que ejecute una plataforma concreta.

• Nombre de inicio de sesión: equipos cliente de OfficeScan en los queusuarios especificados hayan iniciado una sesión.

• Descripción de NIC: un equipo cliente de OfficeScan con una descripciónde NIC coincidente.

• Estado de la conexión de los clientes: determina si un cliente deOfficeScan está conectado o desconectado

NotaUn cliente de OfficeScan está conectado si puede conectarse con el servidor deOfficeScan o a alguno de los servidores de referencia y estará desconectado sino puede conectarse a ningún servidor.

• Derechos del usuario: permita o evite que los usuarios de clientes de OfficeScanrealicen las acciones siguientes:

• Modificar el nivel de seguridad especificado en una política

• Editar la lista de excepciones asociada a una política


12-20

NotaEstos derechos solo se aplican a los clientes que tienen los atributosespecificados en el perfil. Puede asignar otros derechos de cortafuegos ausuarios del cliente seleccionados. Consulte el apartado Derechos del cortafuegos enla página 12-25 para obtener información detallada.

OfficeScan incluye un perfil predeterminado llamado "Perfil de clientes de Todos", queutiliza la política "Acceso total". Puede modificar o eliminar este perfil predeterminado.También puede crear nuevos perfiles. Todos los perfiles del cortafuegospredeterminados y creados por el usuario, incluidos la política asociada a cada perfil y elestado del perfil actual, aparecen en la lista de perfiles del cortafuegos en la consola Web.Administre la lista de perfiles e implemente todos los perfiles en los clientes deOfficeScan. Los clientes de OfficeScan almacenan todos los perfiles del cortafuegos enel equipo cliente.

Configurar la lista de perfiles del cortafuegos

Procedimiento

1. Desplácese a Equipos en red > Cortafuegos > Perfiles.

2. Para los usuarios que utilicen la cuenta de administrador integrado o los que tengantodos los permisos de administración, puede activar la opción Sobrescribir elnivel de seguridad del cliente/la lista de excepciones para sustituir laconfiguración del perfil del cliente de OfficeScan por la del servidor.

3. Para añadir un perfil nuevo, haga clic en Agregar. Para editar un perfil existente,seleccione el nombre del perfil.

Aparecerá una pantalla para realizar la configuración del perfil. Consulte Agregar yeditar un perfil del cortafuegos en la página 12-22 para obtener más información.

4. Para eliminar una política existente, seleccione la casilla de verificación que figurajunto a la política y haga clic en Eliminar.

5. Para cambiar el orden de los perfiles de la lista, active la casilla de verificación juntoal perfil que desea mover y, a continuación, haga clic en Subir o Bajar.

OfficeScan aplica los perfiles del cortafuegos a los clientes de OfficeScan en elorden en que los perfiles aparecen en la lista. Por ejemplo, si un cliente coincide


12-21

con el primer perfil, OfficeScan aplicará al cliente las acciones configuradas paradicho perfil. OfficeScan omite los demás perfiles configurados para dicho cliente.

Consejo

Cuanto más exclusiva es una política, más conveniente es colocarla al principio de lalista. Por ejemplo, mueva una políticas que haya creado para un único cliente alprincipio de la lista y, a continuación, las políticas aplicables a un rango de clientes, aun dominio de red y a todos los clientes.

6. Para administrar servidores de referencia, haga clic en Editar la lista deservidores de referencia. Los servidores de referencia son equipos que actúancomo sustitutos del servidor de OfficeScan cuando aplica perfiles del cortafuegos.Un servidor de referencia puede ser cualquier equipo de la red (consulte Servidores dereferencia en la página 13-31 para obtener más información). OfficeScan espera quelos servidores de referencia activados cumplan los requisitos siguientes:

• Que los clientes de OfficeScan conectados a los servidores de referencia esténen línea, incluso si los clientes no pueden comunicarse con el servidor deOfficeScan.

• Que los perfiles del cortafuegos aplicados a los clientes de OfficeScan tambiénse apliquen a los clientes de OfficeScan conectados a los servidores dereferencia.

Nota

Sólo los usuarios que utilicen la cuenta de administrador integrado o aquellos quetienen todos los derechos de administración pueden ver y configurar la lista deservidores de referencia.

7. Para guardar la configuración actual y asignar los perfiles a los clientes deOfficeScan:

a. Seleccione si desea Sobrescribir el nivel de seguridad del cliente/la listade excepciones. Esta opción sobrescribe la configuración del cortafuegosdefinida por el usuario.

b. Haga clic en Asignar perfil a los clientes. OfficeScan asigna todos losperfiles de la lista a todos los clientes de OfficeScan.


12-22

8. Para comprobar que ha asignado correctamente los perfiles a los clientes deOfficeScan:

a. Desplácese a Equipos en red > Administración de clientes. En el cuadrodesplegable de la vista del árbol de clientes, seleccione Vista del cortafuegos.

b. Cerciórese de que aparece una marca de verificación verde en la columnaCortafuegos del árbol de clientes. Si la política asociada con el perfil activa elSistema de detección de intrusiones, también aparecerá una marca deverificación verde en la columna IDS.

c. Compruebe que el cliente haya aplicado la política de cortafuegos correcta. Lapolítica aparece en la columna Política del cortafuegos del árbol de clientes.

Agregar y editar un perfil del cortafuegos

Los equipos cliente de OfficeScan requieren diferentes niveles de protección. Losperfiles del cortafuegos permiten especificar los equipos cliente a los que se desea aplicaruna política asociada además de conceder los derechos para que los usuarios clientepuedan modificar los parámetros del cortafuegos. Por lo general, se necesita un perfilpara cada política en uso.

Agregar un perfil del cortafuegos

Procedimiento



3. Haga clic en Activar este perfil para que OfficeScan pueda implementar el perfilen los clientes de OfficeScan.

4. Escriba un nombre para identificar el perfil y, si lo desea, una descripción.

5. Seleccione una política pare este perfil.

6. Especifique los equipos cliente a los que OfficeScan aplicará la política. Seleccionelos equipos según los criterios siguientes:


12-23

• Dirección IP

• Dominio: Haga clic en el botón para abrir y seleccionar dominios en el árbolde clientes.

Nota

Sólo pueden seleccionar dominios aquellos usuarios que tengan todos lospermisos sobre los dominios.

• Nombre del equipo: haga clic en el botón para abrir y seleccionar equiposcliente de OfficeScan en el árbol de clientes.

• Plataforma

• Nombre de inicio de sesión

• Descripción de NIC: escriba una descripción parcial o completa, sincomodines.

Consejo

Trend Micro recomienda escribir el fabricante de la tarjeta NIC debido a que lasdescripciones de NIC suelen empezar con el nombre del fabricante. Porejemplo, si escribe "Intel", todos los NIC fabricados por Intel cumplirán loscriterios. Si escribe un modelo concreto de NIC, como por ejemplo "Inter(R)Pro/100", sólo cumplirán los criterios las descripciones de NIC que empiecenpor "Intel(R) Pro/100".

• Estado de la conexión de los clientes

7. Seleccione si desea conceder a los usuarios el derecho de modificar el nivel deseguridad del cortafuegos o de editar una lista de excepciones configurable parapermitir tipos específicos de tráfico.

Consulte Añadir y modificar una política del cortafuegos en la página 12-11 para obtenermás información sobre estas opciones.



12-24

Modificar un perfil del cortafuegos

Procedimiento


2. Haga clic en un perfil.

3. Haga clic en Activar este perfil para permitir que OfficeScan implemente esteperfil en los clientes de OfficeScan. Modifique los siguientes parámetros:

• Nombre y descripción del perfil

• Política asignada al perfil

• Equipos cliente de OfficeScan, según los criterios siguientes:

• Dirección IP

• Dominio: haga clic en el botón para abrir el árbol de clientes yseleccionar dominios desde allí.

• Nombre del equipo: haga clic en el botón para abrir el árbol de clientes yseleccionar equipos cliente desde allí.

• Plataforma

• Nombre de inicio de sesión

• Descripción de NIC: escriba una descripción parcial o completa, sincomodines.

Consejo

Trend Micro recomienda escribir el fabricante de la tarjeta NIC debido aque las descripciones de NIC suelen empezar con el nombre delfabricante. Por ejemplo, si escribe "Intel", todos los NIC fabricados porIntel cumplirán los criterios. Si escribe un modelo concreto de NIC, comopor ejemplo "Inter(R) Pro/100", sólo cumplirán los criterios lasdescripciones de NIC que empiecen por "Intel(R) Pro/100".



12-25

• Derechos: Seleccione si desea conceder a los usuarios el derecho de modificarel nivel de seguridad del cortafuegos o de editar una lista de excepcionesconfigurable para permitir tipos específicos de tráfico. Consulte Añadir ymodificar una política del cortafuegos en la página 12-11 para obtener másinformación sobre estas opciones.


Derechos del cortafuegosPermite que los usuarios puedan definir su propia configuración del cortafuegos. Todoslos valores configurados por el usuario no pueden sustituirse por los valores deconfiguración implementados desde el servidor de OfficeScan. Por ejemplo, si el usuariodesactiva el sistema de detección de intrusiones (IDS) y activa dicho sistema en elservidor de OfficeScan, el sistema en cuestión permanecerá desactivado en el equipocliente de OfficeScan.

Active la siguiente configuración para permitir que los usuarios configuren elcortafuegos:

• Mostrar la pestaña Cortafuegos en la consola del cliente

En la pestaña Cortafuegos se visualizan todos los valores de configuración delcortafuegos del cliente de OfficeScan y se permite a los usuarios con derechos decortafuegos definir sus propios valores de configuración.

• Permitir que los usuarios activen/desactiven el cortafuegos, el sistema dedetección de intrusiones y el mensaje de notificaciones de infracción delcortafuegos

OfficeScan Firewall protege los clientes y servidores de la red mediante funcionesde inspección de estado, exploración y eliminación de virus de red de altorendimiento. Si concede a los usuarios los derechos necesarios para activar odesactivar el cortafuegos y sus funciones, adviértales que no lo desactiven duranteun largo periodo de tiempo a fin de evitar que el equipo quede expuesto aintrusiones o ataques de hackers.


12-26

Si no concede a los usuarios dichos derechos, la configuración del cortafuegos quedefina desde la consola Web del servidor de OfficeScan aparece en la Lista detarjetas de red de la consola del cliente de OfficeScan.

• Permitir que los clientes envíen los registros del cortafuegos al servidor deOfficeScan

Seleccione esta opción para analizar el tráfico que bloquea y permite OfficeScanFirewall. Para obtener información detallada acerca de los registros del cortafuegos,consulte Registros del cortafuegos en la página 12-31.

Si selecciona esta opción, configure el programa de envío de registros en Equiposen red > Configuración general del cliente. Vaya a la sección Configuracióndel cortafuegos. El programa solo se aplica a los clientes con derechos de envíode registros del cortafuegos. Para obtener instrucciones, consulte Configuracióngeneral del cortafuegos en la página 12-27.

Conceder derechos del cortafuegos

Procedimiento




4. En la pestaña Derechos, vaya a la sección Derechos del cortafuegos.


• Mostrar la pestaña Cortafuegos en la consola del cliente en la página 12-25

• Permitir que los usuarios activen/desactiven el cortafuegos, el sistema de detección deintrusiones y el mensaje de notificaciones de infracción del cortafuegos en la página 12-25

• Permitir que los clientes envíen los registros del cortafuegos al servidor de OfficeScan en lapágina 12-26


12-27




Configuración general del cortafuegosLa configuración general del cortafuegos se aplica a los clientes de OfficeScan de variasformas.

• Se puede aplicar una configuración del cortafuegos específica a todos los clientesque administre el servidor.

• Se puede aplicar una configuración solo a los clientes de OfficeScan que cuentencon determinados derechos del cortafuegos. Por ejemplo, el programa de envío deregistros del cortafuegos solo se aplica a clientes de OfficeScan con derecho aenviar registros al servidor.

Active las siguientes opciones generales si es necesario:

• Enviar registros del cortafuegos al servidor

Puede conceder a determinados clientes de OfficeScan el derecho de enviarregistros del cortafuegos al servidor de OfficeScan. Configure el programa de envíode registros en esta sección. Solo los clientes que tengan configurado el derecho deenviar registros del cortafuegos podrán usar el programa.

Consulte Derechos del cortafuegos en la página 12-25 para obtener información sobre losderechos del cortafuegos disponibles para los clientes seleccionados.


12-28

• Actualizar el controlador del cortafuegos de OfficeScan sólo después dereiniciar el sistema

Habilite el cliente de OfficeScan para que actualice el Controlador del cortafuegoshabitual solo una vez reiniciado el equipo cliente de OfficeScan. Active esta opciónpara impedir posibles interrupciones en el equipo cliente (como la desconexióntemporal de la red) cuando se actualice el driver del cortafuegos común durante laactualización del cliente.

NotaEsta función sólo es compatible con los clientes actualizados desde OfficeScan 8.0SP1 y versiones posteriores.

• Enviar información de registro del cortafuegos al servidor de OfficeScancada hora para determinar la posibilidad de una epidemia del cortafuegos

Si activa esta opción, los clientes de OfficeScan enviarán recuentos de registro decortafuegos cada hora el servidor de OfficeScan. Para obtener informacióndetallada acerca de los registros del cortafuegos, consulte Registros del cortafuegos en lapágina 12-31.

OfficeScan utiliza recuentos de registros y criterios de epidemias de infracciones delcortafuegos para determinar la posibilidad de una epidemia de infracciones delcortafuegos. OfficeScan envía notificaciones por correo electrónico a losadministradores de OfficeScan en caso de que se produzca una epidemia.

Definir la configuración general del cortafuegos

Procedimiento


2. Vaya a las siguientes secciones y defina la configuración:


12-29

TABLA 12-3. Configuración general del cortafuegos

SECCIÓN CONFIGURACIÓN

Configuración delcortafuegos

• Enviar registros del cortafuegos al servidor en lapágina 12-27

• Actualizar el controlador del cortafuegos deOfficeScan sólo después de reiniciar el sistema en lapágina 12-28

Recuento de registrosdel cortafuegos

Enviar información de registro del cortafuegos al servidorde OfficeScan cada hora para determinar la posibilidad deuna epidemia del cortafuegos en la página 12-28


Notificaciones de infracciones del cortafuegospara usuarios del cliente de OfficeScan

OfficeScan puede mostrar un mensaje de notificación en un equipo clienteinmediatamente después de que OfficeScan Firewall bloquee el tráfico saliente que hainfringido las políticas del cortafuegos. Conceda a los usuarios el derecho a activar/desactivar el mensaje de notificación:

NotaTambién puede activar la notificación al configurar una política específica del cortafuegos.Para configurar una política del cortafuegos, consulte Añadir y modificar una política delcortafuegos en la página 12-11.

Conceder a los usuarios el derecho para activar/desactivar el mensaje de notificación

Procedimiento



12-30



4. En la pestaña Derechos, vaya a la sección Derechos del cortafuegos.

5. Seleccione Permitir que los usuarios activen/desactiven el cortafuegos, elsistema de detección de intrusiones y el mensaje de notificaciones deinfracción del cortafuegos.




Modificar el contenido del mensaje de notificación delcortafuegos

Procedimiento


2. Haga clic en la pestaña Infracciones del cortafuegos.

3. Modifique los mensajes predeterminados en el cuadro de texto habilitado para ello.



12-31

Registros del cortafuegosLos registros del cortafuegos disponibles en el servidor los envían aquellos clientes deOfficeScan que tengan derechos para ello. Conceda este privilegio a determinadosclientes para supervisar y analizar el tráfico en los equipos clientes que está bloqueandoOfficeScan Firewall.

Para obtener más información sobre los derechos del cortafuegos, consulte Derechos delcortafuegos en la página 12-25.


Ver registros del cortafuegos

Procedimiento



3. Haga clic en Registros > Registros del cortafuegos o Ver registros >Registros del cortafuegos.

4. Para asegurarse de que tiene a su disposición los registros más actualizados, hagaclic en Notificar a los clientes. Deje que transcurra algún tiempo para que losclientes envíen registros del cortafuegos antes de continuar con el siguiente paso.



• Fecha y hora en que se detectó la violación del cortafuegos

• Equipo en que se ha producido la infracción del cortafuegos


12-32

• Dominio del equipo en que se ha producido la infracción del cortafuegos

• Dirección IP del host remoto

• Dirección IP del host local

• Protocolo

• Número de puerto

• Dirección: si el tráfico entrante (recibido) o saliente (enviado) ha violado lapolítica del cortafuegos.

• Proceso: el programa ejecutable o servicio ejecutado en el equipo que haprovocado la violación del cortafuegos.

• Descripción: especifica el riesgo de seguridad real (p. ej. virus de red o ataqueIDS) o la violación de la política del cortafuegos.


Epidemias de infracciones del cortafuegosDefina una epidemia de infracciones del cortafuegos mediante el número de infraccionesdel cortafuegos y el periodo de detección.

OfficeScan incluye un mensaje de notificación predeterminado que le informa a usted ya los demás administradores de OfficeScan en caso de que se produzca una epidemia.Puede modificar el mensaje de notificación según sus necesidades.

Nota

OfficeScan puede enviar notificaciones de epidemias de infracciones mediante correoelectrónico. Defina la configuración del correo electrónico para permitir que OfficeScanenvíe mensajes de correo electrónico correctamente. Para conocer más detalles, consulteConfiguración de las notificaciones del administrador en la página 13-34.


12-33

Configurar los criterios de epidemias de infracciones delcortafuegos y las notificaciones

Procedimiento



a. Vaya a la sección Infracciones del cortafuegos.

b. Seleccione Supervisar las infracciones del cortafuegos en los equipos enred.

c. Especifique el número de registros de IDS, del cortafuegos y de virus de red.

d. Especifique el periodo de detección.

Consejo

Trend Micro recomienda aceptar los valores predeterminados de esta pantalla.

OfficeScan envía un mensaje de notificación cuando se supera el número deregistros especificado. Si, por ejemplo, especifica 100 registros de IDS, 100 delcortafuegos, 100 de registros de virus de red y un periodo de 3 horas, OfficeScanenvía la notificación cuando el servidor recibe 301 registros en un periodo de 3horas.


a. Vaya a la sección Epidemias de infracciones del cortafuegos.





12-34

TABLA 12-4. Variables de símbolo para notificaciones de epidemias deinfracciones del cortafuegos


%A Tipo de registro excedido

%C Número de registros de violaciones del cortafuegos

%T Periodo de tiempo durante el cual se acumulan registros deinfracciones del cortafuegos


Comprobar OfficeScan FirewallPara garantizar que OfficeScan Firewall funciona correctamente, realice una prueba enun cliente de OfficeScan o grupo de clientes de OfficeScan.

¡ADVERTENCIA!pruebe la configuración del programa cliente de OfficeScan únicamente en entornoscontrolados. No realice pruebas en equipos cliente conectados a la red o a Internet. Si lohace, puede exponer los equipos cliente de OfficeScan a virus, ataques de hackers y otrosriesgos.

Procedimiento

1. Cree una política de prueba y guárdela. Establezca los parámetros de configuraciónpara bloquear los tipos de tráfico que desee probar. Por ejemplo, para evitar que elcliente de OfficeScan acceda a Internet, realice lo siguiente:

a. Establezca el nivel de seguridad en Bajo (permitir todo el tráfico entrante ysaliente).

b. Seleccione Activar el cortafuegos y Notificar a los usuarios cuando seproduce una infracción en el cortafuegos.

c. Cree una excepción que bloquee el tráfico HTTP (o HTTPS).


12-35

2. Cree y guarde un perfil de prueba y seleccione los clientes con los que desea probarel cortafuegos. Asocie la política de prueba con el perfil de prueba.

3. Haga clic en Asignar perfil a los clientes.

4. Compruebe la implementación.

a. Haga clic en Equipos en red > Administración de clientes.

b. Seleccione el dominio al que pertenece el cliente.

c. Seleccione Vista del cortafuegos de la vista del árbol de clientes.

d. Compruebe si hay una marca de verificación de color verde en la columnaCortafuegos del árbol de clientes. Si activa el Sistema de detección deintrusiones para ese cliente, asegúrese de que también aparezca una marca deverificación verde bajo la columna IDS.

e. Compruebe que el cliente haya aplicado la política de cortafuegos correcta. Lapolítica aparece en la columna Política del cortafuegos del árbol de clientes.

5. Compruebe el cortafuegos en el equipo cliente. Para hacerlo, intente enviar orecibir el tipo de tráfico que haya configurado en la política.

6. Para probar una política configurada para evitar que el cliente acceda a Internet,abra un explorador Web en el equipo cliente. Si ha configurado OfficeScan paraque muestre un mensaje de notificación en caso de infracciones del cortafuegos,cuando se produzca la infracción de tráfico saliente, el mensaje aparecerá en elequipo cliente.

Parte IIIGestión del Servidor de

OfficeScan y de los clientes

13-1

Capítulo 13

Administrar el servidor de OfficeScanEn este capítulo se describen la administración y la configuración del servidor deOfficeScan.


• Role-based Administration en la página 13-2

• Servidores de referencia en la página 13-31

• Configuración de las notificaciones del administrador en la página 13-34

• Registros de sucesos del sistema en la página 13-37

• Administración de registros en la página 13-38

• Copia de seguridad de la base de datos de OfficeScan en la página 13-45

• Información del servidor Web de OfficeScan en la página 13-47

• Contraseña de la consola Web en la página 13-48

• Server Tuner en la página 13-50

• Feedback Inteligente en la página 13-53


13-2

Role-based AdministrationUtilice Role-based Administration para conceder y controlar los derechos de acceso a laconsola OfficeScan Web. Si hay varios administradores de OfficeScan en suorganización, puede utilizar esta característica para asignarles derechos específicos de laconsola Web y concederles solo las herramientas y permisos necesarios para realizartareas específicas. También puede controlar el acceso al árbol de clientes asignándolesuno o varios dominios para administrar. Además, puede conceder a los que no seanadministradores acceso de "solo visualización" a la consola Web.

A cada usuario (administrador o no administrador) se le asigna una función concreta. Lafunción define el nivel de acceso a la consola Web. Los usuarios inician sesión en laconsola Web mediante una cuenta de usuario personalizada o una cuenta de ActiveDirectory.

La role-based administration está formada por las siguientes tareas:

1. Defina las funciones de usuario. Para conocer más detalles, consulte Funciones deusuario en la página 13-2.

2. Configure las cuentas de usuario y asigne una función concreta a cada una de ellas.Para conocer más detalles, consulte Cuentas de usuario en la página 13-19.

Vea las actividades de la consola Web de todos los usuarios en los registros de sucesosdel sistema. Las siguientes actividades están registradas:

• Inicio de sesión en la consola

• Modificación de la contraseña

• Cierre de sesión de la consola

• Tiempo de espera de la sesión excedido (el usuario se desconecta automáticamente)

Funciones de usuarioUna función de usuario hace accesibles para el usuario las opciones del menú de laconsola Web. Se asigna un permiso a la función para cada opción del menú.

Asigne permisos para las siguientes funciones:

Administrar el servidor de OfficeScan

13-3

• Permisos de las opciones del menú en la página 13-3

• Tipos de opción de menú en la página 13-3

• Opciones de menú para servidores y clientes en la página 13-4

• Opciones de menú de los dominios gestionados en la página 13-8

• Opciones del menú de gestión de clientes en la página 13-9

Permisos de las opciones del menú

Los permisos determinan el nivel de acceso a cada opción del menú. El permiso de unaopción de menú puede ser:

• Configurar: permite el acceso total a una opción de menú. Los usuarios puedenconfigurar todos los parámetros, realizar todas las tareas y ver los datos de laopción de menú.

• Mostrar: solo permite a los usuarios ver las configuraciones, las tareas y los datosde la opción de menú.

• Sin acceso: oculta la opción de menú e impide su visualización.

Tipos de opción de menú

Existen tres tipos de opción de menú en OfficeScan.

TABLA 13-1. Tipos de opción de menú

TIPO ALCANCE

Opciones de menúpara servidores/clientes

• Configuración, tareas y datos del servidor

• Configuración, tareas y datos del cliente global

Para consultar una lista completa de las opciones de menúdisponibles, consulte Opciones de menú para servidores yclientes en la página 13-4.


13-4

TIPO ALCANCE

Opciones de menúde los dominiosgestionados

Configuración, tareas y datos de cliente granular disponiblesfuera del árbol de clientes

Para consultar una lista completa de las opciones de menúdisponibles, consulte Opciones de menú de los dominiosgestionados en la página 13-8.

Opciones del menúde gestión declientes

Configuración, tareas y datos de cliente granular disponibles en elárbol de clientes

Para consultar una lista completa de las opciones de menúdisponibles, consulte Opciones del menú de gestión de clientesen la página 13-9.

Opciones de menú para servidores y clientes

En la siguiente tabla se muestran las opciones de menú para los servidores y clientes:

TABLA 13-2. Opciones de menú para servidores/clientes

OPCIONES DE MENÚ PRINCIPALES SUBMENÚS

Explorar ahora todos los dominios

NotaSolo los que utilicen roles deadministradores integradostienen acceso a esta función.

Ninguna


13-5


Equipos en red • Administración de clientes

• Agrupación de clientes




• Identificadores de datos

• Plantillas

• Comprobación de la conexión

• Prevención de epidemias

Protección inteligente • Fuentes de Protección Inteligente

• Servidor integrado

• Feedback Inteligente

Actualizaciones • Servidor

• Actualización programada

• Actualización manual


• Equipos en red

• Actualización automática


• Recuperar


13-6


Registros • Registros de equipos conectados en red

• Riesgos de seguridad

• Actualización de componentes

• Registros de actualización del servidor

• Registros de sucesos del sistema

• Mantenimiento de los registros

Cisco NAC • Servidores de políticas

• Administración de agentes

• Implementación del agente

• Certificado de cliente

Notificaciones • Notificaciones para administradores

• Configuración general

• Notificaciones de epidemias

• Notificaciones a los usuarios de losclientes


13-7


Administración • Cuentas de usuario

• Funciones de usuario

NotaSólo los usuarios que utilicencuentas de administradoresintegrados pueden acceder a lasfunciones y a las cuentas deusuario.

• Active Directory

• Integración con Active Directory

• Sincronización programada


• Configuración de la conexión

• Clientes inactivos

• Administrador de cuarentena

• Licencia del producto

• Configuración de Control Manager

• Configuración de la Consola Web

• Copia de seguridad de la base datos

Herramientas • Herramientas administrativas

• Herramientas de cliente

Plug-in Manager

NotaSolo los usuarios que utilicencuentas de administradoresintegrados tienen acceso a estafunción.

Ninguna


13-8

Opciones de menú de los dominios gestionados

En la siguiente tabla se muestran las opciones de menú para los dominios gestionados:

TABLA 13-3. Opciones de menú de los dominios gestionados


Resumen

NotaCualquier usuario puede accedera esta página,independientemente del permisoque tenga.

Ninguna

Conformidad con las normas deseguridad

• Valoración de la conformidad

• Informe de conformidad

• Informe de conformidad programado

• Administración de servidores externos

Equipos en red • Cortafuegos

• Políticas

• Perfiles

• Instalación del cliente

• Basada en el explorador

• Remoto

Actualizaciones • Resumen

• Equipos en red

• Actualización manual

Registros • Registros de equipos conectados en red

• Comprobación de la conexión

• Restauración de spyware y grayware


13-9


Notificaciones • Notificaciones para administradores

• Notificaciones estándar

Opciones del menú de gestión de clientes

En la siguiente tabla se muestran las opciones de menú para la gestión de clientes:

TABLA 13-4. Opciones del menú de gestión de clientes


Estado Ninguna

Tareas • Explorar ahora

• Desinstalación del cliente

• Restauración de spyware y grayware


13-10


Configuración • Configuración de la exploración

• Métodos de exploración

• Parámetros de Escaneo Manual

• Parámetros de Escaneo en tiemporeal

• Parámetros de Escaneosprogramados

• Configuración de Explorar ahora

• Configuración de la reputación Web

• Ajustes de la supervisión decomportamiento

• Configuración de control de dispositivos

• Configuración de DLP

• Configuración del agente de actualización




• Exportar configuración

• Importar configuración


13-11


Registros • Registros de virus/malware

• Registros de spyware/grayware

• Registros del cortafuegos

• Registros de reputación Web

• Registros de rellamadas de C&C

• Registros de supervisión delcomportamiento

• Registros de control de dispositivos

• Registros de DLP

• Eliminar registros

Administrar árbol de clientes • Agregar un dominio

• Cambiar nombre del dominio

• Mover cliente

• Ordenar los clientes

• Eliminar dominio/cliente

Exportar Ninguna

Funciones de usuario integradasOfficeScan incorpora un conjunto de funciones de usuario integradas que no se puedenmodificar ni eliminar. Las funciones integradas son:


13-12

TABLA 13-5. Funciones de usuario integradas

NOMBRE DE LAFUNCIÓN

DESCRIPCIÓN

Administrador Delegue esta función en otros administradores o usuarios deOfficeScan que posean suficientes conocimientos de OfficeScan.

Los usuarios con esta función tienen el permiso "Configurar" entodas las opciones de menú.

Usuario invitado Delegue esta función en usuarios que deseen ver la consola Webcomo referencia.

• Los usuarios con esta función no tienen acceso a lassiguientes opciones de menú:

• Explorar ahora todos los dominios

• Plug-in Manager

• Administración > Funciones de usuario

• Administración > Cuentas de usuario

• Los usuarios tiene el permiso "Ver" para el resto deelementos de menú.

Usuario avanzadode Trend

Esta función solo está disponible si se actualiza desde OfficeScan10.

Esta función reúne los permisos de la función "Usuario avanzado"de OfficeScan 10. Los usuarios con esta función tienen elpermiso "Configurar" en todos los dominios del árbol de clientes,pero no podrán acceder a las nuevas funciones de esta versión.

Funciones personalizadas

Tiene la posibilidad de crear funciones personalizadas si ninguna de las que incorporaOfficeScan satisface sus necesidades.

Únicamente los usuarios que tienen la función de administrador integrada y aquellos queutilizan la cuenta raíz que se ha creado durante la instalación de OfficeScan pueden crearfunciones de usuario personalizadas y asignarlas a las cuentas de usuario.


13-13

Añadir una función personalizada

Procedimiento

1. Desplácese a Administración > Funciones de usuario.

2. Haga clic en Agregar. Si la función que desea crear tiene valores de configuraciónsimilares a los de una función existente, seleccione esta última y haga clic enCopiar. Aparecerá una nueva pantalla.

3. Especifique un nombre para la función y, de forma opcional, una descripción.

4. Defina el alcance del árbol de clientes.

a. Haga clic en Definir el alcance del árbol de clientes. Se abrirá una nuevapantalla.

b. Seleccione el icono del dominio raíz o bien uno o varios dominios del árbolde clientes.


NotaNo podrá guardar la función personalizada si no define el alcance del árbol declientes.

Hasta ahora solo se han definido los dominios. El nivel de acceso a los dominiosseleccionados se definirá en los pasos 6 y 7.

5. Haga clic en la pestaña Opciones de menú globales.

6. Haga clic en Opciones de menú para servidores/clientes y especifique elpermiso para cada opción de menú disponible. Para consultar una lista completa delas opciones de menú disponibles, consulte Opciones de menú para servidores y clientes enla página 13-4.

El alcance del árbol de clientes configurado en el paso 3 determina el nivel depermiso en las opciones de menú y define los destinos del permiso. El alcance delárbol de clientes puede ser el dominio raíz (todos los clientes) o dominiosespecíficos del árbol de clientes.


13-14

TABLA 13-6. Opciones de menú para servidores/clientes y alcance del árbol declientes

CRITERIOSALCANCE DEL ÁRBOL DE CLIENTES

DOMINIO RAÍZ DOMINIOS ESPECÍFICOS

Permiso de lasopciones delmenú

Configurar, Mostrar o Sinacceso

Mostrar o Sin acceso

Destino Servidor de OfficeScan y todoslos clientes

Por ejemplo, si concede elpermiso "Configurar" a unafunción en todas las opcionesde menú para los servidores yclientes, el usuario puede:

• Administrar laconfiguración, tareas ydatos del servidor

• Implementar laconfiguración general delos clientes

• Iniciar tareas generales delos clientes

• Administrar los datosgenerales de los clientes

Servidor de OfficeScan y todoslos clientes

Por ejemplo, si concede elpermiso "Configurar" a unafunción en todas las opcionesde menú para los servidores yclientes, el usuario puede:

• Ver la configuración,tareas y datos del servidor

• Ver la configuración,tareas y datos generalesdel cliente

• Algunas opciones de menú no están disponibles para las funcionespersonalizadas. Por ejemplo, Plug-in Manager, las funciones de usuario y lascuentas de usuario solo se encuentran disponibles para los usuarios con lafunción de administrador integrada.

• Si selecciona la casilla de verificación que aparece debajo de Configurar, seseleccionará automáticamente la casilla Ver.

• Si no selecciona ninguna casilla de verificación, el permiso será "Sin acceso".


13-15

7. Haga clic en Opciones de menú de los dominios gestionados y especifique elpermiso para cada opción de menú disponible. Para consultar una lista completa delas opciones de menú disponibles, consulte .


TABLA 13-7. Opciones de menú de los dominios gestionados y alcance del árbolde clientes






Destino Todos los clientes o clientesespecíficos

Ejemplos:

• Si un usuario haimplementado políticas decortafuegos, las políticasse implementarán entodos los clientes.

• El usuario puede iniciaruna actualización declientes manual en todoslos clientes o en clientesespecíficos.

• Un informe deconformidad puede incluirtodos los clientes oclientes específicos.

Clientes de los dominiosseleccionados

Ejemplos:

• Si un usuario haimplementado políticas decortafuegos, las políticasse implementarán solo enlos clientes de losdominios seleccionados.

• El usuario puede iniciaruna actualización declientes manual solo enlos clientes de losdominios seleccionados.

• Un informe deconformidad solo incluyelos clientes de losdominios seleccionados.



13-16


8. Haga clic en la pestaña Opciones del menú de gestión de clientes y especifiqueel permiso para cada opción de menú disponible. Para consultar una lista completade las opciones de menú disponibles, consulte .


TABLA 13-8. Opciones de menú de Administración de clientes y alcance delárbol de clientes






Destino Dominio raíz (todos losclientes) o dominiosespecíficos

Por ejemplo, puede concederel permiso "Configurar" a unafunción en la opción de menú"Tareas" del árbol de clientes.Si el destino es el dominio raíz,el usuario puede iniciar lastareas en todos los clientes. Silos destinos son los dominios Ay B, las tareas solo se puedeniniciar en los clientes de losdominios A y B.

Solo los dominiosseleccionados

Por ejemplo, puede concederel permiso "Configurar" a unafunción en la opción de menú"Configuración" del árbol declientes. Esto implica que elusuario puede implementar laconfiguración, pero solo paralos clientes de los dominiosseleccionados.

El árbol de clientes solo se mostrará si el permiso de la opciónde menú "Administración de clientes" de "Opciones de menúpara servidores/clientes" es "Mostrar".



13-17


• Si configura permisos para un dominio específico, puede copiar los permisos aotros dominios haciendo clic en Copiar la configuración del dominioseleccionado en otros dominios.

9. Haga clic en Guardar. La nueva función se muestra en la lista de funciones delusuario.

Modificar una función personalizada

Procedimiento


2. Haga clic en el nombre de la función. Aparecerá una nueva pantalla.

3. Modifique alguno de los siguientes elementos:

• Descripción

• Alcance del árbol de clientes

• Permisos de función

• Opciones de menú para servidores/clientes

• Opciones de menú de los dominios gestionados

• Opciones del menú de gestión de clientes


Eliminar una función personalizada

Procedimiento


2. Active la casilla de verificación que aparece junto a la función.


13-18

3. Haga clic en Eliminar.

Nota

No se puede eliminar una función si se encuentra asignada a al menos una cuenta.

Importar o exportar funciones personalizadas

Procedimiento


2. Para exportar las funciones personalizadas a un archivo .zip:

a. Seleccione las funciones y haga clic en Exportar.

b. Guarde el archivo .zip. Si está administrando otro servidor de OfficeScan,utilice el archivo .zip para importar las funciones personalizadas a dichoservidor.

Nota

La exportación de funciones solo es posible entre servidores con la misma versión.

3. Para exportar las funciones personalizadas a un archivo .csv:

a. Seleccione las funciones y haga clic en Exportar Parámetros relacionadoscon Roles.

b. Guarde el archivo .csv. Utilice este archivo para comprobar la información ylos permisos de las funciones seleccionadas.

4. Si ha guardado las funciones personalizadas desde un servidor de OfficeScandiferente y desea importarlas al servidor de OfficeScan actual, haga clic enImportar y localice el archivo .zip que contiene las funciones personalizadas.

• Las funciones de la pantalla Funciones de usuario se sobrescriben si seimporta una función con el mismo nombre.


13-19

• La importación de funciones solo es posible entre servidores con la mismaversión.

• Una función importada de otro servidor de OfficeScan:

• Conserva los permisos de las opciones de menú para servidores yclientes, y para los dominios gestionados.

• Aplica los permisos predeterminados para las opciones de menú de lagestión de clientes. En el otro servidor, registre los permisos de lafunción para las opciones de menú de la gestión de clientes y, acontinuación, vuelva a aplicarlos en la función importada.

Cuentas de usuarioConfigure las cuentas de usuario y asigne una función concreta a cada usuario. Lafunción de usuario determina los elementos de menú de la consola Web que un usuariopuede ver o configurar.

Durante la instalación del servidor de OfficeScan, el programa de instalación creaautomáticamente un cuenta integrada llamada "raíz". Los usuarios que inician sesión conla cuenta raíz pueden acceder a todos los elementos de menú. No es posible eliminar lacuenta raíz, pero sí modificar sus detalles, como la contraseña y nombre completo o ladescripción de la cuenta. Si olvida la contraseña de la cuenta raíz, póngase en contactocon su proveedor de servicios para que le ayude a restablecerla.

Agregue cuentas personalizadas o cuentas de Active Directory. Todas las cuentas deusuario se muestran en la lista de cuentas de usuario de la consola Web.

Las cuentas de usuario de OfficeScan se pueden utilizar para llevar a cabo un "inicio desesión único". El inicio de sesión único permite a los usuarios acceder a la consolaOfficeScan Web desde la consola de Trend Micro Control Manager. Consulte elprocedimiento que se detalla a continuación para obtener más información.


13-20

Añadir una cuenta personalizada

Procedimiento

1. Desplácese a Administración > Cuentas de usuario.


3. Seleccione Acción personalizada.

4. Escriba el nombre de usuario, el nombre completo y la contraseña; a continuación,confirme la contraseña.

5. Escriba una dirección de correo electrónico para la cuenta.

NotaOfficeScan envía notificaciones a esta dirección de correo electrónico. Lasnotificaciones informan al destinatario acerca de las detecciones de riesgos deseguridad y las transmisiones de activos digitales. Para obtener información detalladaacerca de las notificaciones, consulte Notificaciones de riesgos de seguridad para losadministradores en la página 7-82 y Notificaciones de la prevención de pérdida de datos paraadministradores en la página 10-50.

6. Seleccione una función para la cuenta.


8. Envíe los detalles de la cuenta al usuario.

Modificar una cuenta personalizada

Procedimiento


2. Haga clic en la cuenta de usuario.

3. Active o desactive la cuenta mediante la casilla de verificación que se muestra.



13-21

• Nombre completo

• Contraseña

• Dirección de correo electrónico

• Función


6. Envíe los detalles de la nueva cuenta al usuario.

Añadir una cuenta o un grupo de Active Directory

Procedimiento



3. Seleccione Usuario o grupo de Active Directory.

4. Especifique el nombre de la cuenta (el nombre de usuario o el grupo) y el dominioal que pertenece la cuenta.

Incluya los nombres del dominio y de la cuenta completos. OfficeScan no ofreceráningún resultado para nombres incompletos de cuentas o dominios o si el grupopredetermindado "Usuarios de dominio" se está utilizando.

A todos los miembros que pertenecen a un mismo grupo se les asigna la mismafunción. Si una cuenta determinada pertenece a al menos dos grupos y la funciónde estos no es la misma:

• Los permisos de ambos grupos se fusionan. Si un usuario define unaconfiguración determinada y se establece un conflicto de permisos para dichaconfiguración, se aplica el permiso superior.

• Todas las funciones de usuario se muestran en los registros de sucesos delsistema. Por ejemplo, "El usuario Luis Cano ha iniciado sesión con lassiguientes funciones: administrador, usuario invitado".

5. Seleccione una función para la cuenta.


13-22


7. Comunique al usuario que inicie sesión en la consola Web con su cuenta dedominio y su contraseña.

Añadir varias cuentas o grupos de Active Directory

Procedimiento


2. Haga clic en Agregar desde Active Directory.

3. Busque una cuenta (nombre de usuario o grupo) especificando el nombre deusuario y el dominio al que pertenece la cuenta.

NotaUtilice el carácter (*) para buscar varias cuentas. Si no especifica el carácter comodín,incluya el nombre de cuenta completo. OfficeScan no ofrecerá ningún resultado paranombres incompletos de cuentas o si el grupo predetermindado "Usuarios dedominio" se está utilizando.

4. Cuando OfficeScan encuentre una cuenta válida, mostrará el nombre de la cuentaen Usuarios y grupos. Haga clic en el icono "adelante" (>) para mover la cuentaque aparece en Usuarios y grupos seleccionados.

Si especifica un grupo de Active Directory, a todos los miembros que pertenezcana él se les asignará la misma función. Si una cuenta determinada pertenece a almenos dos grupos y la función de estos no es la misma:

• Los permisos de ambos grupos se fusionan. Si un usuario define unaconfiguración determinada y se establece un conflicto de permisos para dichaconfiguración, se aplica el permiso superior.

• Todas las funciones de usuario se muestran en los registros de sucesos delsistema. Por ejemplo, "El usuario Luis Cano ha iniciado sesión con lassiguientes funciones: administrador, usuario avanzado".

5. Agregue más cuentas o grupos.


13-23

6. Seleccione una función para las cuentas o los grupos.


8. Comunique a los usuarios que inicien sesión en la consola Web con sus nombresde dominio y contraseñas.

Cambiar una función de una cuenta personalizada o deActive Directory

Procedimiento


2. Seleccione una o varias cuentas personalizadas o de Active Directory.

3. Haga clic en Cambiar función.

4. En la pantalla que aparece, seleccione la nueva función y haga clic en Guardar.

Activar o desactivar una cuenta personalizada o de ActiveDirectory

Procedimiento


2. Haga clic en el icono situado bajo Activar.

Nota

La cuenta raíz no se puede desactivar.


13-24

Usar las cuentas de usuario de OfficeScan en ControlManager

Consulte la documentación de Control Manager para conocer detalladamente los pasosque hay que seguir.

Procedimiento

1. Cree una cuenta de usuario nueva en Control Manager. Al especificar el nombre deusuario, escriba el nombre de cuenta que aparece en OfficeScan Web Console.

2. Asigne los derechos de "acceso" y de "configuración" de la cuenta nueva alservidor de OfficeScan.

Nota

Si un usuario de Control Manager cuenta con derechos de "acceso" y "configuración"para OfficeScan, pero no dispone de una cuenta de OfficeScan, no puede acceder aOfficeScan. Al usuario le aparece un mensaje con un enlace que abre la pantalla deinicio de sesión de la OfficeScan Web Console.

Trend Micro Control ManagerTrend Micro Control Manager™ es una consola de administración centralizada quegestiona los productos y servicios de Trend Micro en los niveles de gateway, servidor decorreo, servidor de archivos y equipos de sobremesa corporativos. La consola deadministración basada en Web de Control Manager ofrece un único punto desupervisión de productos y servicios administrados en toda la red.

Control Manager permite a los administradores del sistema supervisar y crear informessobre actividades tales como infecciones, infracciones de seguridad o puntos de entradade virus. Los administradores del sistema pueden descargar e implementar componentesen toda la red, con lo que se garantiza que la protección sea uniforme y actualizada.Control Manager permite actualizaciones manuales y programadas previamente, asícomo la configuración y administración de los productos como grupos o individuos parauna mayor flexibilidad.


13-25

Integración de Control Manager en esta versión deOfficeScan

Esta versión de OfficeScan incluye las siguientes características y funciones para laadministración de los servidores de OfficeScan desde Control Manager:

• Cree, administre e implemente políticas para OfficeScan Antivirus, el servicio deprevención de pérdida de datos y la característica Control de dispositivos, y asigneprivilegios a los clientes de OfficeScan desde la consola de Control Manager.

En la siguiente tabla se enumeran las configuraciones de políticas disponibles enControl Manager 6.0.


13-26

TABLA 13-9. Tipos de administración de políticas de OfficeScan en ControlManager

TIPO DE POLÍTICA CARACTERÍSTICAS

Configuración del cliente y OfficeScanAntivirus

• Configuración de serviciosadicionales

• Configuración de la supervisión decomportamiento

• Configuración de Control dedispositivos

• Configuración de la exploraciónmanual


• Configuración de la exploración entiempo real

• Lista de spyware/graywarepermitido

• Métodos de exploración


• Configuración de la exploraciónprogramada

• Configuración del agente deactualización

• Configuración de la ReputaciónWeb

Protección de datos Configuración de las políticas deprevención de pérdida de datos

NotaAdministre los permisos deControl de dispositivos para laprotección de datos en laspolíticas de cliente de OfficeScan.


13-27

• Copie la siguiente configuración de un servidor de OfficeScan en otro desde laconsola de Control Manager:

• Tipos de identificadores de datos en la página 10-5

• Plantillas de prevención de pérdida de datos en la página 10-20

NotaSi esta configuración se copia en un servidor de OfficeScan en el que no se haya activadouna licencia de protección de datos, la configuración solo se aplicará cuando la licencia seactive.

Versiones de Control Manager compatiblesEsta versión de OfficeScan es compatible con Control Manager 6.0, 5.5 SP1, 5.5 y 5.0.

TABLA 13-10. Versiones de Control Manager compatibles

SERVIDOR DEOFFICESCAN

VERSIÓN DE CONTROL MANAGER

6.0 5.5 SP1 5.5 5.0

Doble pila Sí Sí Sí Sí

Solo IPv4 Sí Sí Sí Sí

Solo IPv6 Sí No No No

NotaLa versión 5.5 Service Pack 1 de Control Manager es la primera compatible con IPv6.

Para obtener información sobre las direcciones IP que el servidor de OfficeScan y losclientes de OfficeScan notifican a Control Manager, consulte Pantallas que muestran direccionesIP en la página A-7.

Aplique las revisiones y los archivos hotfix básicos más recientes de estas versiones deControl Manager para que Control Manager pueda administrar OfficeScan. Para obtenerlas revisiones y los archivos Hotfix más recientes, póngase en contacto con su proveedorde asistencia o visite el Centro de actualizaciones de Trend Micro en:


13-28


Después de instalar OfficeScan, regístrelo en Control Manager y establezca laconfiguración de OfficeScan en la consola de administración de Control Manager.Consulte la documentación de Control Manager para obtener información sobre laadministración de los servidores de OfficeScan.

Registrar OfficeScan en Control Manager

Procedimiento

1. Desplácese a Administración > Configuración de Control Manager.

2. Especifique el nombre para mostrar de la entidad, que es el nombre del servidor deOfficeScan que se mostrará en Control Manager.

De forma predeterminada, este nombre incluye el nombre del host del equipo delservidor y el nombre de este producto (por ejemplo, Servidor01_OSCE).

Nota

En Control Manager, los servidores de OfficeScan y otros productos que administraControl Manager se conocen como "entidades".

3. Especifique el nombre FQDN del servidor de Control Manager o la dirección IP,así como el número de puerto que debe utilizarse para conectarse al servidor.También puede conectarse con mayor seguridad mediante protocolo HTTPS.

• En el caso de un servidor de OfficeScan de doble pila, escriba el nombreFQDN o la dirección IP (IPv4 o IPv6, si están disponibles) de ControlManager.

• En el caso de un servidor de OfficeScan que solo utilice IPv4, escriba elnombre FQDN o la dirección IPv4 de Control Manager.

• En el caso de un servidor de OfficeScan que solo utilice IPv6, escriba elnombre FQDN o la dirección IPv6 de Control Manager.



13-29

NotaSolo Control Manager 5.5 SP1 y las versiones posteriores son compatibles con IPv6.

4. Si el servidor Web IIS de Control Manager requiere autenticación, escriba elnombre de usuario y la contraseña.

5. Si va a utilizar un servidor proxy para conectarse al servidor de Control Manager,especifique la siguiente configuración:

• Protocolo de proxy

• Nombre FQDN o dirección IPv4/IPv6 y puerto del servidor

• ID y contraseña de usuario de autenticación para el servidor proxy

6. Decida si desea utilizar el reenvío por puerto de comunicación unidireccional obidireccional y, a continuación, especifique la dirección IPv4/IPv6 y el puerto.

7. Para comprobar si OfficeScan se puede conectar al servidor de Control Managersegún la configuración especificada, haga clic en Comprobar la conexión.

Haga clic en Registrar si la conexión se ha establecido correctamente.

8. Si modifica cualquiera de los parámetros de esta pantalla tras registrarse, haga clicen Configuración de la actualización después de cambiar la configuración paranotificar al servidor de Control Manager de los cambios.

9. Si no desea que el servidor de Control Manager siga administrando OfficeScan,haga clic en Eliminar registro.

Comprobar el estado de OfficeScan en la Consola deadministración de Control Manager

Procedimiento

1. Abra la consola de administración de Control Manager.

Para abrir la consola de Control Manager, o cualquier otro equipo de la red, abra unexplorador Web y escriba lo siguiente:


13-30

https://<Nombre del servidor de Control Manager>/Webapp/login.aspx

Donde el <Nombre del servidor de Control Manager> es la direcciónIP o el nombre del host del servidor de Control Manager.

2. En el menú principal, haga clic en Products.

3. Compruebe si se abre el icono del servidor de OfficeScan.

Herramienta de exportación de políticasLa Herramienta de exportación de políticas del servidor de Trend Micro OfficeScanayuda a los administradores a exportar la configuración de políticas de OfficeScancompatible con Control Manager 6.0 o posterior. Los administradores también necesitanControl Manager Import Tool para poder importar las políticas. La Herramienta deexportación de políticas es compatible con OfficeScan 10.6 Service Pack 1 y posterior.


• Configuración de la supervisión decomportamiento

• Parámetros de Escaneosprogramados

• Configuración de control dedispositivos


• Configuración de la prevención depérdida de datos

• Configuración de Explorar ahora • Derechos y otras configuraciones

• Configuración del agente deactualización


• Configuración de la reputación Web • Lista de spyware/grayware permitido

• Método de exploración


13-31

Uso de la Herramienta de exportación de políticas

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\PolicyExportTool.

2. Haga doble clic en PolicyExportTool.exe para iniciar la Herramienta deexportación de políticas.

Se abre una pantalla de la interfaz de la línea de comandos y la Herramienta deexportación de políticas empieza a exportar la configuración. La herramienta creados carpetas (PolicyClient y PolicyDLP) en la carpeta PolicyExportToolque contienen la configuración exportada.

3. Copie las dos carpetas en la carpeta de instalación de Control Manager.

4. Ejecute la Herramienta de importación de políticas en el servidor de ControlManager.

Para obtener información detallada sobre la Herramienta de importación depolíticas, consulte el Archivo léame de la Herramienta de importación de políticas.

Nota

La Herramienta de exportación de políticas no exporta identificadores de datospersonalizados o plantillas de DLP personalizadas. Para los administradores quenecesiten exportar identificadores de datos personalizados y plantillas de DLP, realiceuna exportación manual desde la consola de OfficeScan y, a continuación, importe deforma manual el archivo mediante la consola de Control Manager.

Servidores de referenciaUna de las formas que tiene el cliente de OfficeScan de determinar la política o el perfilque debe utilizar consiste en comprobar el estado de la conexión con el servidor deOfficeScan. Si un cliente de OfficeScan interno (o un cliente de la red de la empresa) nose puede conectar al servidor, el estado del cliente cambia a desconectado. A


13-32

continuación, el cliente aplica una política o un perfil diseñados para clientes externos.Los servidores de referencia solucionan este problema.

Un cliente de OfficeScan que pierde la conexión con el servidor de OfficeScan intentaráconectar con los servidores de referencia. Si el cliente establece correctamente unaconexión con un servidor de referencia, se aplica la política o el perfil para clientesinternos.

Entre las políticas y los perfiles administrador por servidores de referencia se incluyenlos siguientes:

• Perfiles del cortafuegos

• Políticas de reputación Web

• Políticas de protección de datos

• Políticas de Control de dispositivos

Tenga en cuenta lo siguiente:

• Asigne equipos con capacidades de servidor, como un servidor Web, un servidorSQL o un servidor FTP, como servidores de referencia. Puede especificar unmáximo de 32 servidores de referencia.

• Los clientes de OfficeScan se conectan con el primer servidor de referencia de lalista de servidores de referencia. Si no se puede establecer la conexión, el clienteintenta conectar con el siguiente servidor de la lista.

• Los clientes de OfficeScan utilizan los servidores de referencia al determinar laconfiguración del antivirus (Supervisión de comportamiento, Control dedispositivos, perfiles del cortafuegos y la política de reputación Web) o de laprotección de datos que se va a usar. Los servidores de referencia no administranclientes ni implementan actualizaciones y configuraciones de clientes. El servidorde OfficeScan lleva a cabo esas tareas.

• Un cliente de OfficeScan no puede enviar registros a servidores de referencia outilizarlos como orígenes de actualización.


13-33

Administrar la lista de servidores de referencia

Procedimiento

1. Desplácese a Equipos en red > Cortafuegos > Perfiles o Equipos en red >Ubicación del equipo.

2. En función de la pantalla que aparezca, realice lo siguiente:

• Si se encuentra en la pantalla Perfiles del cortafuegos para equipos en red,haga clic en Editar la lista de servidores de referencia.

• Si se encuentra en la pantalla Ubicación del equipo, haga clic en lista deservidores de referencia.

3. Seleccione Activar la lista de servidores de referencia.

4. Para añadir un equipo a la lista, haga clic en Agregar.

a. Especifique la dirección IPv4/IPv6, el nombre, la dirección o el nombre dedominio completo (FQDN) del equipo, por ejemplo:

• computer.networkname

• 12.10.10.10

• mycomputer.domain.com

b. Escriba el puerto a través del cual los clientes se comunican con este equipo.Especifique cualquier puerto de contacto abierto (como los puertos 20, 23 o80) en el servidor de referencia.

NotaPara especificar otro número de puerto para el mismo servidor de referencia,repita los pasos 2a y 2b. El cliente de OfficeScan utiliza el primer número depuerto de la lista y, si la conexión falla, utiliza el siguiente número de puerto.


5. Para editar la configuración de un equipo de la lista, haga clic en el nombre delequipo. Modifique el nombre del equipo o el puerto y haga clic a continuación enGuardar.


13-34

6. Para quitar un equipo de la lista, seleccione el nombre del equipo y, a continuación,haga clic en Eliminar.

7. Para permitir que los equipos actúen como servidores de referencia, haga clic enAsignar a clientes.

Configuración de las notificaciones deladministrador

Defina la configuración de las notificaciones del administrador para permitir aOfficeScan enviar notificaciones por correo electrónico, buscapersonas o capturaSNMP. OfficeScan también puede enviar notificaciones a través del registro de sucesosde Windows NT, pero no hay ninguna configuración establecida para este canal denotificación.

OfficeScan puede enviar notificaciones a usted y otros administradores de OfficeScancuando se detecte lo siguiente:

TABLA 13-11. Detecciones que activan las notificaciones de administrador

DETECCIONES

CANALES DE NOTIFICACIÓN

CORREOELECTRÓNICO

BUSCAPERSONAS

CAPTURASNMP

REGISTROS DESUCESOS DE

WINDOWS NT

Virus y malware Sí Sí Sí Sí

Spyware y grayware Sí Sí Sí Sí

Transmisiones deactivo digital

Sí Sí Sí Sí

rellamadas de C&C Sí No Sí Sí

Epidemias de virus ymalware

Sí Sí Sí Sí


13-35

DETECCIONES

CANALES DE NOTIFICACIÓN

CORREOELECTRÓNICO

BUSCAPERSONAS

CAPTURASNMP

REGISTROS DESUCESOS DE

WINDOWS NT

Epidemias despyware y grayware

Sí Sí Sí Sí

Epidemias deinfracciones delcortafuegos

Sí No No No

Epidemias desesiones de carpetascompartidas

Sí No No No

rellamadas de C&C Sí No Sí Sí

Configurar las notificaciones del administrador

Procedimiento

1. Desplácese a Notificaciones > Notificaciones para administradores >Configuración general.

2. Defina la configuración de las notificaciones de correo electrónico.

a. Especifique una dirección IPv4/IPv6 o un nombre de equipo en el campoServidor SMTP.

b. Escriba un número de puerto comprendido entre 1 y 65535.

c. Especifique un nombre o una dirección de correo electrónico.

Si desea activar ESMTP en el siguiente paso, especifique una dirección decorreo electrónico válida.

d. Si lo desea, también puede activar ESMTP.

e. Especifique el nombre de usuario y la contraseña de la dirección de correoelectrónico que ha introducido en el campo Desde.


13-36

f. Seleccione un método de autenticación del cliente en el servidor:

• Conectar: el inicio de sesión es una versión antigua del agente delusuario de correo. Tanto el servidor como el cliente utilizan BASE64para autenticar el nombre de usuario y la contraseña.

• Texto sin formato: el texto sin formato es el método más sencillo, perotambién puede resultar inseguro, ya que el nombre de usuario y lacontraseña se envían como una cadena y cifrados en BASE64 antes deenviarse por Internet.

• CRAM-MD5: CRAM-MD5 combina un mecanismo de autenticación depregunta-respuesta y un algoritmo criptográfico Message Digest 5 paraintercambiar y autenticar información.

3. Defina la configuración de las notificaciones de buscapersonas.

a. En el campo Número del buscapersonas, se permiten los caracteressiguientes:

• entre 0 y 9

• #

• *

• ,

b. Escriba un número de puerto COM comprendido entre 1 y 16.

4. Defina la configuración de las notificaciones de las capturas SNMP.

a. Especifique una dirección IPv4/IPv6 o un nombre de equipo en el campoDirección IP del servidor.

b. Especifique un nombre de comunidad que sea difícil de adivinar.



13-37

Registros de sucesos del sistemaOfficeScan registra los sucesos relacionados con el programa servidor, tales como ladesconexión y el inicio. Utilice estos registros para comprobar que el servidor deOfficeScan y los servicios funcionan correctamente.


Ver registros de sucesos del sistema

Procedimiento

1. Desplácese a Registros > Registros de sucesos del sistema.

2. En Descripción del suceso, busque los registros que precisan alguna acción más.OfficeScan registra los sucesos siguientes:

TABLA 13-12. Registros de sucesos del sistema

TIPO DE REGISTRO SUCESOS

Servicio maestro yservidor de base dedatos de OfficeScan

• El servicio maestro se ha iniciado

• El servicio maestro se ha detenido correctamente

• El servicio maestro no se ha detenidocorrectamente

Prevención deepidemias

• Se ha activado la prevención de epidemias

• Se ha desactivado la prevención de epidemias

• Número de sesiones de carpetas compartidas enlos últimos <número de minutos>


13-38

TIPO DE REGISTRO SUCESOS

Copia de seguridad de labase datos

• Copia de seguridad de la base de datos realizadacon éxito

• Copia de seguridad de la base de datos norealizada

Acceso a la consolaWeb basado enfunciones

• Inicio de sesión en la consola

• Modificación de la contraseña

• Cierre de sesión de la consola

• Tiempo de espera de la sesión excedido (elusuario se desconecta automáticamente)


Administración de registrosOfficeScan guarda registros completos de las detecciones de riesgos de seguridad,sucesos y actualizaciones. Puede utilizar estos registros para valorar las políticas deprotección de la organización e identificar los clientes de OfficeScan que tienen unmayor riesgo de sufrir una infección o un ataque. Utilice también estos registros paracomprobar la conexión cliente-servidor y ver si se realizaron correctamente lasactualizaciones de componentes.

OfficeScan también utiliza un mecanismo de verificación de tiempo central paragarantizar la consistencia de tiempo entre en servidor de OfficeScan y los clientes. Estafunción evita que las inconsistencias provocadas por las zonas horarias, el horario deverano y las diferencias horarias puedan dar lugar a confusiones al visualizar losregistros.

NotaOfficeScan lleva a cabo una comprobación de la hora de todos los registros excepto de losregistros de actualización del servidor y de sucesos del sistema.


13-39

El servidor de OfficeScan recibe los siguientes registros de los clientes de OfficeScan:

• Visualización de los registros de virus/malware en la página 7-90

• Visualización de los registros de spyware/grayware en la página 7-97

• Visualización de los registros de restauración de spyware y grayware en la página 7-100

• Ver registros del cortafuegos en la página 12-31

• Ver registros de reputación Web en la página 11-21

• Visualización de los registros de rellamadas de C&C en la página 11-22

• Visualización de registros de supervisión del comportamiento en la página 8-14

• Visualización de los registros de Control de dispositivos en la página 9-18

• Visualización de los registros de prevención de pérdida de datos en la página 10-54

• Visualización de los registros de actualización del cliente de OfficeScan en la página 6-54

• Ver los registros de comprobación de la conexión en la página 14-46

El servidor de OfficeScan crea los registros siguientes:

• Registros de actualización del servidor de OfficeScan en la página 6-27

• Registros de sucesos del sistema en la página 13-37

Los siguientes registros también se encuentran en el servidor de OfficeScan y los clientesde OfficeScan:

• Registros de sucesos de Windows en la página 18-23

• Registros del servidor de OfficeScan en la página 18-3

• Registros de clientes de OfficeScan en la página 18-15


13-40

Mantenimiento de los registrosPara evitar que los registros ocupen demasiado espacio en el disco duro, elimínelosmanualmente o configure un programa de eliminación de registros desde la consolaWeb.

Eliminar registros según un programa

Procedimiento

1. Desplácese a Registros > Mantenimiento de los registros.

2. Seleccione Activar la eliminación programada de registros.

3. Seleccione los tipos de registros que deben eliminarse. Todos los registrosgenerados por OfficeScan, excepto los de depuración, se pueden eliminar enfunción de un programa. Para el caso de los registros de depuración, desactive lacreación de registros de depuración para detener la recopilación de registros.

NotaEn el caso de los registros de virus y malware, se pueden eliminar los registrosgenerados a partir de determinados tipos de exploración y de Damage CleanupServices. En el caso de los registros de spyware y grayware, puede eliminar losregistros de determinados tipos de exploración. Para obtener información detalladaacerca de los tipos de exploración, consulte Tipos de exploración en la página 7-14.

4. Seleccione si deben eliminarse los registros de todos los tipos de archivosseleccionados o sólo los que superan un determinado número de días.

5. Especifique la frecuencia y la hora de la eliminación de registros.



13-41

Eliminar manualmente los registros

Procedimiento



3. Siga uno de los pasos siguientes:

• Si accede a la pantalla Registros de riesgos de seguridad para equipos enred, haga clic en Eliminar registros o Ver registros > Eliminar registros.

• Si accede a la pantalla Administración de clientes, haga clic en Registros >Eliminar registros.

4. Seleccione los tipos de registros que deben eliminarse. Solo se pueden eliminar deforma manual los siguientes registros:

• Registros de virus/malware



• Registros de reputación Web

• Registros de rellamadas de C&C

• Registros de supervisión del comportamiento

• Registros de control de dispositivos

• Registros de prevención de pérdida de datos


13-42

Nota

En el caso de los registros de virus y malware, se pueden eliminar los registrosgenerados a partir de determinados tipos de exploración y de Damage CleanupServices. En el caso de los registros de spyware y grayware, puede eliminar losregistros de determinados tipos de exploración. Para obtener información detalladaacerca de los tipos de exploración, consulte Tipos de exploración en la página 7-14.

5. Seleccione si deben eliminarse los registros de todos los tipos de archivosseleccionados o sólo los que superan un determinado número de días.


LicenciasVea, active y renueve los servicios de licencias de OfficeScan en la consola Web y activeo desactive OfficeScan Firewall. El cortafuegos de OfficeScan es parte del servicioAntivirus, que también incluye compatibilidad con Cisco NAC y prevención deepidemias.

Nota

Algunas características nativas de OfficeScan, como la protección de datos y el soporte paraVirtual Desktop tienen sus propias licencias. Las licencias para estas características seactivan y administran desde Plug-in Manager. Para obtener información sobre las licenciasde estas características, consulte Licencia de protección de datos en la página 3-4 y Licencia delSoporte para Virtual Desktop en la página 14-81.

Un servidor de OfficeScan que solo utilice IPv6 no se puede conectar al servidor deregistro en línea de Trend Micro para activar o renovar la licencia. Es necesario un servidorproxy de doble pila que convierta direcciones IP, como DeleGate, para permitir al servidorde OfficeScan que se conecte al servidor de registro.

Desconéctese de la consola Web y vuelva a iniciar sesión en las situaciones siguientes:

• Tras activar una licencia de los servicios de licencias siguientes:

• Antivirus


13-43

• Reputación Web y antispyware

Nota

Es necesario volver a iniciar sesión para activar toda la funcionalidad del servicio.

• Tras activar o desactivar OfficeScan Firewall. Si desactiva el cortafuegos,OfficeScan oculta todas las funciones del cortafuegos en el servidor y el cliente.

Ver información sobre la licencia del producto

Procedimiento


2. Vea el resumen del estado de la licencia, que aparece en la parte superior de lapantalla. Durante los casos siguientes aparecen recordatorios sobre las licencias:

TABLA 13-13. Recordatorios de licencia

TIPO DE LICENCIA RECORDATORIO

Versión completa Durante el periodo de gracia del producto. La duración delperiodo de gracia puede varía entre una zona y otra.Consulte con su representante de Trend Micro paracomprobar la duración de su periodo de gracia.

Cuando la licencia caduca y finaliza el periodo de gracia.Durante este tiempo no podrá obtener asistencia técnicani actualizar componentes. Los motores de exploraciónseguirán explorando los equipos pero con componentesobsoletos. Es posible que estos componentes obsoletosno puedan protegerle completamente frente a los riesgosde seguridad más recientes.

(Versión deevaluación)

Cuando caduca la licencia. Durante este tiempo, OfficeScandesactiva las actualizaciones de componentes, la exploracióny todas las funciones del cliente.

3. Ver información sobre la licencia. En el apartado Información sobre la licencia,figura la siguiente información:


13-44

• Servicios: incluye todos los servicios de licencias de OfficeScan.

• Estado: muestra "Activada", "No activada" o "Caducada". Cuando unservicio dispone de múltiples licencias y al menos una está activa, el estadoque aparece es "Activada".

• Versión: muestra versión "Completa" o de "Evaluación". Si tiene una versióncompleta y otra de evaluación, se mostrará "Completa".

• Fecha de caducidad: cuando un servicio tiene múltiples licencias, se muestrala fecha de caducidad más reciente. Por ejemplo, si las fechas de caducidadson 31/12/2007 y 30/06/2008, aparecerá 30/06/2008.

NotaLa versión y la fecha de caducidad de los servicios de licencia que no se hanactivado es "N/D".

4. OfficeScan permite activar varias licencias para un servicio de licencias. Haga clicen el nombre del servicio para ver todas las licencias (activas y caducadas)correspondientes a ese servicio.

Activar o renovar una licencia

Procedimiento


2. Haga clic en el nombre del servicio de licencias.

3. En la pantalla Detalles de la licencia del producto que se abre, haga clic enNuevo código de activación.

4. Escriba el código de activación en la pantalla que se abre y haga clic en Guardar.

NotaAntes de activar un servicio es necesario registrarlo. Para más información sobre laclave de registro y el código de activación, póngase en contacto con un representantede Trend Micro.


13-45

5. De nuevo en la pantalla Detalles de la licencia del producto, haga clic enInformación de la actualización para actualizar la página con los detalles nuevosde la licencia y el estado del servicio. Esta pantalla también muestra un enlace alsitio Web de Trend Micro en el que puede visualizar información detallada sobre lalicencia.

Copia de seguridad de la base de datos deOfficeScan

La base de datos del servidor de OfficeScan contiene toda la configuración deOfficeScan, incluidos los derechos y la configuración de exploración. En caso de que sedañe la base de datos del servidor, podrá recuperarla si ha efectuado una copia deseguridad. Realice en cualquier momento una copia de seguridad de la base datos deforma manual o bien configure un programa de copia de seguridad.

Al realizar la copia de seguridad de la base de datos, OfficeScan contribuyeautomáticamente a desfragmentar la base de datos y repara los posibles errores delarchivo de índice.

Compruebe los registros de sucesos del sistema para determinar el estado de la copia deseguridad. Para obtener más información, consulte Registros de sucesos del sistema en la página13-37.

Consejo

Trend Micro recomienda configurar un programa de copia de seguridad automática.Programe la copia de seguridad en horas de menor actividad en las que el tráfico delservidor es inferior.

¡ADVERTENCIA!

no realice la copia de seguridad con ninguna otra herramienta o software. Configure lacopia de seguridad de la base de datos únicamente desde la consola OfficeScan Web.


13-46

Crear una copia de seguridad de la base de datos deOfficeScan

Procedimiento

1. Desplácese a Administración > Copia de seguridad de la base de datos.

2. Escriba la ubicación en donde desea guardar la base de datos. Si la carpeta no existetodavía, seleccione Crear la carpeta si no existe. Se debe incluir la unidad y la rutade acceso completa del directorio (por ejemplo, C:\OfficeScan\DatabaseBackup).

De forma predeterminada, OfficeScan guarda la copia de seguridad en el directoriosiguiente: <Carpeta de instalación del servidor>\DBBackup

Nota

OfficeScan crea una subcarpeta en la ruta de la copia de seguridad. El nombre de lacarpeta indica la hora de la copia de seguridad con el siguiente formato:AAAAMMDD_HHMMSS. OfficeScan conserva las 7 últimas carpetas de copia deseguridad y va eliminando de forma automática las carpetas anteriores.

3. Si la ruta de la copia de seguridad corresponde a un equipo remoto (una rutaUNC), escriba un nombre de cuenta y la contraseña correspondientes. Asegúresede que la cuenta tiene derechos de escritura en el equipo.

4. Para configurar el programa de copia de seguridad:

a. Seleccione Activar la copia de seguridad de la base de datosprogramada.

b. Especifique la frecuencia y la hora de la copia de seguridad.

c. Para realizar una copia de seguridad de la base de datos y guardar los cambiosrealizados, haga clic en Crear copia de seguridad ahora. Para guardar solosin realizar la copia de seguridad de la base de datos, haga clic en Guardar.


13-47

Restaurar los archivos de Copia de seguridad de la basedatos

Procedimiento

1. Detenga el servicio maestro de OfficeScan.

2. Sobrescriba los archivos de la base de datos de la <carpeta de instalación del servidor>\PCCSRV\HTTPDB con los archivos de copia de seguridad.

3. Reinicie el servicio maestro de OfficeScan.

Información del servidor Web de OfficeScanDurante la instalación del servidor de OfficeScan, el programa de instalación configuraautomáticamente un servidor Web (servidor IIS o Web de Apache) que permite laconexión de los equipos en red al servidor de OfficeScan. Configure el servidor Web alque se conectarán ambos clientes conectados en red.

Si modifica la configuración del servidor Web externamente (por ejemplo, desde laconsola de administración de IIS), duplique los cambios en OfficeScan. Por ejemplo, sicambia manualmente la dirección IP del servidor para los equipos conectados en red o sile asigna una dirección IP dinámica, tendrá que volver a configurar el servidor deOfficeScan.

¡ADVERTENCIA!Si se cambia la configuración de la conexión, se podría perder la conexión de formapermanente entre el servidor y los clientes, por lo que sería necesario volver a implementarlos clientes de OfficeScan.

Configurar la conexión

Procedimiento

1. Desplácese a Administración > Configuración de la conexión.


13-48

2. Escriba el nombre del dominio o la dirección IPv4/IPv6 y el número de puerto delservidor Web.

Nota

Este puerto es el puerto de confianza que utiliza el servidor de OfficeScan paracomunicarse con los clientes de OfficeScan.


Contraseña de la consola WebSolo se podrá acceder a la pantalla en la que se gestiona la contraseña de la consola Web(o la contraseña de la cuenta raíz que se crea en la instalación del servidor de OfficeScan)si el equipo servidor no cuenta con los recursos necesarios para poder utilizar Role-based Administration. Por ejemplo, si el equipo servidor funciona con Windows Server2003 y no tiene instalado Authorization Manager Runtime, se puede acceder a lapantalla. Si los recursos son los adecuados, esta pantalla no aparecerá y la contraseña sepodrá gestionar modificando la cuenta raíz desde la pantalla Cuentas de usuario.

Si OfficeScan no está registrado en Control Manager, póngase en contacto con suproveedor de asistencia para que le informe sobre cómo acceder a la consola Web.

Configuración de la Consola WebUtilice la pantalla Configuración de la Consola Web para lo siguiente:

• Configure el servidor de OfficeScan para que actualice el panel Resumen de formaperiódica. De forma predeterminada, el servidor actualiza el panel cada 30segundos. El número de segundos debe ser superior a 10 e inferior a 300.

• Especifique la configuración del tiempo de espera de la consola Web. De formapredeterminada, un usuario se desconecta de forma automática de la consola Webpasados 30 minutos de inactividad. El número de minutos debe ser superior a 10 einferior a 60.


13-49

Configurar las opciones de la consola Web

Procedimiento

1. Desplácese a Administración > Configuración de la Consola Web.

2. Seleccione Activar la actualización automática y, a continuación, seleccione elintervalo de actualización.

3. Seleccione Activar la desconexión automática de la consola Web y, acontinuación, seleccione el intervalo de tiempo de espera.


Administrador de cuarentenaCuando el cliente de OfficeScan detecta un riesgo de seguridad y la acción deexploración es Poner en cuarentena, cifra el archivo infectado y lo mueve a la carpeta decuarentena actual, ubicada en <Carpeta de instalación del cliente>\SUSPECT.

Tras mover el archivo al directorio de cuarentena local, el cliente de OfficeScan lo envíaal directorio de cuarentena designado. Especifique el directorio en Equipos en red >Administración de clientes > Configuración > Configuración de {Tipo deexploración} > Acción. Los archivos situados en el directorio de cuarentena designadose cifran para evitar que infecten otros archivos. Consulte Directorio de cuarentena en lapágina 7-42 para obtener más información.

Si el directorio de cuarentena se encuentra en el equipo del servidor de OfficeScan,modifique la configuración del directorio de cuarentena del servidor desde la consolaWeb. El servidor guarda los archivos en cuarentena en <Carpeta de instalación del servidor>\PCCSRV\Virus.


13-50

NotaSi el cliente de OfficeScan no logra enviar el archivo cifrado al servidor de OfficeScan porel motivo que sea (un problema de conexión de red, por ejemplo), se guardará en la carpetade cuarentena del cliente de OfficeScan. El cliente de OfficeScan intentará volver a enviarel archivo cuando se conecte al servidor de OfficeScan.

Configurar el directorio de cuarentena

Procedimiento

1. Desplácese a Administración > Administrador de cuarentena.

2. Acepte o modifique la capacidad predeterminada de la carpeta de cuarentena y eltamaño máximo de un archivo infectado que OfficeScan puede almacenar en lacarpeta de cuarentena.

En la pantalla aparecen los valores predeterminados.

3. Haga clic en Guardar la configuración de cuarentena.

4. Para eliminar todos los archivos de la carpeta de cuarentena, haga clic en Eliminartodos los archivos puestos en cuarentena.

Server TunerUtilice Server Tuner para optimizar el rendimiento del servidor de OfficeScan medianteparámetros para los siguientes problemas de rendimiento relacionados con el servidor:

• descargar

Cuando el número de clientes de OfficeScan (incluidos los agentes deactualización) que requieren actualizaciones del servidor de OfficeScan supera losrecursos disponibles del servidor, este pone en cola la solicitud de actualización delcliente y procesa las solicitudes cuando los recursos están disponibles. Cuando uncliente completa correctamente la actualización de sus componentes desde elservidor de OfficeScan, el cliente envía una notificación al servidor. Defina el


13-51

número máximo de minutos que esperará el servidor de OfficeScan para recibiruna notificación de actualización por parte del cliente. Defina también el númeromáximo de intentos de notificación del servidor al cliente para que realice unaactualización y aplique los nuevos parámetros de configuración. El servidor sigueintentándolo solo si no recibe la notificación del cliente.

• Buffer

Cuando el servidor de OfficeScan recibe varias solicitudes de clientes deOfficeScan como, por ejemplo, una solicitud para realizar una actualización, elservidor gestiona todas las solicitudes que puede atender y coloca en un búfer lassolicitudes pendientes. El servidor administra a continuación las solicitudesguardadas en el búfer de una en una cuando dispone de los recursos necesarios.Especifique el tamaño del búfer para sucesos tales como solicitudes deactualizaciones de clientes y para crear informes sobre los registros de clientes.

• Tráfico de red

La cantidad de tráfico de red varía a lo largo del día. Para controlar el flujo detráfico de red que llega al servidor de OfficeScan y a otras fuentes de actualización,especifique el número de clientes de OfficeScan que pueden actualizarsimultáneamente los componentes en un momento determinado del día.

Server Tuner requiere el archivo siguiente: SvrTune.exe

Ejecutar Server Tuner

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\SvrTune.

2. Haga doble clic en SvrTune.exe para iniciar Server Tuner.

Se abrirá la consola de Server Tuner.

3. En Download, modifique los parámetros siguientes:

• Tiempo de espera para clientes: Escriba el número de minutos queesperará el servidor de OfficeScan para recibir una respuesta de actualización


13-52

de los clientes. Si el cliente no responde en este período, el servidor deOfficeScan no considera que los componentes del cliente están actualizados.Cuando se excede el tiempo de espera de notificación de un cliente, se pasa aotro cliente que espera la notificación.

• Tiempo de espera para agentes de actualización: Escriba el número deminutos que esperará el servidor de OfficeScan para recibir una respuesta deactualización de un agente de actualización. Cuando se excede el tiempo deespera de notificación de un cliente, se pasa a otro cliente que espera lanotificación.

• Añada cuenta: Escriba el número máximo de intentos de notificación delservidor de OfficeScan al cliente para que realice una actualización o apliquelos nuevos parámetros de configuración.

• Añada intervalo: escriba el número de minutos que esperará el servidor deOfficeScan entre los intentos de notificación.

4. En Buffer, modifique los parámetros siguientes:

• Búfer de sucesos: Escriba el número máximo de notificaciones de sucesosde clientes al servidor (tales como actualización de componentes) que deseaque OfficeScan guarde en el búfer. La conexión con el cliente se pierdemientras la solicitud del cliente esté esperando en el búfer. OfficeScanestablece una conexión con un cliente cuando procesa la notificación delcliente y lo elimina del búfer.

• Búfer de registros: Indique el número máximo de notificaciones deinformación de registros de clientes al servidor que desea que OfficeScanguarde en el búfer. La conexión con el cliente se pierde mientras la solicituddel cliente esté esperando en el búfer. OfficeScan establece una conexión conun cliente cuando procesa la notificación del cliente y lo elimina del búfer.

Nota

Si el número de clientes que envían notificaciones a su servidor es elevado,aumente el tamaño del búfer. No obstante, con un búfer mayor se consumemás memoria en el servidor.

5. En Network Traffic, modifique los parámetros siguientes:


13-53

• Horas normales: Haga clic en los botones de opción que representan lashoras del día en las que el tráfico de red es normal.

• Horas de menor actividad: Haga clic en los botones de opción querepresentan las horas del día en las que el tráfico de red es menor.

• Horas de mayor actividad: Haga clic en los botones de opción querepresentan las horas del día en las que el tráfico de red es mayor.

• Máximo de conexiones de cliente: Escriba el número máximo de clientesque pueden actualizar componentes de forma simultánea desde "otra fuentede actualización" y desde el servidor de OfficeScan. Escriba un númeromáximo de clientes para cada uno de los períodos de tiempo. Cuando sealcanza el número máximo de conexiones, un cliente sólo puede actualizar suscomponentes después de que se finalice una conexión (cuando finaliza unaactualización o la respuesta de un cliente excede el tiempo de esperaespecificado en los campos Timeout for client o Timeout for UpdateAgent).

6. Haga clic en Aceptar. Aparecerá un mensaje de solicitud para reiniciar el serviciomaestro de OfficeScan (OfficeScan Master Service).

NotaSólo se reinicia el servicio, no el equipo.

7. Seleccione una de las siguientes opciones de reinicio:

• Haga clic en Yes para guardar la configuración de Server Tuner y reiniciar elservicio. La configuración surtirá efecto después de reiniciar.

• Haga clic en No para guardar la configuración de Server Tuner pero noreiniciar el servicio. Reinicie el servicio maestro de OfficeScan Master oreinicie el Equipo del servidor de OfficeScan para que la nueva configuraciónsurta efecto.

Feedback InteligenteLa función Feedback Inteligente de Trend Micro comparte información anónima sobreamenazas con Smart Protection Network, lo que permite a Trend Micro identificar y


13-54

combatir rápidamente las nuevas amenazas. Puede desactivar la función de comentariosinteligentes en cualquier momento desde esta consola.

Participar en el programa Smart Feedback

Procedimiento

1. Desplácese a Protección inteligente > Feedback Inteligente.

2. Haga clic en Activar Feedback Inteligente de Trend Micro

3. Para ayudar a Trend Micro a entender su organización, seleccione el tipo Sector.

4. Para enviar información sobre las amenazas de seguridad potenciales para losarchivos de los equipos de sus clientes, seleccione la casilla de verificación Activarevaluación de archivos de programa sospechosos.

NotaLos archivos enviados a Feedback Inteligente no contienen datos de los usuarios y seenvían sólo para el análisis de amenazas.

5. Para configurar los criterios de envío de feedback, seleccione el número dedetecciones para la cantidad de tiempo específica que provoca el feedback.

6. Especifique el ancho de banda máxima que OfficeScan puede utilizar cuando envíael feedback con el fin de reducir las interrupciones de la red.


14-1

Capítulo 14

Administrar el cliente de OfficeScanEn este capítulo se describen la gestión y la configuración del cliente de OfficeScan.


• Ubicación del equipo en la página 14-2

• Administración del programa del cliente de OfficeScan en la página 14-6

• Conexión cliente-servidor en la página 14-26

• Configuración del proxy del cliente de OfficeScan en la página 14-51

• Ver información sobre los clientes de OfficeScan en la página 14-56

• Importar y exportar la configuración del cliente en la página 14-57

• Conformidad con las normas de seguridad en la página 14-59

• Compatibilidad con Trend Micro Virtual Desktop en la página 14-79

• Configuración general del cliente en la página 14-93

• Configurar derechos y otras configuraciones de los clientes en la página 14-95


14-2

Ubicación del equipoOfficeScan proporciona una función de conocimiento de ubicación que determina si laubicación de un cliente de OfficeScan es interna o externa. La función de conocimientode ubicación se aprovecha en las siguientes funciones y servicios de OfficeScan:

TABLA 14-1. Funciones y servicios que aprovechan el conocimiento de ubicación

FUNCIÓN/SERVICIO DESCRIPCIÓN

Servicios deReputación Web

La ubicación del cliente de OfficeScan determina la política dereputación Web que el cliente de OfficeScan vaya a aplicar. Losadministradores suelen aplicar una política más estricta para losclientes externos.

Para obtener información detallada acerca de las políticas dereputación Web, consulte Políticas de reputación Web en la página11-5.

Servicios de FileReputation

Para los clientes que utilicen smart scan, la ubicación del cliente deOfficeScan determina la fuente de Smart Protection a la cual losclientes envían consultas de exploración.

Los clientes externos envían consultas de exploración a la Red deProtección Inteligente mientras que los clientes internos envían lasconsultas a las fuentes que se hayan definido en la lista de fuentesde protección inteligente.

Para obtener información detallada acerca de las fuentes deprotección inteligente, consulte Fuentes de Protección Inteligenteen la página 4-6.

Prevención depérdida de datos

La ubicación del cliente de OfficeScan determina la política dePrevención de pérdida de datos que este vaya a aplicar. Losadministradores suelen aplicar una política más estricta para losclientes externos.

Para obtener información detallada acerca de las políticas dePrevención de pérdida de datos, consulte Políticas de prevenciónde pérdida de datos en la página 10-3.

Administrar el cliente de OfficeScan

14-3

FUNCIÓN/SERVICIO DESCRIPCIÓN


La ubicación del cliente de OfficeScan determina la política deControl de dispositivos que este vaya a aplicar. Losadministradores suelen aplicar una política más estricta para losclientes externos.

Para obtener información detallada acerca de las políticas deControl de dispositivos, consulte Control de dispositivos en lapágina 9-2.

Criterios de ubicación

Especifique si la ubicación se basa en la dirección IP del gateway del equipo cliente deOfficeScan, el estado de la conexión del cliente de OfficeScan con el servidor deOfficeScan o cualquier servidor de referencia.

• Direcciones IP y MAC del gateway: Si la dirección IP del gateway del equipocliente de OfficeScan coincide con las direcciones IP del gateway que hayaespecificado en la pantalla Ubicación del equipo, la ubicación del equipo seráinterna. De lo contrario, la ubicación del mismo será externa.

• Estado de la conexión de los clientes: Si el cliente de OfficeScan puedeconectarse al servidor de OfficeScan o a cualquiera de los servidores de referenciaasignados en la Intranet, la ubicación del equipo es interna. Asimismo, si un equipoubicado fuera de la red de la empresa puede establecer conexión con el servidor deOfficeScan o algún servidor de referencia, su ubicación también será interna. Sininguna de estas condiciones es aplicable, la ubicación del equipo es externa.

Definir la configuración de ubicación

Procedimiento

1. Desplácese a Equipos en red > Ubicación del equipo.

2. Elija si la ubicación está basada en el estado de la conexión del cliente o ladirección MAC e IP del gateway.


14-4

3. Si selecciona Estado de la conexión del cliente, decida si desea utilizar algúnservidor de referencia.

Consulte Servidores de referencia en la página 13-31 para obtener más información.

a. Si no especificó un servidor de referencia, el cliente de OfficeScan compruebael estado de la conexión con el servidor de OfficeScan cuando se producenlos sucesos siguientes:

• El cliente de OfficeScan cambia del modo de itinerancia al normal(conectado y desconectado).

• El cliente de OfficeScan cambia de un método de exploración a otro.Consulte Métodos de exploración en la página 7-7 para obtener másinformación.

• El cliente de OfficeScan detecta el cambio de dirección IP en el equipo.

• El cliente de OfficeScan se reinicia.

• El servidor inicia la comprobación de la conexión. Consulte Iconos delcliente de OfficeScan en la página 14-26 para obtener más información.

• El criterio de ubicación de la reputación Web cambia mientras se aplicala configuración global.

• La política de prevención de epidemias ya no se aplica y se restaura laconfiguración previa a la epidemia.

b. Si ha especificado un servidor de referencia, el cliente de OfficeScancomprueba el estado de su conexión con el servidor de OfficeScan primero y,a continuación, con el servidor de referencia si la conexión con el servidor deOfficeScan no ha resultado correcta. El cliente de OfficeScan comprueba elestado de la conexión cada hora y cuando se produce alguno de los sucesosmencionados anteriormente.

4. Si selecciona la dirección MAC y la dirección IP del gateway:

a. Escriba la dirección IPv4/IPv6 del gateway en el cuadro de texto.

b. Escriba la dirección MAC.

c. Haga clic en Agregar.


14-5

Si no escribe la dirección MAC, OfficeScan incluirá todas las direccionesMAC pertenecientes a la dirección IP especificada.

d. Repita los pasos A a C hasta agregar todas las direcciones IP del gateway quedesea.

e. Use la herramienta Gateway Settings Importer para importar una lista devalores de configuración del gateway.

Consulte Gateway Settings Importer en la página 14-5 para obtener másinformación.


Gateway Settings ImporterOfficeScan comprueba la ubicación de un equipo para determinar la política deReputación Web que haya que utilizar y el Smart Protection Server al que haya queconectarse. Una de las formas que tiene OfficeScan de identificar la ubicación escomprobar la dirección IP del gateway y la dirección MAC.

Configure los ajustes del gateway en la pantalla Ubicación del equipo o utilice laherramienta Gateway Settings Importer para importar una lista de los valores deconfiguración del gateway a la pantalla Ubicación del equipo.

Usar Gateway Settings Importer

Procedimiento

1. Prepare un archivo de texto (.txt) que contenga la lista de valores deconfiguración del gateway. En cada línea, escriba una dirección IPv4 o IPv6 y, deforma opcional, una dirección MAC.

Separe las direcciones IP y las direcciones MAC con una coma. El número máximode entradas es 4096.

Por ejemplo:

10.1.111.222,00:17:31:06:e6:e7


14-6

2001:0db7:85a3:0000:0000:8a2e:0370:7334

10.1.111.224,00:17:31:06:e6:e7

2. En el equipo servidor, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\GatewaySettingsImporter y haga doble clic enGSImporter.exe.

NotaNo puede ejecutar la herramienta Gateway Settings Importer desde TerminalServices.

3. En la pantalla Gateway Settings Importer, desplácese al archivo creado en el paso1 y haga clic en Importar.


Se mostrará la configuración del gateway en la pantalla Ubicación del equipo y elservidor de OfficeScan implementará la configuración en los clientes deOfficeScan.

5. Para eliminar todas las entradas, haga clic en Borrar todo.

Si sólo necesita eliminar una entrada determinada, elimínela de la pantallaUbicación del equipo.

6. Para exportar la configuración a un archivo, haga clic en Exportar todo y, acontinuación, especifique el tipo y el nombre del archivo.

Administración del programa del cliente deOfficeScan

En los temas siguientes se tratan formas de administración y protección del programadel cliente de OfficeScan:

• Servicios del cliente de OfficeScan en la página 14-7

• Reinicio del servicio del cliente de OfficeScan en la página 14-12


14-7

• Autoprotección del cliente en la página 14-13

• Seguridad del cliente de OfficeScan en la página 14-17

• Restricción de acceso a la consola del cliente de OfficeScan en la página 14-18

• Descarga del cliente de OfficeScan en la página 14-19

• Derecho de itinerancia del cliente de OfficeScan en la página 14-20

• Client Mover en la página 14-23

• Clientes de OfficeScan inactivos en la página 14-25

Servicios del cliente de OfficeScan

El cliente de OfficeScan ejecuta los servicios enumerados en la siguiente tabla. Puede verel estado de estos servicios en Microsoft Management Console.

TABLA 14-2. Servicios del cliente de OfficeScan

SERVICIO FUNCIONES CONTROLADAS

Servicio de prevención decambios no autorizados deTrend Micro (TMBMSRV.exe)



• Servicio de software seguro certificado

• Autoprotección del cliente de OfficeScan

NotaLa función Autoprotección del cliente de OfficeScanevita que se finalicen los servicios del cliente deOfficeScan cuando estén activados y ejecutándose.

Cortafuegos de OfficeScanNT (TmPfw.exe)

Cortafuegos de OfficeScan

Servicio de protección dedatos de OfficeScan(dsagent.exe)




14-8

SERVICIO FUNCIONES CONTROLADAS

Servicio de escucha deOfficeScan NT(tmlisten.exe)

Comunicación entre el cliente de OfficeScan y el servidorde OfficeScan

Servicio proxy deOfficeScan NT(TmProxy.exe)

• Reputación Web

• POP3 Mail Scan

Exploración en tiempo realde OfficeScan NT(ntrtscan.exe)

• Exploración en tiempo real

• Exploración programada

• Exploración manual/Explorar ahora

Los siguientes servicios proporcionan una sólida protección, pero sus mecanismos desupervisión pueden forzar los recursos del sistema, sobre todo, en servidores que esténejecutando aplicaciones de uso intensivo del sistema:


• Cortafuegos de OfficeScan NT (TmPfw.exe)

• Servicio de protección de datos de OfficeScan (dsagent.exe)

Por ello, estos servicios están desactivados de forma predeterminada en plataformas delservidor (Windows Server 2003, Windows Server 2008 y Windows Server 2012). Sidesea activar estos servicios:

• Supervise el rendimiento del sistema de forma constante y realice la acciónnecesaria cuando perciba una caída de dicho rendimiento.

• Para TMBMSRV.exe, puede activar el servicio si excluye las aplicaciones de usointensivo del sistema desde las políticas de supervisión del comportamiento. Puedeutilizar una herramienta de ajuste del rendimiento para identificar las aplicacionesde uso intensivo del sistema. Para conocer más detalles, consulte Usar la Herramientade ajuste del rendimiento de Trend Micro en la página 14-10.

Para plataformas de escritorio, desactive los servicios solo si percibe una caída delrendimiento.


14-9

Activar o desactivar los servicios del cliente desde laconsola Web

Procedimiento


2. Para clientes de OfficeScan que estén ejecutando Windows XP, Vista 7 u 8:

a. En el árbol de clientes, haga clic en el icono de dominio raíz ( ) para incluirtodos los clientes o seleccione dominios o clientes específicos.

NotaCuando seleccione el dominio raíz o dominios específicos, la configuración solose aplicará a clientes que estén ejecutando Windows XP, Vista 7 u 8. Laconfiguración no se aplicará a clientes que estén ejecutando plataformas deWindows Server aunque formen parte de los dominios.

b. Haga clic en Configuración > Configuración de servicios adicionales.

c. Active o desactive la casilla de verificación en las siguientes secciones:

• Servicio de prevención de cambios no autorizados

• Servicio de cortafuegos

• Servicio de protección de datos

d. Haga clic en Guardar para aplicar la configuración a los dominios. En caso deque haya seleccionado el icono del dominio raíz, elija alguna de las siguientesopciones:

• Aplicar a todos los clientes: esta opción aplica la configuración a todoslos clientes existentes de Windows XP/Vista/7/8 y a los nuevos clientesque se añadan a un dominio existente o futuro. Los futuros dominiosson dominios todavía no creados en el momento de realizar laconfiguración.

• Aplicar solo a futuros dominios: esta opción aplica la configuración alos clientes de Windows XP/Vista/7/8 que se añadan a futuros


14-10

dominios. Esta opción no aplica la configuración a los clientes que sehayan añadido a un dominio existente.

3. Para clientes de OfficeScan que ejecuten Windows Server 2003, Windows Server2008 o Windows Server 2012:

a. Seleccione un cliente en el árbol de clientes.

b. Haga clic en Configuración > Configuración de servicios adicionales.

c. Active o desactive la casilla de verificación en las siguientes secciones:

• Servicio de prevención de cambios no autorizados

• Servicio de cortafuegos

• Servicio de protección de datos

d. Haga clic en Guardar.

Usar la Herramienta de ajuste del rendimiento de TrendMicro

Procedimiento

1. Descargue la Herramienta de ajuste del rendimiento de Trend Micro desde:


2. Descomprima TMPerfTool.zip para extraer TMPerfTool.exe.

3. Coloque TMPerfTool.exe en la <Carpeta de instalación del cliente> o en la mismacarpeta como TMBMCLI.dll.

4. Haga clic con el botón derecho en TMPerfTool.exe y seleccione Ejecutarcomo administrador.

5. Lea y acepte el contrato de licencia de usuario final y, después, haga clic enAceptar.

6. Haga clic en Analizar.



14-11

FIGURA 14-1. Procesos de uso intensivo del sistema resaltados

La herramienta comenzará a supervisar el uso de la CPU y la carga de sucesos. Unproceso de uso intensivo del sistema se resalta en rojo.

7. Seleccione un proceso de uso intensivo del sistema y haga clic en el botón Añadira la lista de excepciones (permitir) ( ).

8. Compruebe que haya una mejora en el rendimiento del sistema o de la aplicación.

9. Si se produce dicha mejora, seleccione el proceso de nuevo y haga clic en el botónEliminar de la lista de excepciones ( ).

10. Si el rendimiento cae de nuevo, siga los pasos siguientes:

a. Apunte el nombre de la aplicación.

b. Haga clic en Detener.

c. Haga clic en el botón Generar informe ( ) y, a continuación, guarde elarchivo .xml.


14-12

d. Revise las aplicaciones que se hayan identificado como conflictivas y añádalasa la lista de excepciones de Supervisión del comportamiento.

Para conocer más detalles, consulte Lista de excepción de supervisión delcomportamiento en la página 8-6.

Reinicio del servicio del cliente de OfficeScanOfficeScan reinicia los servicios del cliente de OfficeScan que han dejado de responderde forma inesperada y que no se han detenido mediante un proceso normal del sistema.Para obtener información detallada acerca de los servicios del cliente, consulte Serviciosdel cliente de OfficeScan en la página 14-7.

Defina la configuración necesaria para activar el reinicio de los servicios del cliente deOfficeScan.

Definir la configuración de reinicio del sistema

Procedimiento


2. Vaya a la sección Reinicio de OfficeScan Service.

3. Seleccione Reinicio automático de un servicio del cliente de OfficeScan si elservicio termina de forma inesperada.

4. Configure la siguiente información:

• Reiniciar el servicio después de __ minutos: especifique el tiempo (enminutos) que deba transcurrir antes de que OfficeScan reinicie un servicio.

• Si da error el primer intento de reinicio del servicio, reintentar __ veces:Especifique el número máximo de reintentos para reiniciar un servicio.Reinicie el servicio manualmente en caso de que siga detenido después dehaber probado con el número máximo de intentos.

• Restablecer el recuento del error de reinicio después de __ horas: Si unservicio sigue detenido después de haber agotado el número máximo de


14-13

intentos, OfficeScan espera unas horas para restablecer el recuento del error.Si un servicio sigue detenido después de que hayan transcurrido las horasestablecidas, OfficeScan reinicia el servicio.

Autoprotección del clienteLa función Autoprotección del cliente de OfficeScan permite que el cliente deOfficeScan proteja los procesos y otros recursos necesarios para contar con unfuncionamiento adecuado. Esta función del cliente de OfficeScan ayuda a impedir quelos programas o los usuarios reales intenten desactivar la protección antimalware.

La función Autoprotección del cliente de OfficeScan proporciona las siguientesopciones:

• Proteger los servicios del cliente de OfficeScan en la página 14-14

• Proteger archivos de la carpeta de instalación del cliente de OfficeScan en la página 14-15

• Proteger las claves de registro del cliente de OfficeScan en la página 14-16

• Proteger los procesos del cliente de OfficeScan en la página 14-16

Definir la configuración de la autoprotección del cliente deOfficeScan

Procedimiento


2. En el árbol de clientes, haga clic en el icono de dominio raíz ( ),o seleccionedominios específicos o clientes.


4. Haga clic en la pestaña Otras configuraciones y vaya a la secciónAutoprotección del cliente.

5. Active las siguientes opciones:


14-14

• Proteger los servicios del cliente de OfficeScan en la página 14-14

• Proteger archivos de la carpeta de instalación del cliente de OfficeScan en la página 14-15

• Proteger las claves de registro del cliente de OfficeScan en la página 14-16

• Proteger los procesos del cliente de OfficeScan en la página 14-16

Nota

La protección de los procesos y claves de registro está desactivada de formapredeterminada en las plataformas del servidor de Windows.




Proteger los servicios del cliente de OfficeScan

OfficeScan bloquea todos los intentos destinados a finalizar los siguientes servicios delcliente de OfficeScan:

• Servicio de escucha de OfficeScan NT (TmListen.exe)

• Exploración en tiempo real de OfficeScan NT (NTRtScan.exe)

• Servicio proxy de OfficeScan NT (TmProxy.exe)

• Cortafuegos de OfficeScan NT (TmPfw.exe)

• Servicio de protección de datos de OfficeScan (dsagent.exe)


14-15


Nota

Si esta opción está activada, OfficeScan puede impedir que se instalen correctamenteproductos de terceros en puntos finales. Si se produce este problema, puededesactivar esta opción de forma temporal y volver a activarla después de haberinstalado el producto de terceros.

Proteger archivos de la carpeta de instalación del cliente deOfficeScan

Para impedir que otros programas e incluso los usuarios modifiquen o eliminen losarchivos del cliente de OfficeScan, OfficeScan bloquea los siguientes archivos en la<Carpeta de instalación del cliente> raíz:

• Todos los archivos firmados digitalmente con extensiones .exe, .dll y .sys

• Existen algunos archivos sin firmas digitales, entre los que se incluyen:

• bspatch.exe

• bzip2.exe

• INETWH32.dll

• libcurl.dll

• libeay32.dll

• libMsgUtilExt.mt.dll

• msvcm80.dll

• MSVCP60.DLL

• msvcp80.dll

• msvcr80.dll

• OfceSCV.dll


14-16

• OFCESCVPack.exe

• patchbld.dll

• patchw32.dll

• patchw64.dll

• PiReg.exe

• ssleay32.dll

• Tmeng.dll

• TMNotify.dll

• zlibwapi.dll

Proteger las claves de registro del cliente de OfficeScan

OfficeScan bloquea todos los intentos destinados a modificar, eliminar o añadir nuevasentradas en las siguientes claves y subclaves de registro:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\TMCSS

Proteger los procesos del cliente de OfficeScan

OfficeScan bloquea todos los intentos destinados a finalizar los siguientes procesos:

• TmListen.exe: Recibe comandos y notificaciones del servidor de OfficeScan yfacilita la comunicación entre el cliente de OfficeScan y el servidor.

• NTRtScan.exe: Ejecuta exploraciones en tiempo real, programadas y manualesen los clientes de OfficeScan.

• TmProxy.exe: Explora el tráfico de red antes de que llegue a la aplicación dedestino.


14-17

• TmPfw.exe: Ofrece un cortafuegos para paquetes, exploración de virus de red ydetección de intrusiones.

• TMBMSRV.exe: regula el acceso a dispositivos externos de almacenamiento eimpide los cambios no autorizados de los procesos y claves de registro

• DSAgent.exe: supervisa la transmisión de datos confidenciales y controla elacceso a los dispositivos

Seguridad del cliente de OfficeScanSeleccione de entre dos configuraciones de seguridad para controlar el acceso deusuarios al directorio de instalación del cliente de OfficeScan y a la configuración delregistro.

Controlar el acceso al directorio de instalación del clientede OfficeScan y a las claves del registro

Procedimiento




4. Haga clic en la pestaña Otras configuraciones y vaya a la sección Configuraciónde seguridad de los clientes.

5. Seleccione de entre los siguientes permisos de acceso:

• Alto: el directorio de instalación del cliente de OfficeScan hereda los derechosde la carpeta Archivos de programa y las entradas del registro del clientede OfficeScan heredan los permisos de la clave HKLM\Software. En lamayoría de las configuraciones de Active Directory, el acceso de los usuarios"normales" (los que no tienen privilegios de administrador) está restringido asolo lectura de forma automática.


14-18

• Normal: este permiso concede a todos los usuarios (el grupo de usuarios"Todos") derechos de control total en el directorio del programa cliente deOfficeScan y en las entradas de registro del cliente de OfficeScan.




Restricción de acceso a la consola del cliente deOfficeScan

Esta configuración desactiva el acceso a la consola del cliente de OfficeScan desde labandeja del sistema o el menú Inicio de Windows. La única forma en que los usuariospueden acceder a la consola del cliente de OfficeScan es haciendo clic en PccNT.exedesde la <Carpeta de instalación del cliente>. Después de haber definido este valor deconfiguración, vuelva a cargar el cliente de OfficeScan para que se aplique este ajuste.

Este valor de configuración no desactiva el cliente de OfficeScan. El cliente deOfficeScan se ejecuta en segundo plano y sigue ofreciendo protección frente a losriesgos de seguridad.

Restringir el acceso a la consola de cliente de OfficeScan

Procedimiento



14-19



4. Haga clic en la pestaña Otras configuraciones y vaya a la sección Restricción deacceso a la consola del cliente.

5. Seleccione Impedir el acceso de los usuarios a la consola del cliente desde labandeja del sistema o el menú Inicio de Windows.




Descarga del cliente de OfficeScanEl derecho de descarga del cliente de OfficeScan permite descargar temporalmente elcliente de OfficeScan con o sin contraseña.

Conceder el derecho de descarga del cliente

Procedimiento





14-20

4. En la pestaña Derechos, vaya a la sección Descarga.

5. Para permitir la descarga de clientes sin contraseña, seleccione Permitir al usuariodescargar el cliente de OfficeScan.

• Si se precisa una contraseña, seleccione Exigir una contraseña al usuariopara descargar el cliente de OfficeScan, escriba dicha contraseña y,después, confírmela.




Derecho de itinerancia del cliente de OfficeScanOtorgue a ciertos usuarios el derecho de itinerancia del cliente de OfficeScan si lossucesos cliente-servidor están interfiriendo en las tareas de los usuarios. Por ejemplo, unusuario que proporcione presentaciones con frecuencia puede activar el modo deitinerancia antes de comenzar una presentación para, de este modo, evitar que elservidor de OfficeScan implemente la configuración del cliente de OfficeScan e inicieexploraciones en el cliente de OfficeScan.

Cuando los clientes estén en el modo de itinerancia:

• Aunque exista una conexión entre el servidor y los clientes de OfficeScan, estos noenvían registros al servidor de OfficeScan.

• Aunque exista una conexión entre el servidor y los clientes de OfficeScan, elservidor de OfficeScan no inicia tareas para implementar la configuración delcliente en los clientes.


14-21

• Los clientes de OfficeScan actualizan los componentes si no pueden conectarse aninguna de sus fuentes de actualización. Las fuentes incluyen el servidor deOfficeScan, los agentes de actualización o una fuente de actualizaciónpersonalizada.

Los siguientes sucesos dan lugar a una actualización en los clientes en itinerancia:

• El usuario lleva a cabo una actualización manual.

• Se ejecuta una actualización manual del cliente. Puede desactivar laactualización automática del cliente para los clientes en itinerancia. Paraconocer más detalles, consulte Desactivar la actualización automática del cliente paralos clientes en itinerancia en la página 14-22.

• Se ejecuta la actualización programada. Solo los clientes con los derechosnecesarios pueden ejecutar actualizaciones programadas. Puede revocar estederecho en cualquier momento. Para conocer más detalles, consulte Revocar elderecho de actualización programada para los clientes de OfficeScan en itinerancia en lapágina 14-22.

Conceder el derecho de itinerancia del cliente

Procedimiento




4. En la pestaña Derechos, vaya a la sección Derecho de itinerancia.

5. Seleccione Activar modo de itinerancia.


• Aplicar a todos los clientes: Esta opción aplica la configuración a todos losclientes existentes y a los nuevos clientes que se añadan a un dominio


14-22

existente o futuro. Los futuros dominios son dominios todavía no creados enel momento en que haya realizado la configuración.


Desactivar la actualización automática del cliente para losclientes en itinerancia

Procedimiento

1. Vaya a Actualizaciones > Equipos en red > Actualización automática.

2. Vaya a la sección Actualización activada por suceso.

3. Desactive Incluir cliente(s) en modo de itinerancia y sin conexión.

NotaEsta opción se desactiva de forma automática si desactiva Iniciar la actualizaciónde los componentes en los clientes inmediatamente después de que el servidorde OfficeScan descargue un componente nuevo.


Revocar el derecho de actualización programada para losclientes de OfficeScan en itinerancia

Procedimiento





14-23

4. En la pestaña Derechos, vaya a la sección Derechos de actualización decomponentes.

5. Desactive la opción Activar la actualización programada.


Client MoverSi tiene más de un servidor de OfficeScan en la red, utilice la herramienta Client Moverpara transferir los clientes de OfficeScan de un servidor de OfficeScan a otro. Resultaespecialmente útil tras añadir un servidor de OfficeScan nuevo a la red y cuando sedesean transferir los clientes de OfficeScan existentes a un servidor nuevo.

Nota

Ambos servidores deben ser de la misma versión de idioma. Si utiliza Client Mover paratransferir un cliente de OfficeScan en el que se ejecute una versión anterior a un servidor dela versión actual, el cliente de OfficeScan se actualizará automáticamente.

Asegúrese de que la cuenta que utiliza dispone de derechos de administrador antes deutilizar esta herramienta.

Ejecutar Client Mover

Procedimiento

1. En el servidor de OfficeScan, vaya a la <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\IpXfer.

2. Copie IpXfer.exe en el equipo cliente de OfficeScan. En caso de que el equipocliente de OfficeScan ejecute una plataforma del tipo x64, copieIpXfer_x64.exe en su lugar.

3. En el equipo cliente de OfficeScan, abra el símbolo del sistema y vaya a la carpetaen la que ha copiado el archivo ejecutable.

4. Ejecute Client Mover con la siguiente sintaxis:


14-24

<nombre del archivo ejecutable> -s <nombre del servidor> -p<puerto de escucha del servidor> -c <puerto de escucha delcliente> -d <jerarquía de dominio o dominio>TABLA 14-3. Parámetros de Client Mover

PARÁMETRO EXPLICACIÓN

<nombre de archivoejecutable>

IpXfer.exe o IpXfer_x64.exe

<Nombre delservidor>

El nombre del servidor de OfficeScan de destino (elservidor al que el cliente de OfficeScan realizarátransferencias)

<puerto de escuchadel servidor>

El puerto de escucha (o puerto de confianza) del servidorde OfficeScan de destino. Para ver el puerto de escuchaen la consola OfficeScan Web, en el menú principal,haga clic en Administración > Configuración de laconexión.

<puerto de escuchadel cliente>

El número de puerto utilizado por el equipo cliente deOfficeScan para comunicarse con el servidor

<jerarquía dedominio o dominio>

El dominio o subdominio del árbol de clientes en el cualse agrupará el cliente. La jerarquía de dominio debeindicar el subdominio.

Ejemplos:

ipXfer.exe -s Server01 -p 8080 -c 21112 -d Workgroup

ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Workgroup\Group01

5. Para confirmar que el cliente de OfficeScan se comunica ahora con otro servidor,lleve a cabo las siguientes acciones:

a. En el equipo cliente de OfficeScan, haga clic con el botón derecho en el iconodel programa cliente de OfficeScan que aparece en la bandeja del sistema.

b. Seleccione Consola de OfficeScan.

c. Haga clic en la opción Ayuda del menú y seleccione Acerca de.


14-25

d. Compruebe el servidor de OfficeScan al que informa el cliente de OfficeScanen el campo Nombre del servidor/Puerto.

Nota

Si el cliente de OfficeScan no aparece en el árbol de clientes del nuevo servidorde OfficeScan que lo gestiona, reinicie el servicio maestro del nuevo servidor(ofservice.exe).

Clientes de OfficeScan inactivosCuando se utiliza el programa de desinstalación del cliente de OfficeScan para eliminarel programa cliente de OfficeScan de un equipo, el programa envía una notificaciónautomáticamente al servidor. Cuando el servidor recibe esta notificación, elimina elicono del cliente de OfficeScan del árbol de clientes para indicar que el cliente ya noexiste.

Sin embargo, si el cliente de OfficeScan se elimina mediante otros métodos, comoreformatear el disco duro del equipo o borrar los archivos del cliente de OfficeScanmanualmente, OfficeScan no se percata de la eliminación y muestra el cliente deOfficeScan como inactivo. Si un usuario descarga o desactiva el cliente de OfficeScandurante un periodo largo de tiempo, el servidor mostrará también el cliente deOfficeScan como inactivo.

Para asegurarse de que el árbol de clientes muestre solo los clientes activos, configureOfficeScan para que elimine automáticamente los clientes del árbol de clientes.

Eliminar automáticamente clientes inactivos

Procedimiento

1. Desplácese a Administración > Clientes inactivos.

2. Seleccione Activar eliminación automática de clientes inactivos.

3. Seleccione el número de días que deben transcurrir antes de que OfficeScanconsidere que un cliente de OfficeScan está inactivo.


14-26


Conexión cliente-servidorEl cliente de OfficeScan debe mantener una conexión continua con el servidor principalpara poder actualizar componentes, recibir notificaciones y aplicar cambios en laconfiguración en el momento apropiado. En los temas siguientes se trata el modo decomprobar el estado de la conexión del cliente de OfficeScan y resolver problemas conla misma:

• Direcciones IP del cliente en la página 5-10

• Iconos del cliente de OfficeScan en la página 14-26

• Comprobación de la conexión cliente-servidor en la página 14-45

• Registros de comprobación de la conexión en la página 14-46

• Clientes no accesibles en la página 14-47

Iconos del cliente de OfficeScanEl icono del cliente de OfficeScan ubicado en la bandeja del sistema ofrece señalesvisuales que indican el estado actual del cliente de OfficeScan y solicitan a los usuariosque lleven a cabo determinadas acciones. En todo momento, el icono mostrará unacombinación de las siguientes señales visuales.


14-27

TABLA 14-4. Estado del cliente de OfficeScan según se indica en el icono de clienteOfficeScan

ESTADO DELCLIENTE

DESCRIPCIÓN SEÑAL VISUAL

Conexióndel clientecon elservidor deOfficeScan

Los clientes en línea seencuentran conectados alservidor de OfficeScan. Elservidor puede iniciartareas e implementarconfiguraciones en esosclientes.

El icono contiene un símbolo que seasemeja a un corazón latiendo.

El color de fondo es de un tono azul o rojoen función del estado del servicio deexploración en tiempo real.

Los clientes desconectadosno están conectados alservidor de OfficeScan. Elservidor no puedeadministrar estos clientes.

El icono contiene un símbolo que seasemeja a un corazón que no late.


Un cliente puede desconectarse, aunque seencuentre conectado a la red. Para obtenerinformación detallada sobre este problema,consulte Un cliente de OfficeScan que estáconectado a la red aparece desconectadoen la página 14-42.

Los clientes en modo deitinerancia puedencomunicarse o no con elservidor de OfficeScan.

El icono contiene los símbolos del escritorioy la señal.


Para obtener información detallada sobrelos clientes en modo de itinerancia,consulte Derecho de itinerancia del clientede OfficeScan en la página 14-20.


14-28

ESTADO DELCLIENTE


Disponibilidad de lasfuentes deproteccióninteligente

Las fuentes de proteccióninteligente incluyen losServidores de ProtecciónInteligente y la Red deProtección Inteligente deTrend Micro.

Los clientes de exploraciónconvencional se conectana las fuentes de proteccióninteligente para realizarconsultas de ReputaciónWeb.

Los clientes smart scan seconectan a las fuentes deprotección inteligente pararealizar consultas deexploración y deReputación Web.

El icono incluye una marca de verificaciónsi hay alguna fuente de Smart Protectiondisponible.

El icono incluye una barra de progreso si nohay ninguna fuente de Smart Protectiondisponible y el cliente intenta establecerconexión con las fuentes.

Para obtener información detallada sobreeste problema, consulte Las fuentes deSmart Protection no están disponibles en lapágina 14-43.

Para los clientes de exploraciónconvencionales no aparece ninguna marcade verificación o barra de progreso si se hadesactivado la reputación Web en el cliente.


14-29

ESTADO DELCLIENTE


Estado delservicio deexploraciónen tiemporeal

OfficeScan utiliza elservicio de exploración entiempo real para llevar acabo tanto la exploraciónen tiempo real como laexploración manual yprogramada.

El servicio debe funcionar oel cliente quedarávulnerable a los riesgos deseguridad.

Todo el icono aparecerá en un tono azul siel servicio de exploración en tiempo real seencuentra operativo. Para indicar el métodode exploración del cliente se utilizan dostonos de azul.

• Para la exploración convencional:

• Para smart scan:

Todo el icono aparecerá en un tono rojo siel servicio de exploración en tiempo real seha desactivado o no se encuentraoperativo.

Para indicar el método de exploración delcliente se utilizan dos tonos de rojo.

• Para la exploración convencional:

• Para smart scan:

Para obtener información detallada sobreeste problema, consulte El servicio deexploración en tiempo real se hadesactivado o no se encuentra operativo enla página 14-42.


14-30

ESTADO DELCLIENTE


Estado delaexploraciónen tiemporeal

La exploración en tiemporeal proporciona protecciónproactiva mediante laexploración de archivos enbusca de riesgos deseguridad cuando secrean, modifican orecuperan.

No existen señales visuales que indiquen sila exploración en tiempo real se encuentraactivada.

Todo el icono se encuentra rodeado por uncírculo rojo y presenta una línea rojadiagonal si la exploración en tiempo real seencuentra desactivada.

Para obtener información detallada sobreeste problema, consulte:

• Se ha desactivado la exploración entiempo real en la página 14-42

• Se ha desactivado la exploración entiempo real y el cliente de OfficeScanse encuentra en modo de itinerancia enla página 14-42

Estado deactualización del patrón

Los clientes debenactualizar el patrón deforma regular para protegerel cliente de las amenazasmás recientes.

No existen señales visuales que indiquen siel patrón se encuentra actualizado oligeramente desactualizado.

El icono muestra un signo de exclamaciónsi el patrón se encuentra muydesactualizado. Esto quiere decir que elpatrón no se ha actualizado en muchotiempo.

Para obtener información sobre laactualización de los clientes, consulteActualizaciones del cliente de OfficeScanen la página 6-28.


14-31

Iconos de smart scan

Cuando los clientes de OfficeScan utilizan smart scan, aparece alguno de los siguientesiconos.

TABLA 14-5. Iconos de smart scan

ICONO

CONEXIÓNCON EL


DISPONIBILIDAD DE LASFUENTES DE PROTECCIÓN

INTELIGENTE

SERVICIO DEEXPLORACIÓN EN

TIEMPO REAL

EXPLORACIÓN ENTIEMPO REAL

Conectado Disponible Funcional Activada

Conectado Disponible Funcional Desactivada

Conectado Disponible Desactivado o noes funcional

Desactivado o noes funcional

Conectado No disponible,volviendo a conectar afuentes

Funcional Activada


Funcional Desactivada




Desconectado

Disponible Funcional Activada

Desconectado

Disponible Funcional Desactivada

Desconectado

Disponible Desactivado o noes funcional


Desconectado

No disponible,volviendo a conectar afuentes

Funcional Activada


14-32

ICONO

CONEXIÓNCON EL


DISPONIBILIDAD DE LASFUENTES DE PROTECCIÓN

INTELIGENTE

SERVICIO DEEXPLORACIÓN EN

TIEMPO REAL

EXPLORACIÓN ENTIEMPO REAL

Desconectado



Desconectado




enitinerancia

Disponible Funcional Activada

enitinerancia

Disponible Funcional Desactivada

enitinerancia

Disponible Desactivado o noes funcional


enitinerancia


Funcional Activada

enitinerancia



enitinerancia




Iconos de la exploración convencional

Cuando los clientes de OfficeScan utilizan la exploración convencional, aparece algunode los siguientes iconos.


14-33

TABLA 14-6. Iconos de la exploración convencional

ICONO

CONEXIÓNCON EL


SERVICIOS DEREPUTACIÓN WEB

QUEPROPORCIONAN LAS

FUENTES DEPROTECCIÓNINTELIGENTE

SERVICIO DEEXPLORACIÓN

EN TIEMPOREAL

EXPLORACIÓNEN TIEMPO

REAL

PATRÓN DEVIRUS

Conectado Disponible Funcional Activada Actualizadooligeramentedesactualizado

Conectado No disponible,volviendo aconectar afuentes

Funcional Activada Actualizadooligeramentedesactualizado

Conectado Disponible Funcional Activada Muydesactualizado


Funcional Activada Muydesactualizado

Conectado Disponible Funcional Desactivada Actualizadooligeramentedesactualizado


Funcional Desactivada Actualizadooligeramentedesactualizado


14-34

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

Conectado Disponible Funcional Desactivada Muydesactualizado


Funcional Desactivada Muydesactualizado

Conectado Disponible Desactivado ono esfuncional

Desactivado ono esfuncional

Actualizadooligeramentedesactualizado





Conectado Disponible Desactivado ono esfuncional


Muydesactualizado




Muydesactualizado

Desconectado

Disponible Funcional Activada Actualizadooligeramentedesactualizado


14-35

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

Desconectado

No disponible,volviendo aconectar afuentes


Desconectado

Disponible Funcional Activada Muydesactualizado

Desconectado



Desconectado

Disponible Funcional Desactivada Actualizadooligeramentedesactualizado

Desconectado



Desconectado

Disponible Funcional Desactivada Muydesactualizado

Desconectado




14-36

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

Desconectado

Disponible Desactivado ono esfuncional



Desconectado





Desconectado



Muydesactualizado

Desconectado




Muydesactualizado

enitinerancia

Disponible Funcional Activada Actualizadooligeramentedesactualizado

enitinerancia



enitinerancia

Disponible Funcional Activada Muydesactualizado


14-37

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

enitinerancia



enitinerancia

Disponible Funcional Desactivada Actualizadooligeramentedesactualizado

enitinerancia



enitinerancia

Disponible Funcional Desactivada Muydesactualizado

enitinerancia



enitinerancia





14-38

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

enitinerancia





enitinerancia



Muydesactualizado

enitinerancia




Muydesactualizado

Conectado No aplicable(función dereputación Webdesactivada en elcliente)







14-39

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS










Muydesactualizado

Desconectado

No aplicable(función dereputación Webdesactivada en elcliente)


Desconectado



Desconectado




14-40

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

Desconectado



Desconectado





Desconectado




Muydesactualizado

enitinerancia



enitinerancia



enitinerancia




14-41

ICONO

CONEXIÓNCON EL



QUEPROPORCIONAN LAS



EN TIEMPOREAL


REAL

PATRÓN DEVIRUS

enitinerancia



enitinerancia





enitinerancia




Muydesactualizado

Soluciones a los problemas que se indican en los iconosdel cliente de OfficeScan

Lleve a cabo las acciones necesarias si el icono del cliente de OfficeScan indicacualquiera de las condiciones siguientes:

El archivo de patrones no se ha actualizado durante un tiempo

Los usuarios del cliente de OfficeScan necesitan actualizar los componentes. Desde laconsola Web, configure la actualización de componentes en Actualizaciones >Equipos en red > Actualización automática o conceda a los usuarios el derecho deactualización en Equipos en red > Administración de clientes > Configuración >Derechos y otras configuraciones > Derechos > Derechos de actualización decomponentes.


14-42

El servicio de exploración en tiempo real se ha desactivado o nose encuentra operativo

Si el servicio de exploración en tiempo real (Exploración en tiempo real de OfficeScanNT) se ha desactivado o no se encuentra operativo, los usuarios deben iniciar el serviciomanualmente desde la consola de administración de Microsoft.

Se ha desactivado la exploración en tiempo real

Active la exploración en tiempo real desde la consola Web (Equipos en red >Administración de clientes > Configuración > Configuración de la exploración >Configuración de la exploración en tiempo real).

Se ha desactivado la exploración en tiempo real y el cliente deOfficeScan se encuentra en modo de itinerancia

Los usuarios deben desactivar el modo roaming en primer lugar. Tras desactivar elmodo de itinerancia, active la exploración en tiempo real desde la consola Web.

Un cliente de OfficeScan que está conectado a la red aparecedesconectado

Compruebe la conexión desde la consola Web (Equipos en red > Comprobación dela conexión) y, a continuación, compruebe los registros de comprobación de laconexión (Registros > Registros de equipos conectados en red > Comprobaciónde la conexión).

Si el cliente de OfficeScan continúa desconectado tras la comprobación:

1. Si tanto el servidor como el cliente de OfficeScan están desconectados, compruebela conexión de red.

2. Si el cliente de OfficeScan está desconectado, pero el servidor está conectado, esposible que el nombre de dominio del servidor haya cambiado y que el cliente deOfficeScan intente conectar con el servidor utilizando el nombre de dominio (siseleccionó el nombre de dominio durante la instalación del servidor). Registre elnombre de dominio del servidor de OfficeScan en el servidor DNS o WINS oañada el nombre de dominio y la información IP al archivo "hosts" en lacarpeta<carpeta de Windows>\system32\drivers\etc del equipo cliente.


14-43

3. Si el cliente de OfficeScan está conectado, pero el servidor está desconectado,compruebe la configuración de OfficeScan Firewall. El cortafuegos puede bloquearla comunicación de servidor a cliente pero permitir la comunicación de cliente aservidor.

4. Si el cliente de OfficeScan está conectado, pero el servidor está desconectado, esposible que haya cambiado la dirección IP del cliente de OfficeScan, pero que suestado no se refleje en el servidor (por ejemplo, cuando se vuelve a cargar elcliente). Pruebe a volver a implementar el cliente de OfficeScan.

Las fuentes de Smart Protection no están disponibles

Efectúe estas tareas si un cliente pierde la conexión con las fuentes de proteccióninteligentes:

1. En la consola Web, vaya a la pantalla Ubicación del equipo (Equipos en red >Ubicación del equipo) y compruebe que se haya definido correctamente lasiguiente configuración para la ubicación del equipo:

• Números de puerto y servidores de referencia

• Direcciones IP del gateway

2. En la consola Web, vaya a la pantalla Fuente de protección inteligente (Proteccióninteligente > Fuentes de protección inteligente) y, después, efectúe lassiguientes tareas:

a. Compruebe que la configuración del Smart Protection Server de la listaestándar o personalizada de fuentes sea correcta.

b. Pruebe que se pueda establecer conexión con los servidores.

c. Haga clic en Notificar a todos los clientes después de configurar la lista defuentes.

3. Compruebe si los siguientes archivos de configuración del Smart Protection Servery del Cliente de OfficeScan están sincronizados:

• sscfg.ini

• ssnotify.ini


14-44

4. Abra el Editor del Registro y compruebe que un cliente esté conectado a la red deempresa.

Clave:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\iCRC Scan\Scan Server

• Si aparece el valor LocationProfile=1, esto significa que el cliente deOfficeScan está conectado a la red y que debe poder conectarse al SmartProtection Server.

• Si aparece el valor LocationProfile=2, esto significa que el cliente deOfficeScan no está conectado a la red y que debe conectarse al SmartProtection Network. En Internet Explorer, compruebe que el equipo clientede OfficeScan pueda navegar por las páginas Web de Internet.

5. Compruebe la configuración del proxy interno y externo que se utiliza paraconectarse a la Red de Protección Inteligente y a los Servidores de ProtecciónInteligente. Para conocer más detalles, consulte Proxy interno para clientes de OfficeScanen la página 14-51 y Proxy externo para clientes de OfficeScan en la página 14-53.

6. Para clientes de exploración convencional, compruebe que se esté ejecutando elServicio proxy de OfficeScan NT (TmProxy.exe). Si este servicio se detiene, losclientes no se pueden conectar a las fuentes de Smart Protection para realizarconsultas de reputación Web.


14-45

Comprobación de la conexión cliente-servidor

El estado de la conexión del cliente con el servidor de OfficeScan aparece en el árbol declientes de la consola OfficeScan Web.

FIGURA 14-2. Árbol de clientes en que aparece el estado de conexión del cliente conel servidor de OfficeScan

Determinadas circunstancias pueden impedir que el árbol de clientes muestre el estadocorrecto de la conexión del cliente. Por ejemplo, si se desconecta por accidente el cablede red de un equipo cliente, el cliente no podrá notificar al servidor que estádesconectado. El cliente seguirá apareciendo como conectado en el árbol de clientes.

Compruebe la conexión cliente-servidor manualmente o deje que OfficeScan realice unacomprobación programada. no puede seleccionar dominios o clientes específicos ycomprobar a continuación su estado de conexión. OfficeScan comprueba el estado deconexión de todos sus clientes registrados.

Comprobar las conexiones cliente-servidor

Procedimiento

1. Desplácese a Equipos en red > Comprobación de la conexión.

2. Para comprobar la conexión cliente-servidor manualmente, vaya a la pestañaComprobación manual y haga clic en Comprobar ahora.


14-46

3. Para comprobar la conexión cliente-servidor automáticamente, vaya a la pestañaComprobación programada.

a. Seleccione Activar la comprobación programada.

b. Seleccione la frecuencia y hora de inicio de la comprobación.

c. Haga clic en Guardar para guardar el programa de comprobación.

4. Compruebe el árbol de clientes para verificar el estado o visualizar los registros decomprobación de la conexión.

Registros de comprobación de la conexión

OfficeScan conserva registros de comprobación de la conexión que permiten determinarsi el servidor de OfficeScan puede comunicarse o no con todos sus clientes registrados.OfficeScan crea una entrada del registro cada vez que se comprueba la conexión cliente-servidor desde la consola Web.


Ver los registros de comprobación de la conexión

Procedimiento

1. Desplácese a Equipos en red > Comprobación de la conexión.

2. Consulte la columna Estado para ver los resultados de comprobación de laconexión.



14-47

Clientes no accesiblesLos clientes de OfficeScan en redes no accesibles, como los de segmentos de redsituados detrás de un gateway de NAT, casi siempre están desconectados porque elservidor no puede establecer conexión directa con ellos. Como resultado, el servidor nopuede notificarles que:

• Descarguen los componentes más recientes.

• Aplique la configuración del cliente establecida en la consola Web. Por ejemplo, sicambia la frecuencia de la Exploración programada en la consola Web, el servidornotificará automáticamente a los clientes que apliquen la nueva configuración.

Por ello, los clientes no accesibles no pueden llevar a cabo estas tareas en el momentoapropiado. Sólo las realizan cuando inician la conexión con el servidor, cosa que ocurrecuando:

• Se registran en el servidor tras la instalación.

• Reinician o recargan. Esto no es frecuente, por lo que suele ser necesaria laintervención del usuario.

• La actualización manual o programada se implementa en el cliente. Este sucesotampoco es frecuente.

El servidor sólo "se percata" de la conectividad de los clientes y los trata como siestuvieran en línea durante el registro, el reinicio o la recarga. Sin embargo, dado que elservidor todavía no es capaz de establecer conexión con ellos, inmediatamente cambia elestado a desconectado.

OfficeScan ofrece a la "transición" y al servidor funciones de sondeo para resolverproblemas relacionados con los clientes no accesibles. Con estas funciones, el servidordeja de notificar a los clientes sobre actualizaciones de los componentes y cambios en laconfiguración. En lugar de ello, el servidor adopta un papel pasivo, a la espera siemprede que los clientes le envíen transiciones o inicien sondeos. Si el servidor detecta algunode estos sucesos, empieza a tratar a los clientes como conectados.


14-48

NotaLos sucesos iniciados en el cliente que no están relacionados con transiciones y sondeos delservidor, como actualizaciones manuales del cliente y envíos de registros, no hacen que elservidor actualice el estado de los clientes no accesibles.

Transición

Los clientes de OfficeScan envían mensajes de transición para notificar al servidor que laconexión desde el cliente sigue en funcionamiento. Tras recibir el mensaje de transición,el servidor trata al cliente como conectado. En el árbol de clientes, el estado del clientepuede ser:

• Conectado: para clientes normales conectados

• No accesible/conectado: para clientes conectados en la red no accesible

NotaLos clientes de OfficeScan no actualizan componentes ni aplican nuevos ajustes deconfiguración cuando envían mensajes de transición. Los clientes normales efectúan estastareas durante las rutinas de actualización (consulte Actualizaciones del cliente de OfficeScan en lapágina 6-28). Los clientes de la red no accesible las efectúan durante el sondeo del servidor.

La función de transición se ocupa del problema de los clientes de OfficeScan en redesno accesibles que aparecen siempre como desconectados, aunque sean capaces deconectarse con el servidor.

Un parámetro de la consola Web controla la frecuencia con la que los clientes envían losmensajes de transición. Si el servidor no recibe una transición, empieza inmediatamentea tratar al cliente como desconectado. Otro parámetro controla cuánto tiempo debetranscurrir sin recibir transiciones para que el estado del cliente cambie a:

• Desconectado: para clientes de OfficeScan normales desconectados

• No accesible/desconectado: para clientes de OfficeScan desconectados en la redno accesible

Para elegir una configuración de transición de control, hay que buscar un punto deequilibrio entre la necesidad de mostrar la información más reciente sobre el estado del


14-49

cliente y la necesidad de administrar los recursos del sistema. La configuraciónpredeterminada es válida en la mayoría de las situaciones. Sin embargo, hay que tener encuenta lo siguiente al personalizar la configuración la transición de control:

TABLA 14-7. Recomendaciones sobre la transición

FRECUENCIA DE LATRANSICIÓN DE CONTROL

RECOMENDACIÓN

Transiciones de controlen intervalos largos(más de 60 minutos)

Cuanto mayor sea el intervalo entre transiciones de control,mayor será el número de sucesos que pueden ocurrir antesde que el servidor refleje el estado del cliente en la consolaWeb.

Transiciones de controlen intervalos cortos(menos de 60 minutos)

Los intervalos cortos presentan un estado de los clientesmás actualizado pero es posible que consuman muchoancho de banda.

Sondeo del servidor

La función de sondeo del servidor resuelve el problema que les ocurre a los clientes deOfficeScan no accesibles cuando no reciben notificaciones puntuales sobreactualizaciones de componentes y cambios de configuración. Esta función esindependiente de la de transición.

Con la función de sondeo del servidor:

• Los clientes de OfficeScan inician automáticamente la conexión con el servidor deOfficeScan a intervalos regulares. Cuando el servidor detecta que se ha producidoun sondeo, trata al cliente como "No accesible/Conectado".

• Los clientes de OfficeScan se conectan a una o varias fuentes de actualización paradescargar cualquier componente actualizado y aplicar la nueva configuración delcliente. Si la fuente de actualización principal es el servidor de OfficeScan o unagente de actualización, los clientes obtienen tanto los componentes como la nuevaconfiguración. Si la fuente no es ninguna de estas dos, los clientes obtienen sólo loscomponentes actualizados y, a continuación, se conectan al servidor de OfficeScano al agente de actualización para obtener la nueva configuración.


14-50

Configurar las funciones de transición y de sondeo delservidor

Procedimiento

1. Desplácese a Equipos en red > Configuración general del cliente.

2. Vaya a la sección Red no accesible.

3. Defina la configuración del sondeo del servidor.

Para obtener información detallada acerca del sondeo del servidor, consulte Sondeodel servidor en la página 14-49.

a. Si el servidor de OfficeScan cuenta tanto con dirección IPv4 como IPv6,puede escribir un intervalo de direcciones IPv4 y un prefijo y longitud deIPv6.

Escriba un intervalo de direcciones IPv4 si el servidor solo utiliza IPv4, o unprefijo y longitud de IPv6 si el servidor solo utiliza IPv6.

Cuando la dirección IP de un cliente coincide con una dirección IP delintervalo, el cliente aplica la configuración de transición y de sondeo delservidor y éste empieza a tratar al cliente como parte de la red no accesible.

Nota

Los clientes con una dirección IPv4 pueden conectarse a un servidor deOfficeScan de doble pila o que solo utilice IPv4.

Los clientes con una dirección IPv6 pueden conectarse a un servidor deOfficeScan de doble pila o que solo utilice IPv6.

Los clientes de doble pila pueden conectarse a un servidor de OfficeScan dedoble pila, o que solo utilice IPv4 o IPv6.

b. Especifique la frecuencia de sondeo del servidor en Los clientes sondean elservidor para los componentes y configuración actualizada cada __minuto(s). Introduzca un valor comprendido entre 1 y 129.600 minutos


14-51

Consejo

Trend Micro recomienda que la frecuencia de sondeo del servidor sea de almenos tres veces la de envío de transición.

4. Defina la configuración de transición.

Para obtener información detallada acerca de la función de transición, consulteTransición en la página 14-48.

a. Seleccione Permitir que los clientes envíen transiciones al servidor.

b. Seleccione Todos los clientes o Solo los clientes de la red no accesible.

c. Especifique la frecuencia con la que los clientes envían los mensajes detransición en Los clientes envían transiciones cada __ minutos.Introduzca un valor comprendido entre 1 y 129.600 minutos

d. Especifique en Un cliente está desconectado si no hay transicionespasados __ minutos cuánto tiempo debe transcurrir sin recibir transicionespara que el servidor de OfficeScan considere el estado del cliente comodesconectado. Introduzca un valor comprendido entre 1 y 129.600 minutos


Configuración del proxy del cliente deOfficeScan

Configure los clientes de OfficeScan para utilizar la configuración del proxy cuando seconecte a servidores internos y externos.

Proxy interno para clientes de OfficeScanLos clientes de OfficeScan pueden utilizar la configuración del proxy interno paraconectarse a los siguientes servidores en la red:

• Equipo del servidor de OfficeScan


14-52

El equipo del servidor aloja el servidor de OfficeScan y el Smart Protection ServerIntegrado. Los clientes de OfficeScan se conectar al servidor de OfficeScan paraactualizar componentes, obtener la configuración y enviar registros. Los clientes deOfficeScan se conectan al Smart Protection Server integrado para enviar consultasde exploración.

• Smart Protection Servers

Los Servidores de Protección Inteligente engloban a todos los Servidores deProtección Inteligente Independientes y al Smart Protection Server Integrado deotros servidores de OfficeScan. Los clientes de OfficeScan se conectan a losservidores para enviar consultas de exploración y de reputación Web.

Definir la configuración del proxy

Procedimiento


2. Haga clic en la pestaña Proxy interno.

3. Vaya a la sección Conexión del cliente con el equipo del servidor deOfficeScan.

a. Seleccione Utilizar la siguiente configuración del proxy si los clientes seconectan al servidor de OfficeScan y al Smart Protection Serverintegrado.


Nota

Si cuenta con clientes IPv4 e IPv6, especifique un servidor proxy de doble pilaidentificado mediante el nombre del host. Esto se debe a que la configuracióndel proxy interno es la configuración general. Si especifica una dirección IPv4,los clientes IPv6 no se podrán conectar al servidor proxy. Lo mismo sucedepara los clientes IPv4.


14-53

c. Si el servidor proxy requiere autenticación, escriba el nombre de usuario y lacontraseña y, después, confirme la contraseña.

4. Vaya a la sección Conexión del cliente con los Servidores de ProtecciónInteligente independientes..

a. Seleccione Utilizar la siguiente configuración del proxy si los clientes seconectan a los Servidores de Protección Inteligente independientes.


c. Si el servidor proxy requiere autenticación, escriba el nombre de usuario y lacontraseña y, después, confirme la contraseña.


Proxy externo para clientes de OfficeScanEl servidor de OfficeScan y el cliente de OfficeScan pueden utilizar la configuración delproxy externo cuando se conecten a servidores alojados por Trend Micro. En este temase trata la configuración del proxy externo para clientes. Para obtener información de laconfiguración del proxy externo para el servidor, consulte Proxy para las actualizaciones delservidor de OfficeScan en la página 6-19.

Los clientes de OfficeScan pueden usar los ajustes del servidor proxy configurados enInternet Explorer para conectarse a Trend Micro Smart Protection Network. En caso deque sea necesaria la autenticación del servidor proxy, los clientes utilizarán lascredenciales de autenticación del servidor proxy (contraseña e ID de usuario).

Configurar las credenciales de autenticación del servidorproxy

Procedimiento


2. Haga clic en la pestaña Proxy externo.


14-54

3. Vaya a la sección Conexión del cliente con servidores de Trend Micro.

4. Escriba el Id de usuario y la contraseña necesarios para la autenticación del servidorproxy. Se admiten los siguientes protocolos de autenticación del servidor proxy:

• Autenticación de acceso básico

• Autenticación de acceso de resumen

• Autenticación de Windows integrada


Derechos de configuración del proxy para clientesPuede conceder a los usuarios de clientes el derecho para establecer la configuración delproxy. Los clientes de OfficeScan utilizan la configuración del proxy definida por elusuario solo en las situaciones siguientes:

• Cuando los clientes de OfficeScan ejecutan la función "Actualizar ahora".

• Cuando los usuarios desactivan la configuración automática del proxy o el clientede OfficeScan no la detecta. Consulte Configuración automática del proxy para el cliente deOfficeScan en la página 14-55 para obtener más información.

¡ADVERTENCIA!Una configuración del proxy definida por el usuario de forma incorrecta puede acarrearproblemas de actualización. Proceda con cautela cuando permita que los usuarios definansu propia configuración del proxy.

Conceder derechos de configuración del proxy

Procedimiento




14-55


4. En la pestaña Derechos, vaya a la sección Derechos de configuración del proxy.

5. Seleccione Permitir que el usuario cliente configure el proxy.




Configuración automática del proxy para el cliente deOfficeScan

La configuración manual del proxy puede ser una tarea complicada para muchosusuarios finales. Utilice la configuración automática del proxy para garantizar laaplicación de la configuración del proxy correcta sin necesidad de que intervenga elusuario.

Cuando se activa, la configuración automática del proxy será la configuración principaldel proxy cuando los clientes de OfficeScan actualicen los componentes de formaautomática o mediante la función Actualizar ahora. Para obtener información sobre laactualización automática o la función Actualizar ahora, consulte Métodos de actualización delcliente de OfficeScan en la página 6-38.

Si los clientes de OfficeScan no pueden conectarse con la configuración automática delproxy, los usuarios de clientes con derechos para definir la configuración del proxypueden utilizar la configuración del proxy definida por el usuario. De lo contrario, noserá posible establecer la conexión con la configuración automática del proxy.


14-56

NotaNo se admite la autenticación del proxy.

Definir la configuración automática del proxy

Procedimiento

1. Desplácese a Equipos en red > Configuración general del cliente.

2. Vaya a la sección Configuración del proxy.

3. Seleccione Detectar la configuración automáticamente si desea que OfficeScandetecte de forma automática, y mediante DHCP o DNS, la configuración del proxydefinida por el administrador.

4. Si desea que OfficeScan utilice la secuencia de comandos de configuraciónautomática del proxy (PAC, por sus siglas en inglés) definida por el administradorde la red para detectar el servidor proxy apropiado:

a. Seleccione Utilizar una secuencia de comandos de configuraciónautomática.

b. Escriba la dirección para la secuencia de comandos de la PAC.


Ver información sobre los clientes deOfficeScan

La pantalla Ver estado muestra información importante acerca de los clientes deOfficeScan, incluidos los derechos, información detallada sobre el software del cliente ysucesos del sistema.

Procedimiento



14-57


3. Haga clic en Estado.

4. Puede ampliar el nombre de un equipo cliente para ver información de su estado.Si selecciona varios clientes, haga clic en Expandir todo para ver la informacióndel estado de los clientes seleccionados.

5. (Opcional) Utilice el botón Restablecer para volver a fijar en cero el recuento deriesgos de seguridad.

Importar y exportar la configuración del clienteOfficeScan le permite exportar configuraciones del árbol de clientes que haya aplicadoun cliente de OfficeScan o un dominio concretos a un archivo. Después, puede importarel archivo para aplicar la configuración a otros clientes o dominios o a otro servidor deOfficeScan de la misma versión.

Se exportarán todas las configuraciones del árbol de clientes, excepto la del agente deactualización.

Exportar la configuración del cliente

Procedimiento



3. Haga clic en Configuración > Exportar configuración.

4. Haga clic en uno de los enlaces para ver la configuración del cliente de OfficeScano el dominio que haya seleccionado.

5. Haga clic en Exportar para guardar la configuración.


14-58

La configuración se guarda en un archivo .dat.

6. Haga clic en Guardar y, a continuación, especifique la ubicación en la que deseeguardar el archivo .dat.


Importar la configuración del cliente

Procedimiento



3. Haga clic en Configuración > Importar configuración.

4. Haga clic en Examinar para localizar el archivo .dat en el equipo y haga clic enImportar.

Aparecerá la pantalla Importar configuración, que muestra un resumen de laconfiguración.

5. Haga clic en uno de los enlaces para ver los detalles relacionados con laconfiguración de exploración o con los derechos que se vayan a importar.

6. Importe la configuración.

• En caso de que haya hecho clic en el icono del dominio raíz, seleccioneAplicar a todos dominios y, después, haga clic en Aplicar al destino.

• Si ha seleccionado los dominios, seleccione Aplicar a todos los equipos delos dominios seleccionados y, después, haga clic en Aplicar al destino.

• Si ha seleccionado varios clientes, haga clic en Aplicar al destino.


14-59

Conformidad con las normas de seguridadUtilice Conformidad con las normas de seguridad para determinar errores, implementarsoluciones y mantener la infraestructura de seguridad. Esta función ayuda a reducir eltiempo necesario para garantizar la seguridad del entorno de la red y equilibrar lasnecesidades de la organización para garantizar la seguridad y la funcionalidad.

Gestione las normas de seguridad de dos tipos de equipos:

• Gestionados: equipos con clientes de OfficeScan administrados por el servidor deOfficeScan. Para conocer más detalles, consulte Conformidad con las normas deseguridad para clientes administrados en la página 14-59.

• Sin gestionar: incluye los elementos siguientes:

• Clientes de OfficeScan no administrados por el servidor de OfficeScan

• Equipos sin clientes de OfficeScan instalados.

• Equipos a los que no puede acceder el servidor de OfficeScan

• Equipos cuyo estado de seguridad no se puede comprobar

Para conocer más detalles, consulte Conformidad con las normas de seguridad parapuntos finales no administrados en la página 14-73.

Conformidad con las normas de seguridad para clientesadministrados

La función Conformidad con las normas de seguridad genera un informe deConformidad para ayudarle a valorar el estado de seguridad de los clientes de OfficeScanadministrados por el servidor de OfficeScan. Esta función genera el informe bajopetición o según un programa.

Los informes bajo petición o según un programa están disponibles en la pantallaInforme de conformidad. Dicha pantalla contiene las siguientes pestañas:

• Servicios: utilice esta pestaña para comprobar que los servicios del clientefuncionan. Para conocer más detalles, consulte Servicios en la página 14-61.


14-60

• Componentes: utilice esta pestaña para comprobar que los componentes delcliente de OfficeScan están actualizados. Para conocer más detalles, consulteComponentes en la página 14-63.

• Conformidad con la exploración: utilice esta pestaña para comprobar que losclientes de OfficeScan ejecutan exploraciones de forma regular. Para conocer másdetalles, consulte Conformidad con la exploración en la página 14-65.

• Configuración: utilice esta pestaña para comprobar que la configuración delcliente coincide con la del servidor. Para conocer más detalles, consulte Configuraciónen la página 14-67.

Nota

La pestaña Componentes puede mostrar los clientes de OfficeScan que estén ejecutandolas versiones actual y anteriores del producto. En las demás pestañas, solo se muestran losclientes de OfficeScan que estén ejecutando la versión 10.6 o superior.

Notas sobre el informe de conformidad

• La función Conformidad con las normas de seguridad consulta el estado de laconexión de los clientes de OfficeScan antes de generar un informe deConformidad. En este informe se incluyen los clientes conectados y losdesconectados, pero no los que estén en modo de itinerancia.

• Para cuentas de usuario basadas en funciones:

• Cada cuenta de usuario de la consola Web tiene una configuración delinforme de conformidad completamente independiente. Los cambios que seefectúen en la configuración del informe de conformidad no afectarán a laconfiguración de las demás cuentas de usuario.

• El alcance del informe depende de los permisos del dominio del cliente para lacuenta de usuario. Si, por ejemplo, concede permisos a una cuenta de usuariopara que administre los dominios A y B, los informes de la cuenta de usuariosolo mostrarán datos de aquellos clientes que pertenezcan a los dominios A yB.

Para obtener información detallada acerca de las cuentas de usuario, consulteRole-based Administration en la página 13-2.


14-61

Servicios

La característica Conformidad con las normas de seguridad comprueba que funcionenlos siguientes servicios del cliente de OfficeScan:

• Antivirus

• Antispyware

• Cortafuegos

• Reputación Web

• Supervisión del comportamiento/Control de dispositivos (también conocido comoServicio de prevención de cambios no autorizados de Trend Micro)

• Protección de datos


14-62

Un cliente no compatible se cuenta dos veces como mínimo en el informe deconformidad.

FIGURA 14-3. Informe de conformidad: pestaña Servicios

• En la categoría Equipos con servicios no compatibles

• En la categoría para la cual el cliente de OfficeScan no sea compatible. Si, porejemplo, no funciona el servicio antivirus del cliente de OfficeScan, este se cuentaen la categoría Antivirus. Si hay más de un servicio que no funcione, el cliente secuenta en cada categoría para la que no sea compatible.

Desde la consola Web o el equipo cliente de OfficeScan, reinicie los servicios que nofuncionen. Si los servicios funcionan tras el reinicio, el cliente dejará de aparecer comono compatible durante la siguiente valoración.


14-63

Componentes

La función Conformidad con las normas de seguridad determina las incoherencias de lasversiones de los componentes entre el servidor de OfficeScan y los clientes deOfficeScan. Las incoherencias ocurren por lo general cuando los clientes no se puedenconectar al servidor para actualizar componentes. Si el cliente obtiene actualizacionesprocedentes de otra fuente (como Trend Micro ActiveUpdate Server), es posible queuna versión del componente del cliente sea más reciente que la del servidor.

La función Conformidad con las normas de seguridad comprueba los siguientescomponentes:

• Smart Scan Agent Pattern

• Patrón de virus

• Patrón de IntelliTrap

• Patrón de excepciones de IntelliTrap

• Motor de exploración antivirus

• Patrón de spyware

• Patrón de supervisión antispywareactiva

• Motor de exploración antispyware

• Plantilla de limpieza de virus

• Motor de limpieza de virus

• Patrón del cortafuegos habitual

• Controlador del cortafuegos habitual

• Controlador de la supervisión decomportamiento

• Servicio básico de la supervisión decomportamiento

• Patrón de configuración de lasupervisión de comportamiento

• Patrón de firmas digitales

• Patrón de aplicación de políticas

• Patrón de detección de Monitorizacióndel Comportamiento

• Versión del programa

• Lista IP de C&C


14-64


FIGURA 14-4. Informe de conformidad: pestaña Componentes

• En la categoría Equipos con versiones de componentes incoherentes

• En la categoría para la cual el cliente no sea compatible. Si, por ejemplo, la versiónde Smart Scan Agent Pattern del cliente no coincide con la del servidor, el clientese contará en la categoría Smart Scan Agent Pattern. Si hay más de una versiónde componente que no coincida, el cliente se cuenta en cada categoría para la queno sea compatible.

Para resolver incoherencias de las versiones de los componentes, actualice loscomponentes obsoletos en los clientes o en el servidor.


14-65

Conformidad con la exploración

La función Conformidad con las normas de seguridad comprueba que las opcionesExplorar ahora o Exploración programada se ejecuten de manera regular y que secompleten en un periodo de tiempo razonable.

NotaLa función Conformidad con las normas de seguridad solo puede emitir informes sobre elestado de Exploración programada si esta función esta activada para los clientes.

La función Conformidad con las normas de seguridad utiliza los siguientes criterios deconformidad con la exploración:

• No se han ejecutado Explorar ahora ni Exploración programada en losúltimos (x) días: un cliente de OfficeScan no es compatible si no ejecuta Explorarahora ni Exploración programada en el número de días que se haya especificado.

• La opción Explorar ahora o Exploración programada ha superado la(s) (x)hora(s): un cliente de OfficeScan no es compatible si la última ejecución deExplorar ahora o Exploración programada dura un número de horas superior alque se haya especificado.


14-66


FIGURA 14-5. Informe de conformidad: pestaña Conformidad con la exploración

• En la categoría Equipos con exploración obsoleta

• En la categoría para la cual el cliente no sea compatible. Si, por ejemplo, la últimaejecución de Exploración programada ha durado un número de horas superior alque se haya especificado, el cliente se cuenta en la categoría Explorar ahora oExploración programada ha superado la(s) <x> horas. Si el cliente cumplecon más de un criterio de conformidad con la exploración, se le cuenta en cadacategoría para la que no sea compatible.

Ejecute Explorar ahora o Exploración programada en clientes que no han realizadotareas de exporación que que no fueron capaces de completar la exploración.


14-67

Configuración

La función Conformidad con la configuración comprueba que los clientes tengan lamisma configuración que sus dominios primarios en el árbol de clientes. Laconfiguración puede no coincidir si se mueve un cliente a otro dominio que tenga unaconfiguración distinta o si un cliente con ciertos derechos ha configurado parámetros deforma manual en la consola del cliente de OfficeScan.

OfficeScan comprueba los siguientes valores de configuración:




• Configuración de la exploraciónprogramada




• Reputación Web




• Configuración de la prevención depérdida de datos


14-68


FIGURA 14-6. Informe de conformidad: pestaña Configuración

• En la categoría Equipos con parámetros de configuración incoherentes

• En la categoría para la cual el cliente no sea compatible. Si, por ejemplo, laconfiguración del método de exploración del cliente no coincide con la de sudominio primario, el cliente se cuenta en la categoría Método de exploración. Sihay más de un conjunto de parámetros de configuración que no coincida, el clientese cuenta en cada categoría para la que no sea compatible.

Para resolver las incoherencias de configuración, aplique al cliente la configuración deldominio.


14-69

Informes de conformidad bajo peticiónLa función Conformidad con las normas de seguridad puede generar informes deconformidad bajo petición. Los informes le ayudan a valorar el estado de seguridad delos clientes de OfficeScan administrados por el servidor de OfficeScan.

Para obtener más información acerca de los informes de conformidad, consulteConformidad con las normas de seguridad para clientes administrados en la página 14-59.

Generar un informe de conformidad a petición

Procedimiento

1. Desplácese a Conformidad con las normas de seguridad > Valoración de laconformidad > Informe de conformidad.

2. Vaya a la sección Alcance del árbol de clientes.

3. Seleccione el dominio raíz o un dominio y haga clic en Valorar.

4. Visualice el informe de conformidad para los servicios del cliente.

Para obtener información detallada acerca de los servicios del cliente, consulteServicios en la página 14-61.

a. Haga clic en la pestaña Servicios.

b. En Equipos con servicios no compatibles, compruebe el número declientes con servicios que no sean compatibles.

c. Haga clic en el enlace de número para que se muestren en el árbol de clientestodos los clientes afectados.

d. Seleccione clientes desde el resultado de la consulta.

e. Haga clic en Reiniciar cliente de OfficeScan para reiniciar el servicio.

NotaReinicie el servicio en el equipo del cliente en caso de que este aún aparezcacomo no compatible después de realizar otra evaluación.


14-70

f. Para guardar la lista de los clientes en un archivo, haga clic en Exportar.

5. Visualice el informe de conformidad para los componentes del cliente.

Para obtener más información acerca de los componentes del cliente, consulteComponentes en la página 14-63.

a. Haga clic en la pestaña Components tab.

b. En Equipos con versiones de componentes incoherentes, compruebe elnúmero de clientes con versiones de los componentes que no coincidan conlas versiones del servidor.


NotaSi hay al menos un cliente que tenga un componente más actualizado que elservidor de OfficeScan, actualice el servidor de OfficeScan manualmente.


e. Haga clic en Actualizar ahora para aplicar clientes a los componentes dedescarga.

Nota

• Para garantizar que los clientes puedan actualizar el programa cliente,desactive la opción Los clientes pueden actualizar componentes perono pueden actualizar el programa del cliente o implementar archivoshotfix. en Equipos en red > Administración de clientes >Configuración > Derechos y otras configuraciones.

• Reinicie el equipo en lugar de hacer clic en Actualizar ahora paraactualizar el driver del cortafuegos común.


6. Visualice el informe de conformidad para las exploraciones.

Para obtener información detallada acerca de las exploraciones, consulteConformidad con la exploración en la página 14-65.


14-71

a. Haga clic en la pestaña Conformidad con la exploración.

b. En Equipos con exploración obsoleta, configure lo siguiente:

• Número de días en los que el cliente no ha ejecutado Explorar ahora oExploración programada

• Número de horas que Explorar ahora o Exploración programada seestán ejecutando

Nota

Si se excede el número de días u horas, se tratará al cliente como nocompatible.

c. Haga clic en Valorar, junto a la sección Alcance del árbol de clientes.

d. En Equipos con exploración obsoleta, compruebe el número de clientesque se ajuste a los criterios de exploración.

e. Haga clic en el enlace de número para que se muestren en el árbol de clientestodos los clientes afectados.

f. Seleccione clientes desde el resultado de la consulta.

g. Haga clic en Explorar ahora para iniciar la opción Explorar ahora en losclientes.

Nota

Con el fin de evitar que se repita la exploración, la opción Explorar ahora sedesactivará si esta ha durado un número mayor de horas que las especificadas.

h. Para guardar la lista de los clientes en un archivo, haga clic en Exportar.

7. Visualice el informe de conformidad para la configuración.

Para obtener información detallada acerca de la configuración, consulteConfiguración en la página 14-67.

a. Haga clic en la pestaña Configuración.


14-72

b. En Equipos con parámetros de configuración incoherentes, compruebeel número de clientes con configuraciones que no coincidan con las deldominio del árbol de clientes.



e. Haga clic en Aplicar configuración del dominio.


Informes de conformidad programadosLa función Conformidad con las normas de seguridad puede generar informes deconformidad según un programa. Los informes le ayudan a valorar el estado deseguridad de los clientes de OfficeScan administrados por el servidor de OfficeScan.

Para obtener más información acerca de los informes de conformidad, consulteConformidad con las normas de seguridad para clientes administrados en la página 14-59.

Definir una configuración para informes de conformidadprogramados

Procedimiento

1. Desplácese a Conformidad con las normas de seguridad > Valoración de laconformidad > Informe de conformidad programado.

2. Seleccione Activar informes programados.

3. Introduzca un título para el informe.

4. Seleccione una o todas de las opciones siguientes:

• Servicios en la página 14-61

• Componentes en la página 14-63


14-73

• Conformidad con la exploración en la página 14-65

• Configuración en la página 14-67

5. Especifique las direcciones de correo electrónico en las que recibirá notificacionessobre informes de conformidad programados.

Nota

Defina la configuración de las notificaciones de correo electrónico para garantizar queestas se envíen correctamente. Para conocer más detalles, consulte Configuración de lasnotificaciones del administrador en la página 13-34.

6. Especifique el programa.


Conformidad con las normas de seguridad para puntosfinales no administrados

La función Conformidad con las normas de seguridad puede realizar consultas de lospuntos finales no administrados en la red a la que pertenezca el servidor de OfficeScan.Utilice Active Directory y las direcciones IP para realizar consultas de los puntos finales.

El estado de seguridad de los puntos finales no administrados puede ser cualquiera delos siguientes:

TABLA 14-8. Estado de seguridad de puntos finales no administrados

ESTADO DESCRIPCIÓN

Gestionado por otroservidor de OfficeScan

Los clientes de OfficeScan que hay instalados en el equipo losadministra otro servidor de OfficeScan. Los clientes deOfficeScan están en línea y ejecutan esta versión deOfficeScan o una versión anterior.

No hay ningún clientede OfficeScaninstalado

El cliente de OfficeScan no está instalado en el equipo.


14-74

ESTADO DESCRIPCIÓN

No accesible El servidor de OfficeScan no se puede conectar al equipo ydeterminar su estado de seguridad.

Valoración de ActiveDirectory sin resolver

El equipo pertenece a un dominio de Active Directory, pero elservidor de OfficeScan no puede determinar su estado deseguridad.

NotaLa base de datos del servidor de OfficeScan contieneuna lista de clientes gestionados por el servidor. Elservidor solicita información sobre los GUID del equipo aActive Directory y los compara con el GUID almacenadoen la base de datos. Si un GUID no se encuentra en labase de datos, el equipo pasará a la categoríaValoración de Active Directory sin resolver.

Para ejecutar una valoración de seguridad, lleve a cabo las siguientes tareas:

1. Defina el alcance de la consulta. Para conocer más detalles, consulte Definir el alcancey la consulta de Active Directory/de la dirección IP en la página 14-74.

2. Compruebe los equipos que no estén protegidos desde el resultado de la consulta.Para conocer más detalles, consulte Ver los resultados de la consulta en la página 14-77.

3. Instale el cliente de OfficeScan. Para conocer más detalles, consulte Instalar deconformidad con las normas de seguridad en la página 5-66.

4. Configure las consultas programadas. Para conocer más detalles, consulte Configurarlas valoraciones de consulta programadas en la página 14-78.

Definir el alcance y la consulta de Active Directory/de ladirección IP

Cuando realice consultas por primera vez, defina el alcance de Active Directory/de ladirección IP, el cual incluye los objetos de Active Directory y las direcciones IP que elservidor de OfficeScan consultará bajo petición o de forma periódica. Tras definir elalcance, comience el proceso de consulta.


14-75

NotaPara definir un alcance de Active Directory, OfficeScan se debe integrar primero conActive Directory. Si desea obtener información detallada acerca de la integración, consulteIntegración con Active Directory en la página 2-34.

Procedimiento


2. En la sección Alcance y consulta de Active Directory/de la dirección IP, hagaclic enDefinir. Se abrirá una nueva pantalla.

3. Para definir un alcance de Active Directory:

a. Vaya a la sección Alcance de Active Directory.

b. Seleccione Utilizar valoración a petición para realizar consultas en tiemporeal y, de este modo, obtener resultados más precisos. La desactivación de estaopción hace que OfficeScan realice las consultas en la base de datos en lugarde en cada cliente de OfficeScan. La realización de consultas solo en la basede datos puede ser más rápida, pero es menos precisa.

c. Seleccione los objetos que deban consultarse. Si la consulta se está realizandopor primera vez, seleccione un objeto que tenga menos de 1,000 cuentas y, acontinuación, anote cuánto tiempo tarda en realizar la consulta. Utilice estainformación como su referencia en cuanto a rendimiento.

4. Para definir un alcance de la dirección IP:

a. Vaya a la sección Alcance de la dirección IP.

b. Seleccione Activar alcance de la dirección IP.

c. Especifique un intervalo de direcciones IP. Haga clic en los botones más omenos para agregar o eliminar intervalos de direcciones IP.

• Si el servidor de OfficeScan solo utiliza IPv4, escriba un intervalo dedirecciones IPv4.

• Si el servidor de OfficeScan solo utiliza IPv6, escriba un prefijo y longitud deIPv6.


14-76

• Si el servidor de OfficeScan es de doble pila, escriba un intervalo dedirecciones IPv4 y/o un prefijo y longitud de IPv6.

El límite del intervalo de direcciones IPv6 es de 16 bits, que es similar al límitede los intervalos de direcciones IPv4. Por lo tanto, la longitud del prefijo hade estar comprendida entre 112 y 128.

TABLA 14-9. Longitud de prefijos y números de direcciones IPv6

LONGITUD: NÚMERO DE DIRECCIONES IPV6

128 2

124 16

120 256

116 4,096

112 65,536

5. En Configuración avanzada, especifique los puertos que utilizan los servidores deOfficeScan para comunicarse con los clientes. La instalación aleatoria genera elnúmero de puerto durante la instalación del servidor de OfficeScan.

Para ver el puerto de comunicación que utiliza el servidor de OfficeScan, vaya aEquipos en red > Administración de clientes y seleccione un dominio. Elpuerto se muestra junto a la columna de dirección IP. Trend Micro recomiendaanotar los números de puerto para que le sirvan como referencia.

a. Haga clic en Especificar puertos.

b. Escriba el número de puerto y haga clic en Agregar. Repita este paso hastaque haya introducido todos los números de puerto que desea agregar.


6. Para comprobar la conectividad de un equipo mediante un número de puerto enconcreto, seleccione Declarar un equipo no accesible comprobando el puerto<x>. Cuando no se establezca la conexión, OfficeScan trata inmediatamente elequipo como no accesible. El número de puerto predeterminado es el 135.

Si se activa este ajuste se agilizará la consulta. Cuando no se puede establecer laconexión con un equipo, el servidor de OfficeScan ya no necesita realizar el resto


14-77

de tareas de comprobación de la conexión antes de tratar el equipo como noaccesible.

7. Para guardar el alcance e iniciar la consulta, haga clic en Guardar y volver avalorar. Para únicamente guardar la configuración, haga clic en Sólo guardar. Enla pantalla Administración de servidores externos se muestra el resultado de laconsulta.

NotaEs posible que la consulta tarde bastante en completarse, sobre todo si su alcance esamplio. No realice otra consulta hasta que en la pantalla Administración de servidoresexternos no se muestre el resultado. Si lo hace, la sesión de consulta que esté en cursofinalizará y volverá a iniciarse el proceso de consulta.

Ver los resultados de la consultaEl resultado de la consulta aparece en la sección Estado de seguridad. Un punto final noadministrado tendrá uno de los siguientes estados:

• Gestionado por otro servidor de OfficeScan

• No hay ningún cliente de OfficeScan instalado

• No accesible

• Valoración de Active Directory sin resolver

Tareas recomendadas

1. En la sección Estado de seguridad, haga clic en el enlace de un número paramostrar todos los equipos afectados.

2. Utilices las funciones de búsqueda y búsqueda avanzada para buscar y mostrarúnicamente los equipos que cumplen los criterios de búsqueda.

En el caso de que utilice la función de búsqueda avanzada, especifique lo siguiente:

• Intervalo de direcciones IPv4

• Prefijo y longitud de IPv6 (el prefijo ha de estar comprendido entre 112 y 128)


14-78

• Nombre del equipo

• Nombre del servidor de OfficeScan

• Árbol de Active Directory

• Estado de seguridad

OfficeScan no ofrecerá ningún resultado si el nombre está incompleto. Utilice elcarácter comodín (*) si no está seguro de cuál es el nombre completo.

3. Para guardar la lista de los equipos en un archivo, haga clic en Exportar.

4. En el caso de los clientes de OfficeScan que están administrados por otro servidorde OfficeScan, utilice la herramienta Client Mover para que sea el servidor deOfficeScan actual el que administre estos clientes de OfficeScan. Para obtener másinformación sobre esta herramienta, consulte Client Mover en la página 14-23.

Configurar las valoraciones de consulta programadas

Con el fin de asegurar que se implementen las directrices de seguridad, configure elservidor de OfficeScan para que realice consultas periódicas de Active Directory y de lasdirecciones IP.

Procedimiento


2. En la parte superior del árbol de clientes, haga clic en Configuración.

3. Active la consulta programada.

4. Especifique el programa.



14-79

Compatibilidad con Trend Micro VirtualDesktop

Optimice la protección de un equipo de sobremesa virtual mediante la Compatibilidadcon Trend Micro Virtual Desktop. Esta función regula las tareas en clientes deOfficeScan que se hallen en un único servidor virtual.

Ejecutar varios equipos de sobremesa en un único servidor y realizar exploracioneslibres o actualizaciones de componentes consume una cantidad considerable de losrecursos del sistema. Utilice esta función para prohibir que los clientes ejecutenexploraciones o actualizaciones de componentes al mismo tiempo.

Por ejemplo, si un servidor VMware vCenter tiene tres clientes de OfficeScanejecutando equipos de sobremesa virtuales, OfficeScan puede iniciar Explorar ahora eimplementar las actualizaciones de forma simultánea en los tres clientes. El soporteVirtual Desktop reconoce que los clientes se encuentran en el mismo servidor físico. Elsoporte Virtual Desktop permite que una tarea se ejecute en el primer cliente y lapospone para los otros dos hasta que el primer cliente ha terminado dicha tarea.

El Soporte para Virtual Desktop puede utilizarse en las siguientes plataformas:

• VMware vCenter™ (VMware View™)

• Citrix™ XenServer™ (Citrix XenDesktop™)

• Microsoft Hyper-V™ Server

Para obtener más información sobre estas plataformas, consulte los sitios Web deVMware View, Citrix XenDesktop o Microsoft Hyper-V.

Utilice la Herramienta de creación de plantillas de exploración previa de VDI deOfficeScan para optimizar exploraciones bajo petición o eliminar los GUID de lasimágenes de base o doradas.

Instalación del Soporte para Virtual DesktopEl Soporte para Virtual Desktop es una característica nativa de OfficeScan, pero conlicencia individual. Tras instalar el servidor de OfficeScan, esta característica estádisponible, pero no operativa. La instalación de esta característica implica la descarga de

http://www.vmware.com/products/view/overview.html

http://www.citrix.com/virtualization/desktop/xendesktop.html

http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx


14-80

un archivo desde el servidor de ActiveUpdate (o desde una fuente de actualizaciónpersonalizada si se ha configurado alguna). Cuando dicho archivo se haya incorporado alservidor de OfficeScan, podrá activar el Soporte para Virtual Desktop con el fin deactivar todas sus funciones. La instalación y la activación se realizan desde Plug-InManager.

Nota

El Soporte para Virtual Desktop no es totalmente compatible en entornos en los que solose utilice IPv6. Para conocer más detalles, consulte Limitaciones de los servidores que solo utilizanIPv6 en la página A-3.

Instalar el Soporte para Virtual Desktop

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección Soporte de Trend MicroVirtual Desktop y haga clic en Descargar.

El tamaño del paquete se figura junto al botón Descargar.

Plug-In Manager almacena el archivo descargado en <Carpeta de instalación delservidor>\PCCSRV\Download\Product.

Nota

Si Plug-In Manager no puede descargar el archivo, lo vuelve a intentar de formaautomática una vez transcurridas 24 horas. Para activar manualmente Plug-InManager a fin de que descargue el archivo, reinicie el servicio OfficeScan Plug-InManager desde Microsoft Management Console.

3. Supervise el progreso de descarga. Puede ignorar la pantalla durante la descarga.

Si tiene problemas durante la descarga del paquete, compruebe los registros deactualización del servidor en la consola de producto de OfficeScan. En el menúprincipal, haga clic en Registros > Registros de actualización del servidor.


14-81

Después de que Plug-In Manager haya descargado el archivo, la función Soportepara Virtual Desktop se abrirá en una nueva pantalla.

NotaSi no se visualiza el Soporte para Virtual Desktop, consulte los posibles motivos y sussoluciones en Solución de problemas de Plug-In Manager en la página 15-10.

4. Para instalar al instante la función Soporte para Virtual Desktop, haga clic enInstalar ahora. Para instalarlo después:

a. Haga clic en Instalar más tarde.

b. Abra la pantalla de Plug-in Manager.

c. Vaya a la sección Soporte para Trend Micro Virtual Desktop y haga clic enInstalar.

5. Lea el contrato de licencia y haga clic en Aceptar para aceptar las condiciones.

Comienza la instalación.

6. Supervise el progreso de la instalación. Tras la instalación, se muestra la versión delSoporte para Virtual Desktop.

Licencia del Soporte para Virtual DesktopVisualice, active y renueve la licencia de Soporte para Virtual Desktop desde Plug-InManager.

Obtenga el código de activación de manos de Trend Micro y, después, utilícelo paraactivar toda la funcionalidad del Soporte para Virtual Desktop.

Activar o renovar el Soporte para Virtual Desktop

Procedimiento



14-82

2. En la pantalla de Plug-in Manager, vaya a la sección Compatibilidad con TrendMicro Virtual Desktop y haga clic en Administrar programa.


4. En la pantalla Detalles de la licencia del producto que se abre, haga clic enNuevo código de activación.

5. Escriba el código de activación en la pantalla que se abre y haga clic en Guardar.

6. De nuevo en la pantalla Detalles de la licencia del producto, haga clic enInformación de la actualización para actualizar la página con los detalles nuevosde la licencia y el estado de la función. Esta pantalla también muestra un enlace alsitio Web de Trend Micro en el que puede visualizar información detallada sobre lalicencia.

Ver información sobre la licencia del Soporte para VirtualDesktop

Procedimiento

1. Abra la consola Web de OfficeScan y haga clic en Plug-in Manager >[Compatibilidad con Trend Micro Virtual Desktop] Administrar programaen el menú principal.


3. Vea los detalles de la licencia en la pantalla que se abre.

En la sección Licencia del Soporte para Virtual Desktop se proporciona la siguienteinformación:

• Estado: muestra "Activada", "No activada" o "Caducada".

• Versión: muestra versión "Completa" o de "Evaluación". Si tiene una versióncompleta y otra de evaluación, se mostrará "Completa".

• Fecha de caducidad: si el Soporte para Virtual Desktop tiene múltipleslicencias, se muestra la fecha de caducidad más reciente. Por ejemplo, si lasfechas de caducidad son 31/12/2010 y 30/06/2010, aparecerá 31/12/2010.


14-83

• Nº de licencias: muestra cuántos clientes de OfficeScan pueden utilizar elSoporte para Virtual Desktop

• Código de activación: muestra el código de activación

Durante los casos siguientes aparecen recordatorios sobre las licencias:

Si cuenta con una licencia de versión completa:

• Durante el periodo de gracia de la función. La duración del periodo de graciapuede varía entre una zona y otra. Consulte con su representante de TrendMicro para comprobar la duración de su periodo de gracia.

• Cuando la licencia caduca y finaliza el periodo de gracia. Durante este tiempono podrá obtener asistencia técnica.

Si cuenta con una licencia de versión de evaluación

• Cuando caduca la licencia. Durante este tiempo no podrá obtener asistenciatécnica.

4. Haga clic en Ver licencia detallada en línea para ver información sobre sulicencia en el sitio Web de Trend Micro.

5. Haga clic en Actualizar información para actualizar la pantalla con la informaciónmás reciente sobre la licencia.

Conexiones de Virtual ServerOptimice la exploración bajo petición o las actualizaciones de componentes agregandoVMware vCenter 4 (VMware View 4), Citrix XenServer 5.5 (Citrix XenDesktop 4) oMicrosoft Hyper-V Server. Los servidores de OfficeScan se comunican con losservidores virtuales especificados para determinar los clientes de OfficeScan que seencuentran en el mismo servidor físico.


14-84

Añadir conexiones del servidor

Procedimiento


2. Seleccione Servidor de VMware vCenter, Citrix XenServer, oMicrosoft Hyper-V.

3. Active la conexión con el servidor.

4. Especifique la siguiente información:

• Para los servidores VMware vCenter y Citrix XenServer:

• Dirección IP

• Puerto

• Protocolo de conexión (HTTP o HTTPS)

• Nombre de usuario

• Contraseña

• Para los servidores Microsoft Hyper-V:

• Nombre de host o dirección IP

• Dominio\nombre de usuario

NotaLa cuenta de inicio de sesión debe ser una cuenta de dominio del grupoAdministradores.

• Contraseña

5. Active de forma opcional la conexión del proxy para VMware vCenter o CitrixXenServer.

a. Especifique el nombre del servidor proxy o la dirección IP y el puerto.


14-85

b. Si el servidor proxy necesita autenticación, especifique el nombre de usuario yla contraseña.

6. Haga clic en Probar la conexión para verificar que el servidor de OfficeScan sepuede conectar correctamente al servidor.

NotaPara obtener información sobre cómo solucionar problemas relacionados con lasconexiones a Microsoft Hyper-V, consulte Soluciones de problemas de las conexiones aMicrosoft Hyper-V en la página 14-87.


Añadir conexiones del servidor adicionales

Procedimiento


2. Haga clic en Agregar nueva conexión a vCenter, Agregar nueva conexión aXenServer o Agregar una nueva conexión a Hyper-V.

3. Repita los pasos para proporcionar la información de servidor pertinente.


Eliminar una configuración de conexión

Procedimiento

1. Abra la consola Web de OfficeScan y desplácese a Plug-in Manager >[Compatibilidad con Trend Micro Virtual Desktop] Administrar programaen el menú principal.

2. Haga clic en Eliminar esta conexión.


14-86

3. Haga clic en Aceptar para confirmar que desea eliminar esta conexión.


Cambio de la capacidad de exploración VDILos administradores pueden aumentar el número de puntos finales VDI que ejecutanescaneo simultáneo mediante la modificación del archivo vdi.ini. Trend Microrecomienda vigilar estrictamente el efecto de cambiar la capacidad de VDI para asegurarque los recursos del sistema puedan manejar cualquier aumento de exploración.

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a la <carpeta de instalación delservidor>PCCSRV\Private\vdi.ini.

2. Busque el parámetro [TaskController].

Los parámetros TaskController son los siguientes:

• Para clientes OfficeScan 10.5:

[TaskController]

Controller_00_MaxConcurrentGuests=1


Donde:

• Controller_00_MaxConcurrentGuests=1 es igual al númeromáximo de clientes que pueden realizar exploraciones simultáneamente.

• Controller_01_MaxConcurrentGuests=3 es igual al númeromáximo de clientes que pueden realizar actualizaciones simultáneamente.

• Para clientes OfficeScan 10.6:

[TaskController]



14-87


Donde:

• Controller_02_MaxConcurrentGuests=1 es igual al númeromáximo de clientes que pueden realizar exploraciones simultáneamente.

• Controller_03_MaxConcurrentGuests=3 es igual al númeromáximo de clientes que pueden realizar actualizaciones simultáneamente.

3. Aumente o disminuya el recuento en cada controlador según sea necesario.

El valor mínimo de todos los parámetros es 1.

El valor máximo de todos los parámetros es 65536.

4. Guarde y cierre el archivo vdi.ini.


6. Supervise la CPU, la memoria y los recursos de uso del disco de los puntos finalesde VDI. Modifique aún más la configuración del controlador para aumentar/disminuir el número de exploraciones simultáneas que mejor se adapte al entornoVDI repitiendo los pasos 1 a 5.

Soluciones de problemas de las conexiones a MicrosoftHyper-V

La conexión a Microsoft Hyper-V utiliza el Instrumental de administración de Windows(WMI) y DCOM para la comunicación entre servidor y cliente. Las políticas delcortafuegos pueden bloquear esta comunicación, lo que provoca que no se establezcaconexión con el servidor Hyper-V.

El puerto de escucha del servidor Hyper-V se establece de forma predeterminada en el135 y, a continuación, selecciona un puerto configurado aleatoriamente para lascomunicaciones adicionales. Si el cortafuegos bloquea el tráfico de WMI o cualquiera deestos dos puertos, no se podrá establecer comunicación con el servidor. Losadministradores pueden modificar la política del cortafuegos para que permita lacomunicación satisfactoria con el servidor Hyper-V.


14-88

Compruebe que todos los parámetros de conexión, incluida la dirección IP, el dominio/nombre de usuario y la contraseña, sean correctos antes de realizar las siguientesmodificaciones en el cortafuegos.

Permitir la comunicación de WMI a través del Firewall deWindows

Procedimiento

1. En el servidor Hyper-V, abra la pantalla Firewall de Windows - Programaspermitidos.

En los sistemas Windows 2008 R2, desplácese a Panel de control > Sistema yseguridad > Firewall de Windows > Permitir un programa o unacaracterística a través de Firewall de Windows.

2. Seleccione Instrumental de administración de Windows (WMI).


14-89

FIGURA 14-7. Pantalla Firewall de Windows - Programas permitidos


4. Pruebe de nuevo la conexión a Hyper-V.

Abrir la comunicación de puertos a través del Firewall deWindows o un cortafuegos de otros fabricantes

Procedimiento

1. En el servidor Hyper-V, asegúrese de que el cortafuegos permita la comunicación através del puerto 135 y pruebe de nuevo la conexión a Hyper-V.

Para obtener información sobre cómo abrir puertos, consulte la documentación delcortafuegos.


14-90

2. Si la conexión con el servidor Hyper-V se ha establecido correctamente, configureWMI para que utilice un puerto fijo.

Para obtener información sobre la configuración un puerto fijo para WMI, consulte:

http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447(v=vs.85).aspx

3. Abra los puertos 135 y el puerto fijo creado recientemente (24158) para lacomunicación a través del cortafuegos.

4. Pruebe de nuevo la conexión a Hyper-V.

Herramienta de creación de plantillas de exploraciónprevia de VDI

Utilice la Herramienta de creación de plantillas de exploración previa de VDI deOfficeScan para optimizar exploraciones bajo petición o eliminar los GUID de lasimágenes de base o doradas. Esta herramienta explora la imagen de base o dorada ycertifica la imagen. Cuando se exploran duplicados de la imagen, OfficeScan sólocomprueba las partes que han cambiado. Este proceso garantiza un menor tiempo deexploración.

ConsejoTrend Micro recomienda generar la plantilla de exploración previa después de aplicar unaactualización de Windows o de instalar una nueva aplicación.

Crear una plantilla de exploración previa

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TCacheGen.

2. Seleccione una versión de la herramienta de creación de plantillas de exploraciónprevia de VDI. Las versiones siguientes están disponibles:




14-91

TABLA 14-10. Versiones de la herramienta de creación de plantillas deexploración previa de VDI

NOMBRE DEL ARCHIVO INSTRUCCIÓN

TCacheGen.exe Seleccione este archivo si deseaejecutar la herramienta directamente enuna plataforma de 32 bits.

TCacheGen_x64.exe Seleccione este archivo si deseaejecutar la herramienta directamente enuna plataforma de 64 bits.

TCacheGenCli.exe Seleccione este archivo si deseaejecutar la herramienta desde la interfazde línea de comandos en unaplataforma de 32 bits.

TCacheGenCli_x64.exe Seleccione este archivo si deseaejecutar la herramienta desde la interfazde línea de comandos en unaplataforma de 64 bits.

3. Copie la versión de la herramienta que ha elegido en el paso anterior en la <Carpetade instalación del cliente> de la imagen base.

4. Ejecute la herramienta.

• Para ejecutar la herramienta directamente:

a. Haga doble clic en TCacheGen.exe o TCacheGen_x64.exe.

b. Haga clic en Crear plantilla de exploración previa.

• Para ejecutar la herramienta desde la interfaz de la línea de comandos:

a. Abra el símbolo del sistema y cambie el directorio a <Carpeta deinstalación del cliente>.

b. Escriba el siguiente comando:

TCacheGenCli Generate_TemplateO

TcacheGenCli_x64 Generate_Template


14-92

Nota

La herramienta explora la imagen en busca de amenazas de seguridad antes de crear laplantilla de exploración previa y eliminar el GUID.

Tras crear la plantilla de exploración previa, la herramienta descarga el cliente deOfficeScan. No vuelva a cargar el cliente de OfficeScan. Si el cliente de OfficeScan sevuelve a cargar, tendrá que crear de nuevo la plantilla de exploración previa.

Eliminar GUID de las plantillas

Procedimiento

1. En el equipo del servidor de OfficeScan, vaya a <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\TCacheGen.

2. Seleccione una versión de la herramienta de creación de plantillas de exploraciónprevia de VDI. Las versiones siguientes están disponibles:

TABLA 14-11. Versiones de la herramienta de creación de plantillas deexploración previa de VDI

NOMBRE DEL ARCHIVO INSTRUCCIÓN

TCacheGen.exe Seleccione este archivo si deseaejecutar la herramienta directamente enuna plataforma de 32 bits.

TCacheGen_x64.exe Seleccione este archivo si deseaejecutar la herramienta directamente enuna plataforma de 64 bits.

TCacheGenCli.exe Seleccione este archivo si deseaejecutar la herramienta desde la interfazde línea de comandos en unaplataforma de 32 bits.

TCacheGenCli_x64.exe Seleccione este archivo si deseaejecutar la herramienta desde la interfazde línea de comandos en unaplataforma de 64 bits.


14-93

3. Copie la versión de la herramienta que ha elegido en el paso anterior en la <Carpetade instalación del cliente> de la imagen base.

4. Ejecute la herramienta.

• Para ejecutar la herramienta directamente:

a. Haga doble clic en TCacheGen.exe o TCacheGen_x64.exe.

b. Haga clic en Eliminar el GUID de la plantilla.

• Para ejecutar la herramienta desde la interfaz de la línea de comandos:

a. Abra el símbolo del sistema y cambie el directorio a <Carpeta deinstalación del cliente>.

b. Escriba el siguiente comando:

TCacheGenCli Remove GUID

O

TcacheGenCli_x64 Remove GUID

Configuración general del clienteOfficeScan aplica la configuración general del cliente a todos los clientes o solo a losclientes con determinados derechos.

Procedimiento




14-94

TABLA 14-12. Configuración general del cliente

PARÁMETRO REFERENCIA

Configuración de laexploración

Configuración general de la exploración en lapágina 7-70

Parámetros de Escaneosprogramados


Configuración del ancho debanda del registro de virus/malware


Configuración delcortafuegos

Configuración general del cortafuegos en la página12-27

Recuento de registro decortafuegos

Configuración general del cortafuegos en la página12-27

Ajustes de la supervisión decomportamiento

Configuración de las opciones de supervisión decomportamiento global en la página 8-8

Configuración de rellamadasde C&C

Configuración de las opciones de rellamadas deC&C globales en la página 11-12

Actualizaciones ActiveUpdate Server como fuente de actualizacióndel cliente de OfficeScan en la página 6-37

Espacio de disco reservado Configuración del espacio en disco reservado paralas actualizaciones de clientes de OfficeScan en lapágina 6-51

Red no accesible Clientes no accesibles en la página 14-47

Configuración de las alertas Configuración de las notificaciones de actualizaciónde los clientes de OfficeScan en la página 6-53

Reinicio del servicioOfficeScan

Reinicio del servicio del cliente de OfficeScan en lapágina 14-12

Configuración del servidorproxy

Configuración automática del proxy para el clientede OfficeScan en la página 14-55

Dirección IP preferida Direcciones IP del cliente en la página 5-10


14-95


Configurar derechos y otras configuracionesde los clientes

Conceda a los usuarios los derechos para modificar determinados parámetros deconfiguración y realizar tareas de alto nivel en el cliente de OfficeScan.

Nota

La configuración del antivirus solo parece tras activar la característica OfficeScan Antivirus.

Consejo

Para aplicar una configuración y políticas uniformes en toda la empresa, conceda derechoslimitados a los usuarios.

Procedimiento

1. Vaya a Equipos en red > Administración de clientes o Equipos en red >Administración de clientes .



4. En la pestaña Derechos, configure los siguientes derechos del usuario:

TABLA 14-13. Derechos del cliente

DERECHOS DEL CLIENTE REFERENCIA

Derecho de itinerancia Derecho de itinerancia del cliente deOfficeScan en la página 14-20


14-96

DERECHOS DEL CLIENTE REFERENCIA

Derechos de exploración Derechos de tipo de exploración en la página7-55

Derechos de exploraciónprogramada

Derechos y otras configuraciones de laexploración programada en la página 7-58

Derechos del cortafuegos Derechos del cortafuegos en la página 12-25

Privilegios de supervisión decomportamiento

Privilegios de supervisión de comportamientoen la página 8-11

Derechos de exploración delcorreo

Derechos y otras configuraciones de laexploración del correo en la página 7-63

Derechos de Toolbox Conceder a los usuarios el derecho para verla pestaña Caja de herramientas en la página17-7

Derechos de configuración delproxy

Derechos de configuración del proxy paraclientes en la página 14-54

Derechos de actualización decomponentes

Derechos de actualización y otrasconfiguraciones de los clientes de OfficeScanen la página 6-48

Desinstalación Concesión del derecho de desinstalación delcliente de OfficeScan en la página 5-78

Descarga Conceder el derecho de descarga del clienteen la página 14-19

5. Haga clic en la pestaña Otras configuraciones y configure los siguientes valores:

TABLA 14-14. Otras configuraciones del cliente


Configuración de actualización Derechos de actualización y otrasconfiguraciones de los clientes de OfficeScanen la página 6-48

Configuración de la reputaciónWeb

Notificaciones de amenazas Web parausuarios del cliente en la página 11-13


14-97


Configuración de la supervisión decomportamiento

Privilegios de supervisión de comportamientoen la página 8-11

Configuración de C&C ContactAlert

Notificaciones de C&C Contact Alert para losusuarios del cliente en la página 11-18

Autoprotección del cliente Autoprotección del cliente en la página 14-13

Configuración de la caché para lasexploraciones

Configuración de la caché para lasexploraciones en la página 7-67

Parámetros de Escaneosprogramados

Concesión de derechos de exploraciónprogramada y visualización de la notificaciónde los derechos en la página 7-59

Configuración de seguridad delcliente

Seguridad del cliente de OfficeScan en lapágina 14-17

Configuración de la exploración delcorreo electrónico POP3

Concesión de derechos de exploración decorreo y habilitación de la exploración delcorreo POP3 en la página 7-66

Restricción de acceso a la consoladel cliente

Restricción de acceso a la consola del clientede OfficeScan en la página 14-18

Notificación de reinicialización Notificaciones de riesgos de seguridad paralos usuarios de los clientes de OfficeScan enla página 7-86




Parte IVProtección adicional

15-1

Capítulo 15

Uso de Plug-in ManagerEn este capítulo se describe cómo configurar Plug-In Manager y se ofrece informacióngeneral de las soluciones de complemento proporcionadas mediante Plug-In Manager.


• Acerca de Plug-In Manager en la página 15-2

• instalación de Plug-In Manager en la página 15-3

• Administración de las características nativas de OfficeScan en la página 15-4

• Administrar los programas de complemento en la página 15-4

• Desinstalar Plug-In Manager en la página 15-10

• Solución de problemas de Plug-In Manager en la página 15-10


15-2

Acerca de Plug-In ManagerOfficeScan incluye un marco llamado Plug-In Manager que integra nuevas soluciones alentorno de OfficeScan existente. Para facilitar la administración de estas soluciones,Plug-In Manager ofrece datos de un vistazo para las soluciones en forma decomponentes.

NotaActualmente ninguna de las soluciones de complemento es compatible con IPv6. Elservidor puede descargar estas soluciones, pero no las podrá implementar en hosts oclientes de OfficeScan que utilicen solo IPv6.

Plug-In Manager proporciona dos tipos de soluciones:

• Características nativas de OfficeScan

Algunas características nativas de OfficeScan cuentan con licencia individual y seactivan a través de Plug-In Manager. En esta versión, hay dos características queentran en esta categoría, que son el Soporte para Trend Micro Virtual Desktop yla protección de datos de OfficeScan.

• Programas de complemento

Los programas de complemento no son parte del programa de OfficeScan. Dichosprogramas tienen sus propias licencias y se administran principalmente desde suspropias consolas de administración, a las que se accede a través de la consolaOfficeScan Web. Algunos ejemplos de programas de complemento son IntrusionDefense Firewall, Trend Micro Security (para Mac) y Trend Micro MobileSecurity.

Este documento ofrece información general de la instalación y la administración de losprogramas de complemento y aborda los datos de estos programas disponibles en loscomponentes. Consulte la documentación del programa de complemento específicopara obtener información sobre su configuración y administración.

Agentes del cliente y Client Plug-in ManagerAlgunos programas de complemento (como el cortafuegos de defensa frente aintrusiones) cuentan con un agente del cliente que se instala en los sistemas operativos

Uso de Plug-in Manager

15-3

de Windows. Los agentes del cliente se pueden administrar a través de Client Plug-inManager con el nombre de proceso CNTAoSMgr.exe.

CNTAoSMgr.exe se instala con el cliente de OfficeScan y presenta los mismosrequisitos del sistema que este. El único requisito adicional para CNTAoSMgr.exe esMicrosoft XML Parser (MSXML) versión 3.0 o posterior.

Nota

Los demás agentes del cliente no se encuentran instalados en sistemas operativos deWindows y, por tanto no se gestionan desde Client Plug-in Manager. El cliente TrendMicro Security (para Mac) y Mobile Device Agent para Trend Micro Mobile Security sonejemplos de estos agentes.

Componentes

Utilice los componentes para ver resúmenes de datos relativos a las distintas solucionesde complemento implementadas. Los componentes se encuentran disponibles en elpanel Resumen del servidor de OfficeScan. Un componente especial denominadoOfficeScan and Plug-ins Mashup combina los datos de los clientes de OfficeScan conlos de las soluciones de complemento y los presenta en un árbol de clientes.

Este Manual del administrador ofrece información general de los componentes y de lassoluciones que admiten componentes.

instalación de Plug-In ManagerEn las versiones anteriores de Plug-In Manager, el paquete de instalación de Plug-InManager se descarga de Trend Micro ActiveUpdate Server y se instala después en elequipo que aloja al servidor de OfficeScan. En esta versión, el paquete de instalación seincluye en el del servidor de OfficeScan.

Los nuevos usuarios de OfficeScan tendrán tanto el servidor de OfficeScan como Plug-In Manager instalados tras ejecutar el paquete de instalación y completar esta. Losusuarios que actualicen a esta versión de OfficeScan y hayan utilizado Plug-In Manager


15-4

anteriormente deberán detener el servicio de Plug-In Manager antes de ejecutar elpaquete de instalación.

Realizar las tareas posteriores a la instalación

Realice lo siguiente antes de instalar Plug-In Manager:

Procedimiento

1. Acceda a la consola Web de Plug-In Manager ; para ello, haga clic en Plug-inManager en el menú principal de la consola OfficeScan Web.

2. Administre las soluciones de complemento.

3. Acceda al panel Resumen en la consola OfficeScan Web para administrar loscomponentes para las soluciones de complemento.

Administración de las características nativasde OfficeScan

Las características nativas de OfficeScan se instalan con OfficeScan y se activan desdePlug-In Manager. Algunas características, como el Soporte para Trend Micro VirtualDesktop, se administran desde Plug-In Manager, mientras que otras, como Protecciónde datos de OfficeScan, se administran desde la consola OfficeScan Web.

Administrar los programas de complementoInstale y active los programas de complemento de forma independiente a OfficeScan.Cada complemento cuenta con su propia consola para la administración del producto.Se puede acceder a las consolas consolas de administración desde la consola Web deOfficeScan.


15-5

Instalación de los programas de complementoUn programa de complemento se muestra en la consola de Plug-In Manager. Utilice laconsola para descargar, instalar y administrar el programa. Plug-In Manager descarga lospaquetes de instalación de un programa de complemento desde Trend MicroActiveUpdate Server o desde una fuente de actualización personalizada, siempre que sehaya configurado una de forma correcta. Es necesaria una conexión a Internet paradescargar el paquete desde el servidor de ActiveUpdate.

Cuando Plug-In Manager descarga un paquete de instalación o inicia la instalación, Plug-In Manager desactiva temporalmente otras funciones del programa de complemento,como descargas, instalaciones y actualizaciones.

Plug-In Manager no admite la instalación o la administración de programas decomplemento desde la función de inicio de sesión único de Trend Micro ControlManager.

Instalar un programa de complemento

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección del programa de complementoy haga clic en Descargar. El tamaño del paquete de programas de complementofigura junto al botón Descargar. Plug-in Manager guarda el paquete descargado enla <Carpeta de instalación del servidor>\PCCSRV\Download\Product.

3. Supervise el progreso de descarga. Puede ignorar la pantalla durante la descarga.


15-6

FIGURA 15-1. Progreso de descarga de un programa de complemento

Después de que Plug-in Manager descargue el paquete, el programa decomplemento aparece en una nueva pantalla.

Nota

Si tiene problemas durante la descarga del paquete, compruebe los registros deactualización del servidor en la consola de producto de OfficeScan. En el menúprincipal, haga clic en Registros > Registros de actualización del servidor.

4. Haga clic en Instalar ahora o Instalar más tarde.

• Si ha hecho clic en Instalar ahora, compruebe el progreso de la instalación.

• Si ha hecho clic en Instalar más tarde, acceda a la pantalla de Plug-inManager, vaya a la sección de programas de complemento, haga clic enInstalar y, a continuación, compruebe el progreso de la instalación.

Tras la instalación, se muestra la versión actual del programa de complemento. Puedeempezar a gestionar el programa de complemento.

Gestión de los programas de complemento

Configure los parámetros y realice tareas relacionadas con los programas desde laconsola de administración de los programas de complemento, a la que se puede accedera través de la consola OfficeScan Web. Estas tareas incluyen la activación del programa yla implementación de sus agentes de cliente en los puntos finales. Consulte ladocumentación del programa de complemento específico para obtener informaciónsobre su configuración y administración.


15-7

Administrar un programa de complemento

Procedimiento

1. Abra la consola Web de OfficeScan y haga clic en Plug-in Manager.

2. En la pantalla de Plug-in Manager, vaya a la sección del programa decomplemento y haga clic en Administrar programa.

FIGURA 15-2. Botón Administrar programa de un programa de complemento

Actualizaciones del programa de complementoLas versiones nuevas de los programas de complemento instalados aparecen en laconsola de Plug-In Manager. En la consola puede descargar el paquete de actualizacióny, a continuación, actualizar el programa. Plug-In Manager descarga el paquete desdeTrend Micro ActiveUpdate Server o desde una fuente de actualización personalizada,siempre que se haya configurado una de forma correcta. Es necesaria una conexión aInternet para descargar el paquete desde el servidor de ActiveUpdate.

Cuando Plug-In Manager descarga un paquete de instalación o inicia la actualización,Plug-In Manager desactiva temporalmente otras funciones del programa decomplemento, como descargas, instalaciones y actualizaciones.

Plug-In Manager no admite la actualización de programas de complemento desde lafunción de inicio de sesión único de Trend Micro Control Manager.


15-8

Actualizar un programa de complemento

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección del programa decomplemento y haga clic en Descargar. El tamaño del paquete de actualizaciónfigura junto al botón Descargar.

3. Supervise el progreso de descarga. Durante la descarga puede salir de la pantalla sinque la actualización se vea afectada.

NotaSi tiene problemas durante la descarga del paquete, compruebe los registros deactualización del servidor en la consola OfficeScan Web. En el menú principal, hagaclic en Registros > Registros de actualización del servidor.

4. Cuando Plug-In Manager descarga el paquete, se muestra una nueva pantalla.

5. Haga clic en Actualizar ahora o Actualizar más tarde.

• Si ha hecho clic en Actualizar ahora, compruebe el progreso de laactualización.

• Si ha hecho clic en Actualizar más tarde, acceda a la pantalla de Plug-inManager, vaya a la sección de programas de complemento, haga clic enActualizar y, a continuación, compruebe el progreso de la actualización.

Tras la actualización, es posible que tenga que reiniciar el servicio Plug-In Manager, porlo que la pantalla de Plug-In Manager no estará disponible temporalmente. Cuando lapantalla vuelve a estar disponible, se visualiza la versión actual del programa decomplemento.

Desinstalación de los programas de complementoExisten varias formas de desinstalar un programa de complemento.


15-9

• Desinstale el programa de complemento desde la consola de Plug-In Manager.

• Desinstale el servidor de OfficeScan ; esta acción desinstala Plug-In Manager ytodos los programas de complemento instalados. Para obtener instrucciones sobrecómo instalar el servidor de OfficeScan, consulte el Manual de instalación yactualización de OfficeScan.

En el caso de programas de complemento con agentes del cliente:

• Consulte la documentación del programa de complemento para saber si ladesinstalación del programa de complemento también desinstala el agente delcliente.

• En el caso de agentes de cliente instalados en el mismo equipo que el cliente deOfficeScan, la desinstalación de este implica la desinstalación de los agentes delcliente y de Client Plug-in Manager (CNTAoSMgr.exe).

Desinstalar un programa de complemento desde la consolade Plug-In Manager

Procedimiento


2. En la pantalla de Plug-in Manager, vaya a la sección del programa decomplemento y haga clic en Desinstalar.

FIGURA 15-3. Botón Desinstalar de un programa de complemento

3. Supervise el progreso de desinstalación. Puede ignorar la pantalla durante ladesinstalación.


15-10

4. Actualice la pantalla de Plug-in Manager después de la desinstalación. Elprograma de complemento vuelve a estar disponible para la instalación.

Desinstalar Plug-In ManagerDesinstale el servidor de OfficeScan para desinstalar Plug-In Manager y todos losprogramas de complemento instalados. Para obtener instrucciones sobre cómo instalarel servidor de OfficeScan, consulte el Manual de instalación y actualización de OfficeScan.

Solución de problemas de Plug-In ManagerRevise los registros de depuración del servidor de OfficeScan y el cliente de OfficeScanen busca de información de depuración de Plug-In Manager y los programas decomplemento.

El programa de complemento no aparece en la consola dePlug-in Manager.

Puede que un programa de complemento disponible para descarga e instalación noaparezca en la consola de Plug-In Manager por las siguientes razones:

Procedimiento

1. Plug-In Manager aún está descargando el programa de complemento, proceso quepuede tardar algún tiempo si el tamaño del paquete del programa es muy grande.Compruebe la pantalla de vez en cuando para ver si se visualiza el programa decomplemento.

NotaSi Plug-In Manager no puede descargar un programa de complemento, se vuelve adescargar de forma automática tras 24 horas. Para activar manualmente Plug-InManager a fin de que descargue el programa de complemento, reinicie el servicioOfficeScan Plug-In Manager.


15-11

2. El equipo servidor no se puede conectar a Internet. Si el equipo servidor se conectaa Internet a través de un servidor proxy, asegúrese de que la conexión puedaestablecerse mediante la configuración del proxy.

3. La fuente de actualización de OfficeScan no es el servidor ActiveUpdate. En laconsola OfficeScan Web, vaya a Actualizaciones > Servidor > Fuente deactualización y marque la fuente de actualización. Si la fuente de actualización noes el servidor ActiveUpdate, tiene las siguientes opciones:

• Seleccione el servidor ActiveUpdate como fuente de actualización.

• Si selecciona Otra fuente de actualización, seleccione la primera entrada dela lista de fuentes de actualización Otras y compruebe que se puedeconectar correctamente al servidor ActiveUpdate. Plug-In Manager solo escompatible con la primera entrada de la lista.

• Si selecciona Ubicación de la intranet que contiene una copia del archivoactual, asegúrese de que el equipo de la intranet también pueda conectarse alservidor ActiveUpdate.

Problemas de instalación y visualización del agente delcliente

La instalación de un agente del cliente de un programa de complemento puede fallar, obien este agente puede no aparecer en la consola del cliente de OfficeScan por lassiguientes razones:

Procedimiento

1. Client Plug-in Manager (CNTAosMgr.exe) no se está ejecutando. En el equipocliente de OfficeScan, abra el Administrador de tareas de Windows y ejecute elproceso CNTAosMgr.exe.

2. No se ha descargado el paquete de instalación del agente del cliente en la carpetadel equipo cliente de OfficeScan ubicada en <Carpeta de instalación delcliente>\AU_Data\AU_Temp\{xxx}AU_Down\Product. ReviseTmudump.txt ubicado en \AU_Data\AU_Log\ para conocer los motivos delerror en la descarga.


15-12

Nota

Si el agente se instala correctamente, su información se encontrará disponible en<Carpeta de instalación del cliente>\AOSSvcInfo.xml.

3. La instalación del agente no se ha realizado correctamente o requiere alguna acciónadicional. Puede comprobar el estado de la instalación en la consola deadministración del programa de complemento y realizar acciones como, porejemplo, reiniciar el equipo cliente de OfficeScan tras la instalación o instalar losparches necesarios para el sistema operativo antes de la instalación.

No se admite la versión del servidor Web de ApachePlug-In Manager gestiona algunas de las solicitudes Web mediante la Interfaz deprogramación de aplicaciones del servidor de Internet (ISAPI). ISAPI no es compatiblecon las versiones del servidor Web de Apache de la 2.0.56 a la 2.0.59 ni de la 2.2.3 a la2.2.4.

Si su servidor Web de Apache ejecuta alguna de las versiones no compatibles, puedesustituirlo por la versión 2.0.63, que es la versión que utilizan OfficeScan y Plug-InManager. Esta versión también es compatible con ISAPI.

Procedimiento

1. Actualice el servidor de OfficeScan a la versión actual.

2. Realice una copia de seguridad de los archivos siguientes en la carpeta Apache2ubicada en <Carpeta de instalación del servidor>:

• httpd.conf

• httpd.conf.tmbackup

• httpd.default.conf

3. Desinstale la versión no compatible del servidor Web Apache en la pantallaAgregar o quitar programas.

4. Instale el servidor Web de Apache 2.0.63.


15-13

a. Inicie apache.msi desde la <Carpeta de instalación delservidor>\Admin\Utility\Apache.

b. En la pantalla de información del servidor, escriba la información necesaria.

c. En la pantalla Carpeta de destino, cambie la carpeta de destino haciendo clicen Cambiar y desplazándose a la <Carpeta de instalación delservidor>.

d. Complete la instalación.

5. Copie los archivos de copia de seguridad a la carpeta Apache2.

6. Reinicie el servicio del servidor Web de Apache.

No se puede iniciar un agente del cliente si la secuenciade comandos de configuración automática de InternetExplorer redirecciona a un servidor proxy

Client Plug-in Manager (CNTAosMgr.exe) no puede iniciar un agente del cliente debidoa que el comando de inicio del agente redirecciona a un servidor proxy. Este problemasolo se produce cuando la configuración del proxy redirecciona el tráfico HTTP delusuario a la dirección 127.0.0.1.

Para resolver este problema, utilice una política de servidor proxy correctamentedefinida. Por ejemplo, no redireccione el tráfico HTTP a 127.0.0.1.

Si necesita utilizar una configuración de proxy que controle las solicitudes HTTP127.0.0.1, realice las siguientes tareas.

Procedimiento

1. Defina la configuración de OfficeScan Firewall en la consola OfficeScan Web.

Nota

Lleve a cabo este paso solo si ha activado OfficeScan Firewall en los clientes deOfficeScan.


15-14

a. En la consola Web, desplácese a Equipos en red > Cortafuegos > Políticasy haga clic en Editar la plantilla de excepciones.

b. En la pantalla Editar la plantilla de excepciones, haga clic en Agregar.

c. Utilice la siguiente información:

• Nombre: Su nombre favorito

• Acción: Permitir el tráfico de red

• Dirección: Entrante

• Protocolo: TCP

• Puerto: cualquier número de puerto comprendido entre 5000 y 49151.

d. Dirección IP: seleccione Dirección IP única y especifique la dirección IP desu servidor proxy (opción recomendada) o elija Todas las direcciones IP.

e. Haga clic en Guardar.

f. En la pantalla Editar la plantilla de excepciones, haga clic en Guardar yaplicar las políticas existentes.

g. Vaya a Equipos en red > Cortafuegos > Perfiles y haga clic en Asignarperfil a los clientes.

Si no existe ningún perfil del cortafuegos, cree uno haciendo clic en Agregar.Utilice la siguiente configuración:

• Nombre: Su nombre favorito

• Descripción: su descripción favorita

• Política: política de acceso total

Después de guardar el perfil nuevo, haga clic en Asignar perfil a los clientes.

2. Modifique el archivo ofcscan.ini.

a. Abra el archivo ofcscan.ini en la <Carpeta de instalación delservidor> mediante un editor de texto.


15-15

b. Busque [Global Setting] y añada FWPortNum=21212 a la siguientelínea. Cambie "21212" por el número de puerto que haya especificado en elpaso C anterior.

Por ejemplo:

[Global Setting]

FWPortNum=5000

c. Guarde el archivo.

3. En la consola Web, vaya a Equipos en red > Configuración general del clientey haga clic en Guardar.

Se ha producido un error en el sistema, módulo deactualización o programa Plug-in Manager y el mensajede error proporciona un código de error específico

Plug-In Manager muestra alguno de los siguientes códigos de error en un mensaje deerror. Si no puede resolver un problema después de consultar el apartado de solucionesque se proporciona en la tabla mostrada a continuación, póngase en contacto con suproveedor de asistencia.

TABLA 15-1. Códigos de error de Plug-In Manager

CÓDIGO DE

ERRORMENSAJE, CAUSA Y SOLUCIÓN

001 Se ha producido un error en el programa Plug-In Manager.

El módulo de actualización de Plug-In Manager no responde cuando seconsulta el progreso de una tarea de actualización. Puede que no se hayainicializado el controlador del módulo o del comando.

Reinicie el servicio OfficeScan Plug-In Manager y realice de nuevo la tarea.


15-16

CÓDIGO DE


002 Se ha producido un error en el sistema.

El módulo de actualización Plug-In Manager no puede abrir la clave de registroSOFTWARE\TrendMicro\OfficeScan\service\AoS debido a que es posibleque se haya eliminado.

Siga los pasos que se detallan a continuación:

1. Abra el editor del registro y vaya a HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Restablezca el valor en1.0.1000.

2. Reinicie el servicio OfficeScan Plug-In Manager.

3. Descargue o desinstale el programa de complemento.


15-17

CÓDIGO DE


028 Se ha producido un error de actualización.

Causas posibles:

• El módulo de actualización de Plug-In Manager no puede descargar unprograma de complemento. Compruebe que la conexión de red funcionacorrectamente y vuelva a intentarlo.

• El módulo de actualización de Plug-In Manager no puede instalar elprograma de complemento debido a que el agente del parche AU hadevuelto un error. El agente de correcciones de AU es el programa queinicia la instalación de los nuevos programas de complemento. Paraconocer la causa exacta del error, consulte el registro de depuración"TmuDump.txt" del módulo ActiveUpdate en \PCCSRV\Web\Service\AU_Data\AU_Log.



2. Elimine la clave de registro del programa de complementoHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_ADDON_xxxx


4. Descargue el programa de complemento e instálelo.

170 Se ha producido un error en el sistema.

El módulo de actualización de Plug-In Manager no puede procesar unaoperación entrante debido a que está llevando a cabo otra operaciónactualmente.

Ejecute la tarea más adelante.


15-18

CÓDIGO DE



El programa Plug-In Manager no se puede encargar de una tarea que seejecuta en la consola Web.

Actualice la consola Web o Plug-In Manager si existe alguna actualizacióndisponible para este programa.


El programa Plug-In Manager detectó un error de comunicación entre procesos(IPC) al intentar establecer comunicación con los servicios de extremo final dePlug-In Manager.

Reinicie el servicio OfficeScan Plug-In Manager y realice de nuevo la tarea.

Otroscódigos deerror

Se ha producido un error en el sistema.

Al descargar un nuevo programa de complemento, Plug-In Managercomprueba la lista de programas de complemento en el servidor ActiveUpdate.Plug-In Manager no ha podido obtener la lista.




3. Descargue el programa de complemento e instálelo.

16-1

Capítulo 16

Uso de Policy Server for Cisco NACeste capítulo incluye instrucciones básicas para instalar y configurar Policy Server forCisco NAC. Si desea más información sobre la configuración y administración deservidores Cisco Secure ACS y otros productos de Cisco, consulte la documentaciónmás reciente de Cisco en el siguiente sitio Web:

http://www.cisco.com/univercd/home/home.htm


• Acerca de Policy Server for Cisco NAC en la página 16-2

• Componentes y términos en la página 16-2

• Arquitectura de Cisco NAC en la página 16-6

• Secuencia de validación del cliente en la página 16-7

• El Servidor de Políticas en la página 16-9

• Requisitos del sistema del Servidor de Políticas en la página 16-22

• Requisitos de Cisco Trust Agent (CTA) en la página 16-23

• Requisitos y plataformas compatibles en la página 16-24

• Implementación de Policy Server for NAC en la página 16-25

http://www.cisco.com/univercd/home/home.htm


16-2

Acerca de Policy Server for Cisco NACServidor de Políticas de Trend Micro para Control de Acceso a Red de Cisco (NAC)evalúa el estado de los componentes antivirus de los clientes de OfficeScan. Lasopciones de configuración del servidor de políticas le permiten definir configuracionespara realizar acciones en clientes de riesgo para que cumplan las políticas de seguridad dela empresa.

A continuación se indican las acciones disponibles:

• Indicar a los equipos cliente de OfficeScan que actualicen sus componentes decliente de OfficeScan

• Activar exploración en tiempo real

• Ejecutar la función Explorar ahora

• Mostrar un mensaje de notificación en los equipos cliente de OfficeScan parainformar a los usuarios sobre la infracción de la política antivirus

Para obtener más información sobre la tecnología de Cisco NAC, consulte el sitio Webde Cisco en:

http://www.cisco.com/go/nac

Componentes y términosA continuación encontrará una lista de varios componentes y términos importantesnecesarios para comprender y utilizar Policy Server for Cisco NAC.

Componentes

Se necesitan los componentes siguientes para la implementación de Trend Micro dePolicy Server for Cisco NAC:

http://www.cisco.com/go/nac

Uso de Policy Server for Cisco NAC

16-3

TABLA 16-1. Componentes de Policy Server for Cisco NAC

COMPONENTE DESCRIPCIÓN

Cisco Trust Agent(CTA)

Un programa instalado en un equipo cliente que permitecomunicarse con otros componentes de Cisco NAC.

Equipo cliente deOfficeScan

Un equipo que tiene instalado el programa cliente deOfficeScan. Para trabajar con Cisco NAC, el equipo cliente deOfficeScan también requiere Cisco Trust Agent.

Dispositivo de accesoa red

Un dispositivo de red compatible con las funciones de CiscoNAC. Los dispositivos de acceso a red compatibles incluyendiversos enrutadores, cortafuegos y puntos de acceso de Cisco,así como dispositivos de otros fabricantes con el sistemaTACACS+ (Terminal Access Controller Access Control System)o el protocolo RADIUS (Remote Dial-In User Service).

Para obtener una lista de los dispositivos compatibles, consulteRequisitos y plataformas compatibles en la página 16-24.

Cisco Secure AccessControl Server (ACS)

Un servidor que recibe datos antivirus del cliente de OfficeScanmediante el dispositivo de acceso a red y los transmite a unabase de datos de usuarios externos para evaluarlos. Acontinuación, el servidor ACS también transmite el resultado dela evaluación, que puede incluir instrucciones para el cliente deOfficeScan, al dispositivo de acceso a red.

Servidor de políticas Un programa que recibe y evalúa los datos antivirus del clientede OfficeScan. Tras realizar la evaluación, el servidor depolíticas determina las acciones que el cliente de OfficeScandebería realizar y, a continuación, notificar al cliente deOfficeScan que debe llevar a cabo las acciones.

Servidor deOfficeScan

Informa de las versiones actuales del patrón de virus y delMotor de Escaneo de Virus al servidor de políticas, que utilizaesta información para evaluar el estado del antivirus del clientede OfficeScan.

TérminosFamiliarícese con los términos siguientes relacionados con Policy Server for Cisco NAC:


16-4

TABLA 16-2. Términos de Policy Server for Cisco NAC

TÉRMINO DEFINICIÓN

Actitud deseguridad

La presencia y actualización del software antivirus de un cliente deOfficeScan. En esta implementación, la actitud de seguridad se refierea si el programa cliente de OfficeScan existe o no en los equiposcliente, al estado de determinada configuración del cliente deOfficeScan y a si el motor de escaneo antivirus y el patrón de virusestán actualizados o no.

Símbolo deactitud

Creado por el servidor de políticas después de validar el cliente deOfficeScan. Incluye información que indica al cliente de OfficeScanque realice una serie de acciones especificadas, como activar laexploración en tiempo real o actualizar los componentes antivirus.

Validación delcliente

El proceso de evaluación de la actitud de seguridad del cliente ydevolución del símbolo de actitud al cliente de OfficeScan.

Regla delservidor depolíticas

Directrices que contienen criterios configurables que el servidor depolíticas utiliza para medir la actitud de seguridad del cliente deOfficeScan. Una regla también contiene acciones que deben realizarel cliente de OfficeScan y el servidor de políticas si la información dela actitud de seguridad coincide con los criterios establecidos(consulte Políticas y reglas del Servidor de Políticas en la página16-10 para obtener más información).

Política delservidor depolíticas

Un conjunto de reglas a partir de las cuales el servidor de políticasmide la actitud de seguridad de los clientes de OfficeScan. Laspolíticas también contienen acciones que deben realizar los clientesde OfficeScan y el servidor de políticas si los criterios de las reglasasociadas a la política no coinciden con la actitud de seguridad(consulte Políticas y reglas del Servidor de Políticas en la página16-10 para obtener más información).

Autenticación,autorización ycontabilidad(AAA)

Describe los tres servicios básicos utilizados para controlar el accesode los clientes de OfficeScan de usuario final a los recursosinformáticos. La autenticación hace referencia a la identificación delcliente, normalmente haciendo que el usuario escriba un nombre deusuario y una contraseña. La autorización se refiere a los derechos deque dispone el usuario para emitir determinados comandos. Lacontabilidad son las mediciones (que suelen guardarse en registros)de los recursos empleados durante una sesión. El servidor de controlde acceso Cisco Secure Access Control Server (ACS) es laimplementación de Cisco de un servidor AAA.


16-5

TÉRMINO DEFINICIÓN

Entidademisora decertificados(CA)

Entidad de la red que distribuye certificados digitales para llevar acabo la autenticación y garantizar las conexiones entre los equipos ylos servidores.

Certificadosdigitales

Archivo adjunto utilizado por seguridad. Por lo general, los certificadosautentican clientes con servidores como, por ejemplo, un servidorWeb, y contienen la siguiente información: información sobre laidentidad del usuario, una clave pública (utilizada para el cifrado) yuna firma digital de las entidades emisoras de certificados (CA) paracomprobar que el certificado es válido.

RADIUS(RemoteAuthenticationDial-In UserService)

Sistema de autenticación que exige a los clientes la introducción deun nombre de usuario y una contraseña. Los servidores Cisco SecureACS son compatibles con el servicio RADIUS.

TACACS+(TerminalAccessControllerAccess ControlSystem)

Protocolo de seguridad habilitado mediante comandos AAA y que seutiliza para la autenticación de los clientes de usuario final. Losservidores Cisco ACS son compatibles con el servicio TACACS+.


16-6

Arquitectura de Cisco NACEl siguiente diagrama muestra una arquitectura de Cisco NAC básica.

FIGURA 16-1. Arquitectura básica de Cisco NAC

El cliente de OfficeScan que se muestra en la figura tiene una instalación CTA y sólopuede acceder a la red a través de un dispositivo de acceso a red compatible con CiscoNAC. El dispositivo de acceso a red está ubicado entre el cliente y el resto decomponentes de Cisco NAC.

Nota

La arquitectura de la red puede diferir en función de la presencia de servidores proxy,enrutadores o cortafuegos.


16-7

Secuencia de validación del clienteLa validación del cliente de OfficeScan se refiere al proceso de evaluación de la actitudde seguridad del cliente de OfficeScan y la devolución de instrucciones que debe realizarel cliente de OfficeScan si el servidor de políticas considera que está en riesgo. Elservidor de políticas valida un cliente de OfficeScan mediante unas reglas y políticasconfigurables.

A continuación se muestra la secuencia de sucesos que tienen lugar cuando un cliente deOfficeScan intenta acceder a la red:

1. El dispositivo de acceso a red de Cisco inicia la secuencia de validación mediante lasolicitud de la actitud de seguridad del cliente cuando éste intenta acceder a al red.

2. El dispositivo de acceso a red transmite la actitud de seguridad al servidor ACS.

3. El servidor ACS transmite la actitud de seguridad al servidor de políticas, el cualrealiza seguidamente la validación.

4. En un proceso independiente, el servidor de políticas sondea periódicamente elservidor de OfficeScan en busca de información del patrón de virus y del motor deescaneo antivirus para mantener actualizados los datos. A continuación utiliza unapolítica configurada por el usuario para comparar esta información con los datossobre la actitud de seguridad del cliente de OfficeScan.

5. El servidor de políticas crea entonces un símbolo de actitud que devuelve al clientede OfficeScan.


16-8

6. El cliente de OfficeScan realiza las acciones configuradas en el símbolo de actitud.

FIGURA 16-2. Secuencia de validación de acceso a la red


16-9

El Servidor de PolíticasEl servidor de políticas es el responsable de evaluar la actitud de seguridad del cliente deOfficeScan y de crear el símbolo de actitud. Compara la actitud de seguridad con lasversiones más recientes del patrón de virus y del motor de exploración antivirusobtenidos del servidor de OfficeScan al que pertenece el cliente de OfficeScan. Acontinuación devuelve el símbolo de actitud al servidor Cisco Secure ACS, que a su vezlo envía al cliente de OfficeScan desde el dispositivo de acceso a red de Cisco.

La instalación de servidores de políticas adicionales en una sola red puede mejorar elrendimiento cuando numerosos clientes intentan acceder a la red de forma simultánea.Estos servidores de políticas también pueden actuar como copia de seguridad si unservidor de políticas está inoperativo. Si hay varios servidores de OfficeScan en la red, elservidor de políticas gestiona las solicitudes de todos los servidores de OfficeScan queestán registrados en él. De forma similar, varios servidores de políticas pueden gestionarlas solicitudes de un único servidor de OfficeScan registrado en todos los servidores de


16-10

políticas. La figura siguiente muestra la relación de varios servidores de OfficeScan conservidores de políticas.

FIGURA 16-3. Relación de varios servidores de políticas o servidores de OfficeScan

También puede instalar el servidor de políticas en el mismo equipo que el servidor deOfficeScan.

Políticas y reglas del Servidor de PolíticasLos servidores de políticas utilizan políticas y reglas configurables para aplicar lasdirectrices de seguridad de la organización.

Las reglas incluyen criterios específicos que los servidores de políticas comparan con losdatos de la actitud de seguridad de los clientes de OfficeScan. Si la actitud de seguridaddel cliente coincide con los criterios configurados en una regla, el cliente y el servidorrealizarán las acciones que especifique en la regla (consulte Acciones del cliente de OfficeScany el servidor de políticas en la página 16-12).


16-11

Las políticas incluyen una o varias reglas. Asigne una política a cada uno de losservidores de OfficeScan registrados en la red para el modo de epidemia y para el modonormal (consulte Epidemias de riesgos de seguridad en la página 7-102 para obtener másinformación sobre los modos de red).

Si la actitud de seguridad del cliente de OfficeScan coincide con el criterio de una reglaque pertenece a la política, el cliente de OfficeScan realiza las acciones que se hayanconfigurado para esa regla. No obstante, incluso si la actitud de seguridad del cliente deOfficeScan no coincide con ninguno de los criterios de las reglas asociadas a la política,puede configurar acciones predeterminadas en la política para el cliente y el servidor deOfficeScan (consulte Acciones del cliente de OfficeScan y el servidor de políticas en la página16-12).

Consejo

si desea que varios clientes de OfficeScan de un dominio de OfficeScan tengan políticaspara el modo normal y de epidemia distintas a las de otros clientes de OfficeScan delmismo dominio, Trend Micro sugiere reestructurar los dominios para agrupar clientes deOfficeScan con requisitos similares (consulte Dominios de OfficeScan en la página 2-52).

Composición de las reglas

Las reglas incluyen criterios de actitud de seguridad, respuestas predeterminadasasociadas a clientes de OfficeScan y las acciones que realizan los clientes de OfficeScan yel servidor de políticas.

Criterios de la actitud de seguridad

Las reglas incluyen los siguientes criterios de actitud de seguridad:

• Estado del equipo cliente: indica si el equipo cliente de OfficeScan estáiniciándose o no.

• Estado de la exploración en tiempo real del cliente: indica si la exploración entiempo real está activada o desactivada.

• Actualidad de la versión del motor de exploración del cliente: indica si elMotor de exploración antivirus está actualizado.


16-12

• Estado del archivo de patrones de virus del cliente: indica el estado deactualización del patrón de virus. Para ello, el servidor de políticas comprueba losaspectos siguientes:

• Si el patrón de virus es un número concreto de versiones anterior a la versióndel servidor de políticas

• Si el patrón de virus estuvo disponible un determinado número de días antesde la validación

Respuestas predeterminadas para las reglas

Las respuestas ayudan a comprender el estado de los clientes de OfficeScan de la redcuando se realiza una validación de cliente de OfficeScan. Las respuestas, que aparecenen los registros de validación del cliente del servidor de políticas, se corresponden conlos símbolos de actitud. Seleccione una de las siguientes respuestas predeterminadas:

• No infectado: el equipo cliente de OfficeScan cumple las políticas de seguridad yno está infectado.

• Comprobación: el cliente de OfficeScan requiere una actualización de suscomponentes antivirus.

• Infectado: el equipo cliente de OfficeScan está infectado o tiene riesgo deinfección.

• Transición: el equipo cliente de OfficeScan está iniciándose.

• Poner en cuarentena: el equipo cliente de OfficeScan tiene un riesgo elevado deinfección y es necesario ponerlo en cuarentena.

• Desconocido: cualquier otra condición.

NotaLas respuestas no se pueden añadir, eliminar ni modificar.

Acciones del cliente de OfficeScan y el servidor de políticas

Si la actitud de seguridad del cliente de OfficeScan coincide con los criterios de lasreglas, el servidor de políticas puede crear una entrada en un registro de validación del


16-13

cliente del servidor de políticas. (consulte Registros de validación de clientes en la página 16-47para obtener más información).

Si la actitud de seguridad del cliente de OfficeScan coincide con los criterios de lasreglas, el cliente de OfficeScan puede realizar las acciones siguientes:

• Activar el escaneo en tiempo real en el cliente para que el cliente de OfficeScanpueda explorar todos los archivos abiertos o guardados (consulte Exploración entiempo real en la página 7-15 para obtener más información.)

• Actualizar todos los componentes de OfficeScan (consulte Componentes y programasde OfficeScan en la página 6-2 para obtener más información)

• Explorar el cliente de OfficeScan (Explorar ahora) tras activar la exploración entiempo real o realizar una actualización

• Mostrar un mensaje de notificación en el equipo cliente de OfficeScan

Reglas predeterminadas

El servidor de políticas incluye reglas predeterminadas que constituyen una buena basepara definir la configuración. Las reglas incluyen las condiciones y acciones de actitud deseguridad recomendadas y habituales. Las reglas siguientes están disponibles de manerapredeterminada:


16-14

TABLA 16-3. Reglas predeterminadas

NOMBRE DELA REGLA

CRITERIOSCOINCIDENTES

RESPUESTASI COINCIDEN

LOSCRITERIOS

ACCIÓNDEL

SERVIDOR

ACCIÓN DEL CLIENTE DEOFFICESCAN

no infectado El estado de laexploración entiempo real estáactivado, y elmotor deescaneoantivirus y elpatrón de virusestánactualizados.

no infectado Ninguna Ninguna


16-15

NOMBRE DELA REGLA



LOSCRITERIOS

ACCIÓNDEL

SERVIDOR


Comprobación

La versión delpatrón de viruses como mínimouna versiónanterior a laversión delservidor deOfficeScan conel que estéregistrado elcliente deOfficeScan.

Comprobación

Crear unaentradaen elregistrodevalidacióndel cliente

• Actualizar loscomponentes

• Ejecutarautomáticamente laacción Limpiar ahoraen el cliente deOfficeScan tras activarla exploración entiempo real o realizarla actualización

• Mostrar un mensaje denotificación en elequipo cliente deOfficeScan

ConsejoSi usa esta regla,utilice laimplementaciónautomática. De estaforma se garantizaque los clientes deOfficeScan recibanel último patrón devirusinmediatamentedespués de queOfficeScandescarguecomponentesnuevos.

Transición el equipo clientede OfficeScanestá iniciándose.

Transición Ninguna Ninguna


16-16

NOMBRE DELA REGLA



LOSCRITERIOS

ACCIÓNDEL

SERVIDOR


Cuarentena La versión delpatrón de viruses como mínimocinco versionesanteriores a laversión delservidor deOfficeScan conel que estéregistrado elcliente deOfficeScan.

Cuarentena Crear unaentradaen elregistrodevalidacióndel cliente

• Actualizar loscomponentes

• Ejecutarautomáticamente lasacciones Limpiarahora y Explorar ahoraen el cliente deOfficeScan tras activarla exploración entiempo real o realizarla actualización


Noprotegido

Estado de laexploración entiempo realdesactivado.

infectado Crear unaentradaen elregistrodevalidacióndel cliente

• Activar la exploraciónen tiempo real delcliente de OfficeScan


Composición de las políticasLas políticas incluyen un número cualquiera de reglas y respuestas y accionespredeterminadas.

• Aplicación de las reglas

El servidor de políticas aplica las reglas en un orden específico que le permiteestablecer una prioridad de las mismas. Modifique el orden de las reglas, añadareglas nuevas y elimine las reglas existentes de una política.

• Respuestas predeterminadas para las políticas


16-17

Como ocurre con las reglas, las políticas incluyen respuestas predeterminadas paraayudarle a comprender el estado de los clientes de OfficeScan de la red cuando serealiza una validación de cliente. No obstante, las respuestas predeterminadas estánasociadas a clientes solo cuando la actitud de seguridad del cliente NO coincide conalguna de las reglas de la política.

Las respuestas para las políticas son las mismas que se aplican a las reglas (consulteRespuestas predeterminadas para las reglas en la página 16-12 para ver la lista derespuestas).

• Acciones del cliente de OfficeScan y el servidor de políticas

El servidor de políticas aplica reglas a los clientes sometiendo la información deactitud del cliente de OfficeScan a cada una de las reglas asociadas a una política.Las reglas se aplican de arriba abajo tomando como base las reglas en usoespecificadas en la consola Web. Si la actitud del cliente de OfficeScan coincide concualquiera de las reglas, la acción correspondiente a la regla se implementa en elcliente de OfficeScan. Si no coincide ninguna regla, se aplica la reglapredeterminada y la acción correspondiente a la regla predeterminada seimplementa en los clientes.

La política de modo de epidemia predeterminada evalúa los clientes de mediante laregla "No infectado". Obliga a todos los clientes de OfficeScan que no cumplenesta regla a implementar inmediatamente las acciones correspondientes a larespuesta "Infectado".

La política de modo normal predeterminada evalúa los clientes de OfficeScanmediante las reglas que no son "No infectado" (Transición, No protegido, Poneren cuarentena, Comprobación). Clasifica todos los clientes de OfficeScan que nocumplen ninguna de estas reglas como "No infectado" y aplica las accionescorrespondientes a la regla "No infectado".

Políticas predeterminadas

El servidor de políticas incluye políticas predeterminadas que constituyen una buenabase para definir la configuración. Hay dos políticas disponibles: una para el modonormal y otra para el modo de epidemia.


16-18

TABLA 16-4. Políticas predeterminadas

NOMBRE DE LAPOLÍTICA

DESCRIPCIÓN

Política de modonormalpredeterminada

• Reglas predeterminadas asociadas con la política:Transición, No protegido, Poner en cuarentena yComprobación

• Respuesta predeterminada si no coincide ninguna regla: noinfectado

• Acción del servidor: Ninguna

• Acción del cliente de OfficeScan: Ninguna

Política de modo deepidemiapredeterminada

• Reglas predeterminadas asociadas con la política: noinfectado

• Respuesta predeterminada si no coincide ninguna regla:infectado

• Acción del servidor: Crear una entrada en el registro devalidación del cliente

• Acción del cliente de OfficeScan:

• activar la exploración en tiempo real

• Actualizar los componentes

• Ejecutar la acción Explorar ahora en el cliente deOfficeScan tras activar la exploración en tiempo real orealizar la actualización

• Mostrar un mensaje de notificación en el equipo clientede OfficeScan

Sincronización

Sincronice regularmente el servidor de políticas con los servidores de OfficeScanregistrados para mantener actualizadas las versiones del patrón de virus, del motor deescaneo antivirus y el estado de epidemia del servidor de políticas (modo normal omodo de epidemia) en relación con las del servidor de OfficeScan. Utilice los métodossiguientes para sincronizar:


16-19

• Manualmente: realice la sincronización en cualquier momento desde la pantallaResumen (consulte Información resumida sobre un Servidor de Políticas en la página16-44).

• Según un programa: establezca un programa de sincronización (consulte Tareasadministrativas en la página 16-47).

CertificadosLa tecnología de Cisco NAC utiliza los siguientes certificados digitales para estableceruna comunicación satisfactoria entre varios componentes:

TABLA 16-5. Certificados de Cisco NAC

CERTIFICADO DESCRIPCIÓN

certificado ACS Establece una comunicación de confianza entre el servidor ACSy el servidor de entidades emisoras de certificados (CA). Elservidor de entidades emisoras de certificados firma elcertificado ACS antes de guardarlo en el servidor ACS.

certificado CA Autentica los clientes de OfficeScan con el servidor Cisco ACS.El servidor de OfficeScan implementa el certificado CA en elservidor ACS y en los clientes de OfficeScan (junto con CiscoTrust Agent).

certificado SSL delservidor de políticas

Establece una comunicación HTTPS segura entre el servidor depolíticas y el servidor ACS. El programa de instalación delservidor de políticas genera automáticamente el certificado SSLdurante la instalación.

El certificado SSL del servidor de políticas es opcional. Sinembargo, utilícelo para garantizar que sólo se transmiten datoscifrados entre el servidor de políticas y el servidor ACS.


16-20

La siguiente figura muestra los pasos para crear e implementar los certificados ACS yCA:

FIGURA 16-4. Creación e implementación de los certificados ACS y CA

1. Cuando el servidor ACS emite una solicitud de firma de certificado para el servidorCA, la entidad emisora emite un certificado que recibe el nombre de certificadoACS. El certificado ACS se instala a continuación en el servidor ACS. ConsulteInscripción del servidor Cisco Secure ACS en la página 16-27 para obtener másinformación.

2. Se exporta un certificado CA desde el servidor CA y se instala en el servidor ACS.Consulte Instalación del certificado CA en la página 16-27 para obtener másinformación.


16-21

3. En el servidor de OfficeScan se guarda una copia del mismo certificado CA.

4. El servidor de OfficeScan implementa el certificado CA en los clientes deOfficeScan con el agente CTA. Consulte Implementación de Cisco Trust Agent en lapágina 16-30 para obtener más información.

El certificado CA

Los clientes de OfficeScan con instalaciones CTA se autentican con el servidor ACSantes de comunicar sus actitudes de seguridad. Existen varios métodos de autenticación(consulte la documentación de Cisco Secure ACS para obtener más información). Porejemplo, puede activar la autenticación de los equipos para Cisco Secure ACS medianteWindows Active Directory, que se puede configurar para crear automáticamente uncertificado de cliente de usuario final cuando se añada un nuevo equipo a ActiveDirectory. Si desea más información, consulte el artículo 313407 de la base deconocimientos de Microsoft, CÓMO: Crear solicitudes de certificados automáticas condirectiva de grupo en Windows.

Para los usuarios que disponen de su propio servidor de entidades emisoras decertificados (CA), pero cuyos clientes de usuarios finales todavía no tienen certificados,OfficeScan ofrece un mecanismo para distribuir un certificado raíz a los clientes deOfficeScan. Distribuya el certificado durante la instalación de OfficeScan o desde laconsola OfficeScan Web. OfficeScan distribuye el certificado cuando implementa CiscoTrust Agent en los clientes de OfficeScan (consulte Implementación de Cisco Trust Agent enla página 16-30).

NotaSi ya ha adquirido un certificado de una entidad emisora de certificados o ha creado supropio certificado y lo ha distribuido a los clientes de OfficeScan de usuarios finales, noserá necesario que vuelva a hacerlo.

Antes de distribuir el certificado a los clientes de OfficeScan, inscríbase en el servidorACS con el servidor CA y prepare el certificado (consulte Inscripción del servidor Cisco SecureACS en la página 16-27 para obtener información detallada).


16-22

Requisitos del sistema del Servidor dePolíticas

Antes de instalar el servidor de políticas, compruebe si el equipo cumple los requisitossiguientes:

TABLA 16-6. Requisitos del sistema del Servidor de Políticas

HARDWARE /SOFTWARE

REQUISITOS

Sistema operativo • Windows 2000 Professional con Service Pack 4

• Windows 2000 Server con Service Pack 4

• Windows 2000 Advanced Server con Service Pack 4

• Windows XP Professional con Service Pack 3 o posterior(versiones de 32 y 64 bits)

• Windows Server 2003 (Standard y Enterprise Editions) conService Pack 2 o posterior (versiones de 32 y 64 bits)

Hardware • Procesador Intel Pentium II a 300 MHz o equivalente


• 300MB de espacio libre en disco

• Monitor con una resolución de 800 x 600 de 256 colores osuperior

Servidor Web • Microsoft Internet Information Server (IIS) 5.0 ó 6.0

• Servidor Web de Apache 2.0 o posterior (solo para Windows2000/XP/Server 2003)


16-23

HARDWARE /SOFTWARE

REQUISITOS

Consola Web Para utilizar la consola Web del servidor de OfficeScan se debencumplir los siguientes requisitos:

• Procesador Intel Pentium a 133MHz o equivalente


• 30MB de espacio libre en disco

• Monitor con una resolución de 800 x 600 de 256 colores osuperior

• Microsoft Internet Explorer 5.5 o posterior

Requisitos de Cisco Trust Agent (CTA)Antes de implementar Cisco Trust Agent en los equipos cliente, compruebe si losequipos cumplen los requisitos siguientes:

Nota

Cisco Trust Agent no es compatible con IPv6. No se puede implementar el agente enpuntos finales que solo utilicen IPv6.

TABLA 16-7. Requisitos de Cisco Trust Agent (CTA)

HARDWARE /SOFTWARE

REQUISITOS

Sistema operativo • Windows 2000 Professional y Server con Service Pack 4

• Windows XP Professional con Service Pack 3 o posterior(versión de 32 bits)

• Windows Server 2003 (Standard y Enterprise Edition) conService Pack 2 o posterior (versión de 32 bits)


16-24

HARDWARE /SOFTWARE

REQUISITOS

Hardware • Procesadores Pentium sencillos o múltiples a 200 MHz

• 128 MB de RAM para Windows 2000

• 256 MB de memoria RAM para Windows XP y WindowsServer 2003

• 5 MB de espacio disponible en disco (20 MB recomendados)

Otros • Windows Installer 2.0 o posterior

Requisitos y plataformas compatiblesLas plataformas siguientes admiten la funcionalidad de Cisco NAC:

TABLA 16-8. Requisitos y plataformas compatibles

PLATAFORMACOMPATIBLE

MODELOS IMÁGENES IOS MEMORIA/MEMORIAFLASH MÍNIMA

Enrutadores

Cisco 830, 870series

831, 836, 837 IOS 12.3(8) oposterior

48MB/8MB

Cisco 1700 series 1701, 1711, 1712,1721, 1751, 1751-V,1760

IOS 12.3(8) oposterior

64MB/16MB

Cisco 1800 series 1841 IOS 12.3(8) oposterior

128MB/32MB

Cisco 2600 series 2600XM, 2691 IOS 12.3(8) oposterior

96MB/32MB

Cisco 2800 series 2801, 2811, 2821,2851


128MB/64MB

Cisco 3600 series 3640/3640A, 3660-ENT series


48MB/16MB


16-25

PLATAFORMACOMPATIBLE

MODELOS IMÁGENES IOS MEMORIA/MEMORIAFLASH MÍNIMA

Cisco 3700 series 3745, 3725 IOS 12.3(8) oposterior

128MB/32MB

Cisco 3800 series 3845, 3825 IOS 12.3(8) oposterior

256MB/64MB

Cisco 7200 series 720x, 75xx IOS 12.3(8) oposterior

128MB/48MB

Concentradores VPN

Cisco VPN 3000Series

3005 - 3080 V4.7 o posterior N/D

Modificadores de comando

Cisco Catalyst 2900 2950, 2970 IOS 12.1(22)EA5 N/D

Cisco Catalyst 3x00 3550, 3560, 3750 IOS 12.2(25)SEC N/D

Cisco Catalyst 4x00 Supervisor 2+ osuperior

IOS 12.2(25)EWA N/D

Cisco Catalyst 6500 6503, 6509,Supervisor 2 osuperior

CatOS 8.5 oposterior

Sup2 - 128 MB,Sup32 - 256 MB,Sup720 - 512 MB

Puntos de acceso inalámbrico

Cisco AP1200Series

1230 N/D N/D

Implementación de Policy Server for NACLos procedimientos siguientes se explican para que sirvan de referencia y están sujetos acambios según las actualizaciones de las interfaces de Microsoft o Cisco.

Antes de realizar cualquiera de las tareas, compruebe que el/los dispositivo(s) de accesoa red utilizado(s) es/son compatible(s) con Cisco NAC (consulte Requisitos y plataformascompatibles en la página 16-24). Consulte la documentación de los dispositivos para ver las


16-26

instrucciones de instalación y configuración. Instale además el servidor ACS en la red.Consulte la documentación de Cisco Secure ACS para ver más información.

1. Instale el servidor de OfficeScan en la red (consulte la Guía de instalación yactualización).

2. Instale el programa cliente de OfficeScan en todos los clientes en lo que desea quePolicy Server evalúe la protección antivirus.

3. Inscribir el servidor Cisco Secure ACS. Establezca una relación de confianza entreel servidor ACS y un servidor de entidades emisoras de certificados (CA) haciendoque el servidor ACS emita una solicitud de firma de certificado. A continuación,guarde el certificado firmado de CA (denominado certificado ACS) en el servidorACS (consulte Inscripción del servidor Cisco Secure ACS en la página 16-27 para obtenerinformación detallada).

4. Exporte el certificado CA al servidor ACS y conserve una copia en el servidor deOfficeScan. Este paso solo es necesario cuando no se ha implementado uncertificado en los clientes ni en el servidor ACS (consulte Instalación del certificado CAen la página 16-27).

5. Implemente Cisco Trust Agent y el certificado CA en todos los clientes deOfficeScan para que éstos puedan enviar información sobre actitudes de seguridadal servidor de políticas (consulte Implementación de Cisco Trust Agent en la página16-30).

6. Instale Policy Server for Cisco NAC para gestionar las solicitudes del servidor ACS(consulte Instalación del Servidor de Políticas para Cisco NAC en la página 16-35).

7. Exporte un certificado SSL desde el servidor de políticas hasta el servidor CiscoACS para establecer comunicaciones SSL seguras entre los dos servidores (consulteInstalación del Servidor de Políticas para Cisco NAC en la página 16-35).

8. Configure el servidor ACS para reenviar solicitudes de validación de actitud alservidor de políticas (consulte Configuración del servidor ACS en la página 16-41).

9. Configurar Policy Server for NAC. Cree y modifique las reglas y políticas delservidor de políticas para aplicar la estrategia de seguridad de la organización a losclientes de OfficeScan (consulte Configuración del Servidor de Políticas para Cisco NACen la página 16-42).


16-27

Inscripción del servidor Cisco Secure ACSInscriba el servidor Cisco Secure ACS en el servidor de entidades emisoras decertificados (CA) para establecer una relación de confianza entre los dos servidores. Elsiguiente procedimiento se aplica a los usuarios que utilicen un servidor CA de Windowspara administrar los certificados de la red. Consulte la documentación del proveedor siutiliza otra aplicación o servicio CA y consulte la documentación del servidor ACS paraobtener instrucciones sobre cómo inscribir un certificado.

Instalación del certificado CAEl cliente de OfficeScan se autentica con el servidor ACS antes de enviar informaciónsobre la actitud de seguridad. El certificado CA es necesario para que se produzca laautenticación. En primer lugar, exporte el certificado CA desde el servidor CA hasta elservidor ACS y el servidor de OfficeScan y, a continuación, cree el paquete deimplementación del agente CTA. Este paquete incluye el certificado CA (consulte Elcertificado CA en la página 16-21 y Implementación de Cisco Trust Agent en la página 16-30).

Lleve a cabo lo siguiente para exportar e instalar el certificado CA:

• Exporte el certificado CA desde el servidor de entidades emisoras de certificados.

• Instálelo en el servidor Cisco Secure ACS.

• Guarde una copia en el servidor de OfficeScan.

NotaEl siguiente procedimiento se aplica a los usuarios que utilicen un servidor CA de Windowspara administrar los certificados de la red. Consulte la documentación del proveedor siutiliza otra aplicación o servicio CA.

Exportar e instalar el certificado de entidad emisora (CA)para su distribución

Procedimiento

1. Exporte el certificado desde el servidor de entidades emisoras de certificados (CA):


16-28

a. En el servidor CA, haga clic en Inicio > Ejecutar.

Aparecerá la pantalla Ejecutar.

b. Escriba mmc en el cuadro Abrir.

Aparecerá una nueva pantalla en la consola de administración.

c. Haga clic en Archivo > Agregar o quitar complemento.

Aparecerá la pantalla Agregar o quitar complemento.

d. Haga clic en Certificados y a continuación en Agregar.

Aparecerá la pantalla Complemento de certificados.

e. Haga clic en Cuenta de equipo y en Siguiente.

Aparecerá la pantalla Seleccione el equipo.

f. Haga clic en Equipo local y en Finalizar.

g. Haga clic en Cerrar para cerrar la pantalla Agregar un complementoindependiente.

h. Haga clic en Aceptar para cerrar la pantalla Agregar o quitar complemento.

i. En la vista en árbol de la consola, haga clic en Certificados > Raíz deconfianza > Certificados.

j. Seleccione el certificado para distribuirlo en los clientes y el servidor ACS dela lista.

k. Haga clic en Acción > Todas las tareas > Exportar....

Aparecerá el Asistente para exportación de certificados.

l. Haga clic en Siguiente.

m. Haga clic en DER binario codificado x.509 y seleccione Siguiente.

n. Escriba un nombre de archivo y busque un directorio al que exportar elcertificado.

o. Haga clic en Siguiente.


16-29

p. Por último, haga clic en Finalizar.

Aparecerá una ventana de confirmación.

q. Haga clic en Aceptar.

2. Instale el certificado en el servidor Cisco Secure ACS.

a. Haga clic en System Configuration > ACS Certificate Setup > ACSCertification Authority Setup.

b. Escriba la ruta de acceso completa y el nombre de archivo del certificado en elcampo CA certificate file.

c. Haga clic en Submit. Cisco Secure ACS le solicitará que reinicie el servicio.

d. Haga clic en System Configuration > Service Control.

e. Haga clic en Restart. El servidor Cisco Secure ACS se reiniciará.

f. Haga clic en System Configuration > ACS Certificate Management >Edit Certificate Trust List. Aparecerá la pantalla Edit Certificate TrustList.

g. Active las casillas de verificación correspondientes al certificado que haimportado en el paso b y haga clic en Submit. Cisco Secure ACS le solicitaráque reinicie el servicio.

h. Haga clic en System Configuration > Service Control.

i. Haga clic en Restart. El servidor Cisco Secure ACS se reiniciará.

3. Copie el certificado (archivo .cer) en el Equipo del servidor de OfficeScan paraimplementarlo en el cliente con el agente CTA (consulte para obtener másinformación).

Nota

Almacene el certificado en una unidad local y no en unidades asignadas.


16-30

Implementación de Cisco Trust Agent

Cisco Trust Agent (CTA), un programa integrado en el servidor de OfficeScan y que seinstala en los clientes, permite al cliente de OfficeScan comunicar información antivirusal servidor Cisco ACS.

Nota

Cisco Trust Agent no es compatible con IPv6. No se puede implementar el agente enpuntos finales que solo utilicen IPv6.

Implementar CTA durante la instalación del servidor deOfficeScan

Si ya ha preparado un certificado CA antes de instalar el servidor de OfficeScan,implemente el agente CTA durante la instalación del servidor de OfficeScan. La opciónde implementar el agente CTA se encuentra en la pantalla Instalar otros programas deOfficeScan de la instalación. Para obtener instrucciones sobre cómo instalar el servidorde OfficeScan, consulte el Manual de instalación y actualización.

Procedimiento

1. En la pantalla Instalar otros programas de OfficeScan, seleccione Cisco TrustAgent for Cisco NAC.

2. Si ya ha distribuido los certificados a los clientes de usuarios finales de Cisco SecureNAC, haga clic en Siguiente; de lo contrario, realice lo siguiente para distribuir loscertificados:

a. Haga clic en Importar certificado.

b. Busque y seleccione el archivo de certificados preparado y haga clic enAceptar.

Para obtener instrucciones sobre cómo preparar un archivo de certificado,consulte Instalación del certificado CA en la página 16-27.

c. Haga clic en Siguiente.


16-31

3. Continúe con la instalación del servidor de OfficeScan.

Implementar CTA desde la consola OfficeScan Web

Si no selecciona la opción de instalar/actualizar el CTA durante la instalación delservidor, puede hacerlo posteriormente desde la consola Web. Antes de instalar oactualizar el CTA, implemente el certificado de cliente en los clientes de OfficeScan.

Nota

Un servidor de entidades emisoras de certificados (CA) es el que genera el archivo decertificados del cliente. Solicite un archivo de certificados a su representante de TrendMicro.

Cuando esté listo para la instalación o actualización, compruebe la versión del CTA quese va a instalar en Cisco NAC > Administración de agentes y, a continuación, instaleel CTA en los clientes de OfficeScan en Cisco NAC > Implementación del agente.La pantalla Implementación del agente también le ofrece la opción de desinstalar elCTA.

Instale Windows Installer 2.0 para NT 4.0 en clientes de OfficeScan que ejecutenWindows 2000/XP antes de proceder a implementar el CTA.

Importar el certificado de cliente

El certificado de cliente (o CA) autentica los clientes de OfficeScan de los usuariosfinales con el servidor Cisco ACS. El servidor de OfficeScan implementa el certificadoCA en los clientes de OfficeScan junto con el Cisco Trust Agent (CTA). Además,importa el certificado al servidor de OfficeScan antes de implementar el agente CTA.

Procedimiento

1. Abra la consola Web del servidor de OfficeScan y haga clic en Cisco NAC >Certificado de cliente.

2. Escriba la ruta de archivo exacta del certificado.


16-32

3. Escriba la ruta de acceso completa y el nombre del archivo del certificado CApreparado que se encuentra almacenado en el servidor (por ejemplo: C:\CiscoNAC\certificado.cer). Para obtener instrucciones sobre cómopreparar un certificado CA, consulte Instalación del certificado CA en la página 16-27.

4. Haga clic en Importar.

Para borrar el campo, haga clic en Restablecer.

Versión de Cisco Trust Agent

Antes de instalar el CTA en los clientes, compruebe la versión de CTA (Cisco TrustAgent o Cisco Trust Agent Supplicant) que se instalará. La única diferencia entre las dosversiones es que el paquete Supplicant ofrece una autenticación de capa 2 para el equipoy el usuario final.

Si el servidor Cisco NAC Access Control Server (ACS) es de la versión 4.0 o superior,actualice Cisco Trust Agent en los clientes a la versión 2.0 o posterior.

Comprobar la versión de CTA

Procedimiento

1. Abra la consola Web del servidor de OfficeScan y haga clic en Cisco NAC >Administración de agentes.

2. Haga clic en Usar <Versión de CTA>.

El servidor de OfficeScan empezará a utilizar la nueva versión.

Reemplazar manualmente el paquete de CTA

Reemplace manualmente el paquete de CTA en el servidor de OfficeScan si hay unaversión específica que desea utilizar.

Procedimiento

1. En la versión del agente CTA que desee utilizar, copie el archivo .msi de CTA enla siguiente carpeta:


16-33

• <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\CTA\CTA-Package

• <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\CTA\ CTA-Supplicant-Package

2. Copie los siguientes archivos en <Carpeta de instalación delservidor>\ PCCSRV\Admin\Utility\CTA\PosturePlugin:TmabPP.dll, tmabpp.inf y TmAbPpAct.exe.

3. En la consola Web, vaya a Cisco NAC > Administración de agentes y haga clicen Usar <Versión de CTA>.

Una vez finalizada la actualización del agente, los archivos se comprimen en el archivoPostureAgent.zip como un paquete de implementación de CTA, en <Carpeta deinstalación del servidor>\PCCSRV\download\Product.

Implementar el agente Cisco Trust Agent

Implemente el Cisco Trust Agent para activar el cliente de OfficeScan para que envíeinformación del antivirus a Cisco ACS.

Procedimiento

1. Desplácese a Cisco NAC > Implementación del agente.


3. Haga clic en Implementar agente.

4. Si no acepta los términos del contrato de licencia de Cisco durante la instalación delservidor de OfficeScan, aparece la información de la licencia. Lea el contrato delicencia y haga clic en Sí para aceptar las condiciones.

5. Seleccione Instalar/Actualizar Cisco Trust Agent.

6. (Opcional) Seleccione Desinstalar Cisco Trust Agent cuando se desinstale elcliente de OfficeScan.


16-34

Nota

Utilice también esta pantalla para desinstalar o conservar el estado del agente CTA delos clientes.

Mantener el estado de CTA significa evitar que una instalación sobrescriba CTA si seencuentra instalado. A menos que esté realizando una actualización o que esté segurode que nunca ha instalado CTA en ninguno de los clientes seleccionados, deberíautilizar esta opción; de lo contrario, el servidor volverá a instalar CTA y se perderá laconfiguración.




Nota

Si el cliente de OfficeScan en el que implementa el agente no está conectado, cuandohaga clic en Instalar Cisco Trust Agent, OfficeScan completará automáticamente lasolicitud de la tarea cuando el cliente de OfficeScan se conecte.

Comprobación de la instalación de Cisco Trust Agent

Después de implementar el agente CTA en los clientes de OfficeScan, compruebe que lainstalación se haya realizado correctamente mediante el árbol de clientes. El árbol declientes debe contener una columna llamada Programa CTA, que aparece en las vistasActualizar, Ver todo o Antivirus. Las instalaciones CTA correctas contienen elnúmero de versión del programa CTA.

Además, compruebe que los siguientes procesos se están ejecutando en el equipo cliente:


16-35

• ctapsd.exe

• ctaEoU.exe

• ctatransapt.exe

• ctalogd.exe

Instalación del Servidor de Políticas para Cisco NACExisten dos maneras de instalar un servidor de políticas:

• Con el instalador del servidor de políticas del disco Enterprise DVD

• Con el instalador maestro del servidor de OfficeScan (que instala tanto el servidorde OfficeScan como el servidor de políticas en el mismo equipo)

NotaLa instalación maestra instala tanto el servidor de OfficeScan como la consola Web delservidor de políticas en un servidor Web de Apache o IIS. Si el instalador no encuentraningún servidor Apache en el sistema, o si la instalación del servidor Apache existente esdiferente a la versión 2.0, el instalador procederá automáticamente a instalar el servidorApache versión 2.0.

El servidor ACS, el servidor de políticas y el servidor de OfficeScan deben estar ubicadosen un mismo segmento de red para garantizar una comunicación eficaz.

Antes de instalar el servidor Web de Apache, consulte el sitio Web de Apache paraobtener la información más reciente sobre actualizaciones, parches y otros temas deseguridad en:

http://www.apache.org

Instalar el servidor de políticas mediante el instalador delservidor de políticas

Procedimiento

1. Inicie una sesión en el equipo en el que desee instalar Policy Server for Cisco NAC.

http://www.apache.org


16-36

2. Vaya al paquete de instalación de Policy Server for Cisco NAC que se encuentra enel disco Enterprise CD.

3. Haga doble clic en setup.exe para ejecutar el instalador.

4. Siga las instrucciones de instalación.

Puede instalar el servidor de políticas en el equipo del servidor de OfficeScan.

Instalar Policy Server for Cisco NAC desde el instaladormaestro del servidor de OfficeScan

Procedimiento

1. En la pantalla Instalar otros programas de OfficeScan del instalador maestro delservidor de OfficeScan, seleccione Policy Server for Cisco NAC.


3. Continúe con la instalación del servidor de OfficeScan hasta que aparezca lapantalla Bienvenido de Trend Micro Policy Server for Cisco NAC.


Aparecerá la pantalla Contrato de licencia de Policy Server for Cisco NAC.

5. Lea el contrato y haga clic en Sí para continuar.

Aparecerá la pantalla Seleccione la ubicación de destino.

6. Modifique la ubicación de destino predeterminada si es necesario haciendo clic enExaminar y seleccione un nuevo destino para la instalación del servidor depolíticas.


Aparecerá la pantalla Servidor Web.

8. Seleccione el servidor Web para el servidor de políticas:

• Instalar el servidor de políticas en el servidor IIS: haga clic para realizar lainstalación en una instancia de servidor Web IIS existente.


16-37

• Servidor Web Apache 2.0: haga clic para instalar en un servidor Web deApache 2.0.


Aparecerá la pantalla Configuración del servidor Web.

10. Configure la siguiente información:

a. Si decide instalar el servidor de políticas en un servidor IIS, seleccione una deestas opciones:

• Sitio Web de IIS predeterminado: haga clic para instalarlo como unsitio Web de IIS predeterminado.

• Sitio Web de IIS virtual: haga clic para instalarlo como un sitio Webvirtual de IIS.

b. Junto a Puerto, escriba el puerto que se utilizará para la escucha del servidor.

si el servidor de políticas y el servidor de OfficeScan se instalan en el mismoequipo y utilizan el mismo servidor Web, los números de puertos deberán serlos siguientes:

• Servidor Web de Apache/Servidor Web IIS en un sitio Webpredeterminado: el servidor de políticas y el servidor de OfficeScancomparten el mismo puerto.

• Ambos en el servidor Web IIS en un sitio Web virtual: el puerto deescucha predeterminado del servidor de políticas es el puerto 8081 y elpuerto SSL, el 4344. El puerto de escucha predeterminado del servidorde OfficeScan es el 8080 y el puerto SSL, el 4343.

c. Si selecciona instalar el servidor de políticas en un servidor IIS, puede utilizarla seguridad SSL (Secured Socket Layer, capa de conexión segura). Escriba elnúmero de puerto SSL y el número de años de validez del certificado SSL (laopción predeterminada es 3 años).

Si activa SSL, este número de puerto se utilizará como el puerto de escuchadel servidor. La dirección del servidor de políticas será la siguiente:

• http://<nombre del servidor de políticas>:<número depuerto>


16-38

• https://<nombre del servidor de políticas>:<númerode puerto> (si activa SSL)


12. Especifique la contraseña de la consola del servidor de políticas y haga clic enSiguiente.

13. Especifique la contraseña de autenticación del servidor ACS y haga clic enSiguiente.

14. Revise la configuración de instalación. Si está de acuerdo con la configuración, hagaclic en Siguiente para iniciar la instalación. De lo contrario, haga clic en Atrás paravolver a las pantallas anteriores.

15. Una vez finalizada la instalación, haga clic en Finalizar.

El instalador maestro del servidor de OfficeScan continuará con el resto de lainstalación del servidor de OfficeScan.

Preparación del certificado SSL del Servidor de PolíticasPara establecer una conexión SSL segura entre el servidor ACS y el servidor de políticas,prepare un certificado para uso exclusivo con SSL. El programa de instalación generaautomáticamente el certificado SSL.

Preparar el certificado SSL del servidor de políticas de IIS

Procedimiento

1. Exporte el certificado desde Certification Store en mmc.

a. En el servidor de políticas, haga clic en Inicio > Ejecutar.

Aparecerá la pantalla Ejecutar.

b. Escriba mmc en el cuadro Abrir.

Aparecerá una nueva pantalla en la consola de administración.


16-39

c. Haga clic en Consola > Agregar o quitar complemento.

Aparecerá la pantalla Agregar o quitar complemento.

d. Haga clic en Agregar.

Aparecerá la pantalla Agregar un complemento independiente.

e. Haga clic en Certificados y a continuación en Agregar.

Aparecerá la pantalla Complemento de certificados.

f. Haga clic en Cuenta de equipo y en Siguiente.

Aparecerá la pantalla Seleccione el equipo.

g. Haga clic en Equipo local y en Finalizar.

h. Haga clic en Cerrar para cerrar la pantalla Agregar un complementoindependiente.

i. Haga clic en Aceptar para cerrar la pantalla Agregar o quitar complemento.

j. En la vista en árbol de la consola, haga clic en Certificados (equipo local) >Entidades emisoras de certificados > Certificados.

k. Seleccione el certificado de la lista.

NotaCompruebe la huella digital del certificado haciendo doble clic en el certificadoy seleccionando Propiedades. La huella digital debe ser la misma que la delcertificado ubicado en la consola IIS.

Para comprobarlo, abra la consola IIS y haga clic con el botón derecho delratón en sitio Web virtual o sitio Web predeterminado (en función del sitioWeb en el que haya instalado el servidor de políticas) y, a continuación,seleccione Propiedades. Haga clic en Seguridad de directorio y acontinuación en Ver certificado para ver los detalles del certificado, incluida lahuella digital.

l. Haga clic en Acción > Todas las tareas > Exportar.... Aparecerá elAsistente para exportación de certificados.

m. Haga clic en Siguiente.


16-40

n. Haga clic en x.509 binario codificado en DER o X.509 codificado enBase 64 y, a continuación, en Siguiente.

o. Escriba un nombre de archivo y busque un directorio al que exportar elcertificado.

p. Haga clic en Siguiente.

q. Por último, haga clic en Finalizar. Aparecerá una ventana de confirmación.

r. Haga clic en Aceptar.


a. En la consola Web del servidor ACS, haga clic en System Configuration >ACS Certificate Setup > ACS Certification Authority Setup.


c. Haga clic en Submit. Cisco Secure ACS le solicitará que reinicie el servicio.


e. Haga clic en Restart. El servidor Cisco Secure ACS se reiniciará.

Preparar el certificado SSL del servidor de políticas deApache

Procedimiento

1. Exporte el certificado desde Certification Store en mmc.

a. Obtenga el archivo de certificados server.cert. La ubicación del archivodepende del servidor que haya instalado en primer lugar (servidor deOfficeScan o servidor de políticas):

• Si ha instalado el servidor de OfficeScan antes que el servidor depolíticas, el archivo estará ubicado en el siguiente directorio: <Carpeta deinstalación del servidor>\PCCSRV\Private\certificate


16-41

• Si ha instalado el servidor de políticas antes que el servidor deOfficeScan, el archivo estará ubicado en el siguiente directorio:<Carpeta de instalación del servidor>\PolicyServer\Private\certificate

b. Copie el archivo de certificados en el servidor ACS.


a. En la consola Web del servidor ACS, haga clic en System Configuration >ACS Certificate Setup > ACS Certification Authority Setup.


c. Haga clic en Submit.

Cisco Secure ACS le solicitará que reinicie el servicio.


e. Haga clic en Restart.

El servidor Cisco Secure ACS se reiniciará.

Configuración del servidor ACS

Para permitir que el servidor Cisco Secure ACS transfiera solicitudes de autenticación aPolicy Server for Cisco NAC, añada Policy Server for Cisco NAC a External Policiespara que la base de datos de usuarios externos lo utilice para la autenticación. Consulte ladocumentación del servidor ACS para obtener instrucciones sobre cómo añadir elservidor de políticas a una nueva política externa.

Nota

Configure el servidor ACS para que realice tareas como el bloqueo del acceso del cliente ala red. Estas funciones del servidor ACS están fuera del alcance de la implementación deTrend Micro Policy Server for Cisco NAC y no se describen en este documento. Consultela documentación del servidor ACS para saber cómo configurar otras funciones de ACS.


16-42

Configuración del Servidor de Políticas para Cisco NACDespués de instalar OfficeScan y el servidor de políticas e implementar el cliente deOfficeScan y Cisco Trust Agent, debe configurar Policy Server for Cisco NAC. Paraconfigurar un servidor de políticas, acceda a la consola Web del servidor de políticasdesde la consola Web de OfficeScan; vaya a Cisco NAC > Servidores de políticas yhaga clic en el enlace Servidor de políticas.

Este apartado describe los siguientes aspectos sobre la configuración del servidor depolíticas:

• Configuración del Servidor de Políticas desde OfficeScan en la página 16-43 describe cómoadministrar los servidores de políticas desde la consola Web de OfficeScan.

• Información resumida sobre un Servidor de Políticas en la página 16-44 muestra cómoobtener una visión general de los servidores de políticas de la red.

• Registro del Servidor de Políticas en la página 16-45 es el primer paso para configurar unservidor de políticas.

• Reglas en la página 16-46 le indica cómo crear y editar las reglas que forman laspolíticas.

• Políticas en la página 16-46 ilustra cómo crear y editar las políticas que determinaránfinalmente la evaluación de las actitudes de seguridad de los clientes por parte delservidor de políticas.

• Registros de validación de clientes en la página 16-47 ofrece una visión general del uso delos registros para comprender el estado de la actitud de seguridad de los clientes dela red.

• Mantenimiento de los registros de clientes en la página 16-47 ofrece una introducciónsobre cómo mantener el tamaño de los registros de validación de los clientes.

• Tareas administrativas en la página 16-47 describe cómo modificar la contraseña delservidor de políticas y definir un programa para la sincronización.


16-43

Configuración del Servidor de Políticas desde OfficeScanEl primer paso para configurar los servidores de políticas consiste en añadir losservidores de políticas instalados al servidor de OfficeScan. Esto le permite abrir laconsola Web del servidor de políticas desde la consola OfficeScan Web.

Agregar un servidor de políticas de OfficeScan

Procedimiento

1. En el menú principal de la consola OfficeScan Web, haga clic en Cisco NAC >Servidores de políticas.

Aparecerá la pantalla Servidores de políticas con una lista de todos los servidoresde políticas.


Aparecerá la pantalla Servidores de políticas.

3. Escriba la dirección completa del servidor de políticas y el número de puerto queutiliza el servidor para la comunicación HTTPS (por ejemplo: https://servidor de políticas:4343/). Escriba también una descripción opcionaldel servidor.

4. Escriba una contraseña para el inicio de sesión en la consola Web del servidor depolíticas.


Eliminar un servidor de políticas de OfficeScan

Procedimiento


Aparecerá la pantalla Servidores de políticas con una lista de los servidores depolíticas.


16-44

2. Active la casilla de verificación junto al servidor que desee eliminar.


NotaPara validar todos los clientes de la red, añada todos los servidores de OfficeScan aun servidor de políticas como mínimo.

Información resumida sobre un Servidor de PolíticasLa pantalla Resumen contiene información sobre el servidor de políticas, como losparámetros de configuración de políticas y reglas, registros de validación de clientes yservidores de OfficeScan registrados con un servidor de políticas.

La dirección IP y el número de puerto de Policy Server for Cisco NAC aparecen en laparte superior de la pantalla Resumen.

La tabla Resumen de la configuración muestra el número de servidores de OfficeScanregistrados con el servidor de políticas, las políticas y las reglas que las componen.

Ver y modificar los detalles del resumen de la configuración deun servidor de políticas

Procedimiento


Aparecerá la pantalla Servidores de políticas con una lista de los servidores depolíticas.

2. Haga clic en el nombre del servidor de políticas cuya información desee visualizar.

Aparecerá la pantalla Resumen con la tabla Resumen de la configuración.

3. Haga clic en el enlace situado junto al elemento cuya configuración desee visualizar:

• Servidor(es) de OfficeScan registrado(s): los servidores de OfficeScan quese encuentran actualmente en la red.


16-45

• Políticas: las políticas del servidor de políticas que pueden utilizar losservidores de OfficeScan registrados.

• Regla (s): las reglas del servidor de políticas que forman las políticas.

ConsejoSi desea multiplicar servidores de políticas en la red para disponer de la mismaconfiguración, incluidas las mismas reglas y políticas, exporte la configuración de unservidor e impórtela en otro servidor. Trend Micro recomienda definir la mismaconfiguración en todos los servidores de políticas de la red para mantener un políticaantivirus homogénea.

Sincronizar el servidor de políticas con los servidores deOfficeScan registrados

Procedimiento

1. En la pantalla Resumen, haga clic en Sincronizar con OfficeScan. Aparecerá lapantalla Resumen del resultado de la sincronización con la siguienteinformación de solo lectura:

• Nombre del servidor de OfficeScan: muestra el nombre del host o ladirección IP y el número de puerto de los servidores de OfficeScanregistrados.

• Resultado de la sincronización: indica si la sincronización se ha realizadocorrectamente o no.

• Última sincronización: muestra la fecha de la última sincronización realizadacorrectamente.

Para obtener más información sobre la sincronización, consulte Sincronización en la página16-18.

Registro del Servidor de PolíticasRegistre el servidor de políticas con al menos un servidor de OfficeScan para que elservidor de políticas pueda obtener información sobre las versiones del Patrón de virus y


16-46

del Motor de Escaneo de Virus: Consulte Secuencia de validación del cliente en la página 16-7para obtener más información sobre la función que desempeña el servidor deOfficeScan durante el proceso de validación.

Nota

Para que el servidor de políticas pueda validar todos los clientes de la red, añada todos losservidores de OfficeScan a un servidor de políticas como mínimo.

Añada un nuevo servidor de OfficeScan o edite la configuración de uno que ya existadesde la pantalla de servidores de OfficeScan, a la que puede acceder a través de laconsola Web del servidor de políticas y haciendo clic en Configuraciones > Servidoresde OfficeScan.

Reglas

Las reglas son los bloques de construcción que conforman las políticas. Laconfiguración de las reglas es el próximo paso en la configuración del servidor depolíticas. Consulte Composición de las reglas en la página 16-11 para obtener másinformación.

Para acceder a las pantallas de la consola Web correspondientes a las políticas de CiscoACS, vaya a la consola Web del Servidor de políticas y haga clic en Configuraciones >Reglas en el menú principal.

Políticas

Después de configurar las reglas nuevas o de asegurarse de que las reglaspredeterminadas son adecuadas para la aplicación de la seguridad es preciso configurarlas políticas de forma que las puedan utilizar los servidores de OfficeScan registrados.Consulte Composición de las políticas en la página 16-16 para obtener más información.

Añada una nueva política de Cisco NAC o edite una existente para determinar qué reglasse aplican actualmente y para tomar las medidas oportunas en los clientes en el caso deque la actitud de seguridad de los mismos no coincida con ninguna regla.


16-47

Para acceder a las pantallas de la consola Web correspondientes a las políticas de CiscoACS, vaya a la consola Web del Servidor de políticas y haga clic en Configuraciones >Políticas en el menú principal.

Registros de validación de clientesUtilice los registros de validación de clientes para visualizar información detallada sobrelos clientes cuando se validan con el servidor de políticas. La validación se realizacuando el servidor ACS recupera los datos de la actitud de seguridad del cliente y losenvía al servidor de políticas, que compara los datos con las políticas y las reglas(consulte Secuencia de validación del cliente en la página 16-7).

NotaPara generar registros de validación de clientes, cuando añada o edite una nueva regla opolítica, active la casilla de verificación situada bajo Acciones del servidor.

Para acceder a las pantallas de la consola Web correspondientes a las políticas de CiscoACS, vaya a la consola Web del Servidor de políticas y haga clic en Registros >Registros de validación en el menú principal.

Mantenimiento de los registros de clientesEl servidor de políticas archiva los registros de validación de clientes cuando alcanzan untamaño especificado. También puede eliminar los archivos de registro cuando seacumula un número específico de estos archivos. Especifique el modo en el que elservidor de políticas debe mantener los registros de validación de clientes haciendo clicen Registros > Mantenimiento de registros en la consola Web del servidor depolíticas.

Tareas administrativasRealice las tareas administrativas siguientes en el servidor de políticas:

• Cambiar contraseña: cambie la contraseña configurada cuando añada el servidorde políticas (consulte Configuración del Servidor de Políticas desde OfficeScan en la página16-43)


16-48

• Configurar un programa de sincronización: el servidor de políticas debeobtener de forma periódica la versión del patrón de virus y del motor deexploración antivirus del servidor de OfficeScan para evaluar la actitud deseguridad del cliente de OfficeScan. Por lo tanto, no se puede activar o desactivaruna sincronización programada. De forma predeterminada, el servidor de políticasefectúa la sincronización con los servidores de OfficeScan cada cinco minutos(consulte Sincronización en la página 16-18 para obtener más información).

NotaSincronice manualmente el servidor de políticas con el servidor de OfficeScan encualquier momento en la pantalla Resumen (consulte Información resumida sobre unServidor de Políticas en la página 16-44).

Para acceder a las pantallas de la consola Web correspondientes a las tareasadministrativas de Cisco ACS, vaya a la consola Web del servidor de políticas y haga clicen Administración en el menú principal.

17-1

Capítulo 17

Configurar OfficeScan con softwarede otros fabricantes

En este capítulo se describe la integración de OfficeScan con el software de otrosfabricantes.


• Información general sobre la arquitectura y la configuración de Check Point en la página 17-2

• Configurar el archivo de Secure Configuration Verification para OfficeScan en la página 17-4

• Instalación de la compatibilidad con SecureClient en la página 17-6


17-2

Información general sobre la arquitectura y laconfiguración de Check Point

Integre las instalaciones de OfficeScan completamente con Check Point™SecureClient™ mediante Secure Configuration Verification (SCV) dentro del marcoOPSEC (plataforma abierta para la seguridad). Consulte la documentación de OPSECde Check Point SecureClient antes de leer este apartado. Puede encontrar ladocumentación de OPSEC en:

http://www.opsec.com

Check Point SecureClient tiene capacidad para confirmar la configuración de seguridadde los equipos conectados a la red gracias a las comprobaciones de Secure ConfigurationVerification (SCV). Las comprobaciones SCV son un conjunto de condiciones quedefinen un sistema de cliente configurado de forma segura. El software de otrosfabricantes puede comunicar el valor de estas condiciones a Check Point SecureClient. Acontinuación, Check Point SecureClient compara estas condiciones con las condicionesdel archivo SCV para determinar si el cliente debe considerarse seguro.

Las comprobaciones SCV se ejecutan de forma periódica para garantizar queúnicamente los sistemas configurados de forma segura tengan permiso para conectarse ala red.

SecureClient utiliza servidores de políticas para propagar las comprobaciones SCV atodos los clientes registrados en el sistema. El administrador configura lascomprobaciones SCV en los servidores de políticas mediante la herramienta SCVEditor.

SCV Editor es una herramienta de Check Point que permite modificar los archivos SCVpara su propagación en la instalación de cliente. Para ejecutar SCV Editor, vaya hasta elarchivo SCVeditor.exe del servidor de políticas y ejecútelo. Desde SCV Editor, abrael archivo local.scv de la carpeta C:\FW1\NG\Conf (sustituya C:\FW1 por la rutade instalación del cortafuegos de Check Point si el valor es distinto del valorpredeterminado).

Para obtener instrucciones específicas sobre cómo abrir y modificar un archivo SCVmediante la herramienta SCV Editor, consulte Integración de OfficeScan en la página 17-3.

http://www.opsec.com

Configurar OfficeScan con software de otros fabricantes

17-3

Integración de OfficeScanEl cliente de OfficeScan envía periódicamente el número del patrón de virus y elnúmero del Motor de exploración antivirus a SecureClient para su comprobación.SecureClient compara estos valores con los valores existentes en el archivo local.scvdel cliente.

El archivo local.scv se muestra de esta forma al abrirlo en un editor de texto:

(SCVObject

:SCVNames (

: (OfceSCV

:type (plugin)

:parameters (

:CheckType (OfceVersionCheck)

:LatestPatternVersion (701)

:LatestEngineVersion (7.1)

:PatternCompareOp (">=")

:EngineCompareOp (">=")

)

)

)

:SCVPolicy (

: (OfceSCV)

)

:SCVGlobalParams (

:block_connections_on_unverified (true)

:scv_policy_timeout_hours (24)


17-4

)

)

En este ejemplo, la comprobación SCV permitirá todas las conexiones realizadas a travésdel cortafuegos si la versión del archivo de patrones es la 701 o posterior, y si el númerodel motor de exploración es 7.1 o posterior. Si el motor de exploración o el archivo depatrones son anteriores, se bloquearán todas las conexiones realizadas a través delcortafuegos de Check Point. Utilice SCV Editor para modificar estos valores en elarchivo local.scv del servidor de políticas.

Nota

Check Point no actualiza automáticamente los números de las versiones del archivo depatrones y del motor de exploración en el archivo SCV. Siempre que OfficeScan actualiza elmotor de exploración o el archivo de patrones, deberá modificar manualmente el valor delas condiciones del archivo local.scv para mantenerlos actualizados. Si no actualiza lasversiones del motor de exploración y del archivo de patrones, Check Point permitirá eltráfico de los clientes que tengan archivos de patrones o motores de exploración anteriores,lo que supone un riesgo porque podrían infiltrarse virus nuevos en el sistema.

Configurar el archivo de Secure ConfigurationVerification para OfficeScan

Para modificar el archivo local.scv es necesario descargar y ejecutar SCV Editor(SCVeditor.exe).

Procedimiento

1. Descargue SCVeditor.exe del sitio de descargas de Check Point.

SCV Editor forma parte del paquete SDK del marco OPSEC.

2. Ejecute SCVeditor.exe en el servidor de políticas.

Se abrirá la consola de SCV Editor.

3. Expanda la carpeta Productos y seleccione user_policy_scv.


17-5

4. Haga clic en Editar > Producto > Modificar y, a continuación, escriba OfceSCVen el cuadro Modificar. Haga clic en Aceptar.

Nota

Si el archivo local.scv ya contiene las políticas del producto de software de otrosfabricantes, cree una nueva política haciendo clic en Editar > Producto > Agregary, a continuación, escriba OfceSCV en el cuadro Agregar.

5. Agregue un parámetro haciendo clic en Editar > Parámetros > Agregar yescribiendo a continuación un Nombre y valor en los cuadros correspondientes.

La siguiente tabla muestra los nombres y los valores de los parámetros. Tanto unocomo otro distingue entre mayúsculas y minúsculas. Escríbalos en el orden en elque aparecen en la tabla.

TABLA 17-1. Nombres de los parámetros y valores del archivo SCV

NOMBRE VALOR

CheckType OfceVersionCheck

LatestPatternVersion <número del archivo de patronesactual>

LatestEngineVersion <número del motor de exploraciónactual>

LatestPatternDate <fecha de publicación del archivo depatrones actual>

PatternCompareOp >=

EngineCompareOp >=

PatternMismatchMessage

EngineMismatchMessage

Escriba el número de la versión más actualizada del archivo de patrones y delmotor de exploración en lugar del texto incluido entre llaves. Vea las últimasversiones del Patrón de virus y el motor de exploración de los clientes haciendo clicen la opción Actualizar & Actualizar en el menú principal de la consola


17-6

OfficeScan Web. El número de versión del patrón se mostrará a la derecha delgráfico circular que representa el porcentaje de clientes de OfficeScan protegidos.

6. Seleccione Block connections on SCV unverified.

7. Haga clic en Editar > Product > Enforce.

8. Haga clic en File > Generate Policy File para crear el archivo. Seleccione elarchivo local.scv existente para sobrescribirlo.

Instalación de la compatibilidad conSecureClient

Si hay usuarios que se conectan a la red de la oficina a través de una red privada virtual(VPN) y tienen instalados Check Point SecureClient y el cliente de OfficeScan en susequipos, indíqueles que deben instalar la compatibilidad con SecureClient. Este módulopermite que SecureClient ejecute comprobaciones SCV en los clientes de redes VPN,con lo cual se garantiza que solo los sistemas que se hayan configurado de forma segurapuedan conectarse a la red. Los usuarios pueden confirmar que tienen instalado CheckPoint SecureClient en sus equipos si aparece el icono ( ) en la bandeja del sistema.Además, pueden también comprobar si aparece un elemento que se llama Check PointSecureClient en la pantalla Agregar o quitar programas de Windows.

Los usuarios inician la instalación desde la pestaña Caja de herramientas de la consoladel cliente de OfficeScan. Esta pestaña solo aparece si los usuarios cuentan con los


17-7

derechos necesarios y si el sistema operativo del equipo del cliente de OfficeScan esWindows XP o Windows Server 2003.

FIGURA 17-1. Pestaña Caja de herramientas en la consola del cliente de OfficeScan

Conceder a los usuarios el derecho para ver la pestañaCaja de herramientas

Procedimiento



NotaLa Compatibilidad con Check Point SecureClient no admite IPv6. No se puedeimplementar este módulo en puntos finales que solo utilicen IPv6.


17-8


4. En la pestaña Derechos, vaya a la sección Derechos de la caja de herramientas.

5. Seleccione Mostrar la pestaña Caja de herramientas en la consola del clientey permitir que los usuarios instalen el módulo de compatibilidad con CheckPoint SecureClient.




Instalar compatibilidad con SecureClient

Procedimiento

1. Abre la consola del cliente de OfficeScan.

2. Haga clic en la pestaña Caja de herramientas.

3. En Compatibilidad con Check Point SecureClient, haga clic en Instalar/Actualizar compatibilidad para SecureClient.

Aparecerá una pantalla de confirmación.

4. Haga clic en Sí.

El cliente de OfficeScan se conecta al servidor y descarga el módulo. OfficeScanmuestra un mensaje cuando finaliza la descarga.


17-9


18-1

Capítulo 18

Obtener ayudaEn este capítulo se describe cómo solucionar problemas que puedan surgir y cómoponerse en contacto con el servicio técnico.


• Recursos de solución de problemas en la página 18-2

• Ponerse en contacto con el equipo de asistencia técnica en la página 18-25


18-2

Recursos de solución de problemasEn esta sección se proporciona una lista de recursos que puede utilizar para solucionarproblemas del servidor de OfficeScan y de los clientes de OfficeScan.

• Soporte de sistema de inteligencia en la página 18-2

• Case Diagnostic Tool en la página 18-2


• Registros de clientes de OfficeScan en la página 18-15

Soporte de sistema de inteligenciaSoporte de sistema de inteligencia es una página en la que puede enviar archivosfácilmente a Trend Micro para que se analicen. Este sistema determina el GUID delservidor de OfficeScan y envía la información junto con el archivo. Al enviar el GUIDse garantiza que Trend Micro pueda ofrecer información sobre los archivos que seenvían para analizar.

Case Diagnostic ToolTrend Micro Case Diagnostic Tool (CDT) recopila la información de depuraciónnecesaria de un producto de cliente siempre que se originan problemas. Activa ydesactiva automáticamente el estado de depuración del producto y recopila los archivosnecesarios de acuerdo con las categorías de problemas. Trend Micro utiliza estainformación para solucionar problemas relacionados con el producto.

Ejecute la herramienta en todas las plataformas compatibles con OfficeScan. Paraobtener esta herramienta y la documentación correspondiente, póngase en contacto conel proveedor de asistencia.

Herramienta de ajuste del rendimiento de Trend MicroTrend Micro proporciona una herramienta de ajuste del rendimiento independiente quepermite identificar las aplicaciones que podrían provocar problemas con el rendimiento.

Obtener ayuda

18-3

Conviene ejecutar la Herramienta de ajuste del rendimiento de Trend Micro, disponibleen la base de conocimientos de Trend Micro, en una imagen de estación de trabajoestándar y/o en unas cuantas estaciones de trabajo de destino en un proceso deimplementación piloto para atribuir problemas de rendimiento en la implementación realde las funciones Supervisión del comportamiento y Control de dispositivos.

Para obtener detalles, visite http://esupport.trendmicro.com/solution/en-us/1056425.aspx.

Registros del servidor de OfficeScanAdemás de los registros disponibles en la consola Web, puede utilizar otros tipos deregistros (por ejemplo, los de depuración) para solucionar los problemas del producto.

¡ADVERTENCIA!

los registros de depuración pueden afectar el rendimiento del servidor y consumir grancantidad de espacio en el disco. Active la creación de registros de depuración solo cuandosea necesario y desactívela inmediatamente cuando ya no necesite datos de depuración.Elimine el archivo de registro si necesita conservar espacio en disco.

Registros de depuración del servidor con LogServer.exe

Utilice el archivo LogServer.exe para recopilar los registros sobre la depuración para:

• Registros básicos del Servidor de OfficeScan

• Trend Micro Vulnerability Scanner

• Registros de integración de Active Directory

• Registros de agrupación de clientes

• Registros de conformidad con las normas de seguridad

• Role-based administration

• Smart scan

• Servidor de políticas




18-4

Activar el registro de depuración

Procedimiento

1. Inicie sesión en la consola Web.

2. En el banner de la consola Web, haga clic en la primera "O" de "OfficeScan".

3. Especifique la configuración del registro de depuración.


5. Compruebe que el archivo de registro (ofcdebug.log) está en la ubicaciónpredeterminada: <Carpeta de instalación del servidor>\PCCSRV\Log.

Desactivar el registro de depuración

Procedimiento

1. Inicie sesión en la consola Web.

2. En el banner de la consola Web, haga clic en la primera "O" de "OfficeScan".

3. DesactiveActivar el indicador de depuración.


Activar el registro de depuración para la instalación y laactualización del servidor

Active la creación de registros de depuración antes de realizar las tareas siguientes:

• Desinstalar el servidor y volverlo a instalar

• Actualizar OfficeScan a una nueva versión

• Realizar una instalación/actualización remota (el registro de depuración se activa enel equipo donde se inició el programa de instalación y no en el equipo remoto)

Obtener ayuda

18-5

Procedimiento

1. Copie la carpeta LogServer ubicada en <Carpeta de instalación del servidor>\PCCSRV\Private en C:\.

2. Cree un archivo llamado cdebug.ini con el contenido siguiente:

[debug]

debuglevel=9

debuglog=c:\LogServer\ofcdebug.log

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

3. Guarde ofcdebug.ini en C:\LogServer.

4. Realice la tarea pertinente (es decir, desinstalar/reinstalar el servidor, actualizar auna nueva versión del servidor o realizar una instalación/actualización remota).

5. Compruebe que ofcdebug.ini está en C:\LogServer.

Registros de la instalación

• Registros de instalación/actualización local

Nombre de archivo: OFCMAS.LOG

Ubicación: %windir%

• Registros de instalación/actualización remota

• En el equipo donde inició el programa de instalación:

Nombre de archivo: ofcmasr.log



18-6

• En el equipo de destino:

Nombre de archivo: OFCMAS.LOG


Registros de Active Directory• Nombre de archivo: ofcdebug.log

• Nombre de archivo: ofcserver.ini

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\Private\

• Nombres de archivo:

• dbADScope.cdx

• dbADScope.dbf

• dbADPredefinedScope.cdx

• dbADPredefinedScope.dbf

• dbCredential.cdx

• dbCredential.dbf

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\HTTPDB\

Registros de Role-based AdministrationPara obtener información detallada de Role-based Administration, proceda como seindica a continuación:

• Ejecute Trend Micro Case Diagnostics Tool. Para obtener información, consulteCase Diagnostic Tool en la página 18-2.

• Recopile los siguientes registros:

• Todos los archivos de la <Carpeta de instalación del servidor>\PCCSRV\Private\AuthorStore.

Obtener ayuda

18-7


Registros de agrupación de clientes de OfficeScan

• Nombre de archivo: ofcdebug.log



• Nombre de archivo: SortingRule.xml

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\Private\SortingRuleStore\


• dbADScope.cdx

• dbADScope.dbf

Ubicación: <Carpeta de instalación del servidor>\HTTPDB\

Registros de actualización de componentes

Nombre de archivo: TmuDump.txt

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\Web\Service\AU_Data\AU_Log

Obtener información detallada de actualización del servidor

Procedimiento

1. Cree un archivo denominado aucfg.ini con el siguiente contenido:

[Debug]

level=-1

[Downloader]


18-8

ProxyCache=0

2. Guarde el archivo en <Carpeta de instalación del servidor>\PCCSRV\Web\Service.


Detener la recopilación de información detalla de actualizacióndel servidor

Procedimiento

1. Elimine aucfg.ini.


Registros de servidores de Apache

Nombres de archivo:

• install.log

• error.log

• access.log

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\Apache2

Registros de Client Packager

Activar el registro de la creación de Client Packager

Procedimiento

1. Modifique ClnExtor.ini en <Carpeta de instalación del servidor>\PCCSRV\Admin\Utility\ClientPackager, como se indica a continuación:

[Common]

Obtener ayuda

18-9

DebugMode=1

2. Compruebe que ClnPack.log esté en C:\.

Desactivar el registro de la creación de Client Packager

Procedimiento

1. Abra ClnExtor.ini.

2. Cambie el valor de "DebugMode" de 1 a 0.

Registros de informe de conformidad con las normas deseguridadPara obtener información detallada sobre la conformidad con las normas de seguridad,reúna los siguientes datos:

• Nombre de archivo: RBAUserProfile.ini

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\Private\AuthorStore\

• Todos los archivos de la <Carpeta de instalación del servidor>\PCCSRV\Registro\Informe de gestión del servidor externo.


Registros de administración de servidores externos• Nombre de archivo: ofcdebug.log



• Todos los archivos de la <Carpeta de instalación del servidor>\PCCSRV\Registro\Informe de gestión del servidor externo\.


18-10


• dbADScope.cdx

• dbADScope.dbf

• dbClientInfo.cdx

• dbclientInfo.dbf


Registros de excepción de control de dispositivos

Para obtener información detallada sobre la excepción de control de dispositivos, reúnalos siguientes datos:

• Nombre de archivo: ofcscan.ini

Ubicación: <Carpeta de instalación del servidor>\

• Nombre de archivo: dbClientExtra.dbf


• Lista de excepciones de Control de dispositivos desde la consola OfficeScan Web.

Registros de reputación Web

Nombre de archivo: diagnostic.log

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\LWCS\

Obtener ayuda

18-11

Registros de ServerProtect Normal Server Migration Tool

Desactivar el registro de depuración de ServerProtect NormalServer Migration Tool

Procedimiento

1. Cree un archivo llamado ofcdebug.ini con el contenido siguiente:

[Debug]

DebugLog=C:\ofcdebug.log

DebugLevel=9

2. Guarde el archivo en C:\.

3. Compruebe que ofcdebug.log esté en C:\.

NotaPara desactivar el registro de depuración, elimine el archivo ofcdebug.ini.

Registros de VSEncrypt

OfficeScan crea automáticamente el registro de depuración (VSEncrypt.log) en lacarpeta temporal de la cuenta de usuario. Por ejemplo, C:\Documents andSettings\<Nombre de usuario>\Local Settings\Temp.

Registros del agente MCP de Control Manager

Depure los archivos de la <Carpeta de instalación del servidor>\PCCSRV\CMAgent.

• Agent.ini

• Product.ini

• La captura de pantalla de la página Configuración de Control Manager


18-12

• ProductUI.zip

Activar el registro de depuración para el agente MCP

Procedimiento

1. Modifique product.ini en <Carpeta de instalación del servidor>\PCCSRV\CmAgent, como se indica a continuación:

[Debug]

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Reinicie el servicio del agente de Control Manager de OfficeScan desde la consolade administración de Microsoft.

3. Compruebe que CMAgent_debug.log esté en C:\.

Desactivar el registro de depuración para el agente MCP

Procedimiento

1. Abra product.ini y elimine lo siguiente:

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

Obtener ayuda

18-13

2. Reinicie el servicio Control Manager para OfficeScan.

Registros del Motor de Escaneo de Virus

Activar el registro de depuración para el Motor de exploraciónantivirus

Procedimiento

1. Abra el Editor del registro (regedit.exe).

2. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMFilter\Parameters.

3. Cambie el valor de "DebugLogFlags" a "00003eff".

4. Reproduzca los pasos que desencadenaron el problema de exploración.

5. Compruebe que TMFilter.log está en %windir%.

NotaRestaure el valor de "DebugLogFlags" a "00000000".

Registros de virus/malware

Nombre de archivo:

• dbVirusLog.dbf

• dbVirusLog.cdx


Registros de spyware/grayware

Nombre de archivo:


18-14

• dbSpywareLog.dbf

• dbSpywareLog.cdx


Registros de epidemias

Registros de la epidemia actual de violación del cortafuegos

Nombre de archivo: Cfw_Outbreak_Current.log

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\Log\

Registros de la última epidemia de violación del cortafuegos

Nombre de archivo: Cfw_Outbreak_Last.log


Registros de la epidemia actual de virus/malware

Nombre de archivo: Outbreak_Current.log


Registros de la última epidemia de virus/malware

Nombre de archivo: Outbreak_Last.log


Registros de la epidemia de spyware y grayware actual

Nombre de archivo: Spyware_Outbreak_Current.log


Registros de la última epidemia de spyware y grayware

Nombre de archivo: Spyware_Outbreak_Last.log

Obtener ayuda

18-15


Registros de soporte de Virtual Desktop

• Nombre de archivo: vdi_list.ini

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\TEMP\

• Nombre de archivo: vdi.ini


• Nombre de archivo: ofcdebug.txt

Ubicación: <Carpeta de instalación del servidor>\PCCSRV\

Para generar ofcdebug.txt, active el registro de depuración. Para obtenerinstrucciones sobre la activación del registro de depuración, consulte Activar el registro dedepuración en la página 18-4.

Registros de clientes de OfficeScanUtilice los registros de clientes de OfficeScan (por ejemplo, registros de depuración)para solucionar problemas en los clientes de OfficeScan.

¡ADVERTENCIA!Los registros de depuración pueden afectar el rendimiento del cliente y consumir grancantidad de espacio en el disco. Active la creación de registros de depuración solo cuandosea necesario y desactívela inmediatamente cuando ya no necesite datos de depuración.Elimine el archivo de registro si empieza a ocupar mucho.


18-16

Registro de depuración del cliente de OfficeScan medianteLogServer.exe

Activación del registro de depuración para el módulo deOfficeScan

Procedimiento

1. Cree un archivo llamado ofcdebug.ini con el contenido siguiente:

[Debug]

Debuglog=C:\ofcdebug.log

debuglevel=9

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

2. Envíe ofcdebug.ini a los usuarios del cliente e indíqueles que guarden elarchivo en C:\.

Nota

LogServer.exe se ejecuta automáticamente cada vez que el equipo cliente deOfficeScan se inicia. Indique a los usuarios que NO cierren la ventana de comandosde LogServer.exe que se abre cuando el equipo se inicia ya que este hecho solicita aOfficeScan que detenga la creación de registros de depuración. Si los usuarios cierranla ventana de comandos, pueden volver a iniciar la creación de registros dedepuración ejecutando LogServer.exe que está ubicado en la <Carpeta de instalacióndel cliente>.

3. Para cada equipo cliente de OfficeScan, puede comprobar ofcdebug.log en C:\.

Obtener ayuda

18-17

Nota

Desactive el módulo de depuración para el cliente de OfficeScan. Para ello, elimineofcdebug.ini.

Registros de instalación nueva

Nombre de archivo: OFCNT.LOG

Ubicaciones:

• %windir% para todos los métodos de instalación excepto el paquete MSI

• %temp% para el método de instalación del paquete MSI

Registro de actualizaciones/Hotfix

Nombre de archivo: actualización_aaaammddhhmmss.log

Ubicación: <Carpeta de instalación del cliente>

Registros de Damage Cleanup Services

Activar el registro de depuración de Damage Cleanup Services

Procedimiento

1. Abra el archivo TSC.ini en <Carpeta de instalación del cliente>.

2. Modifique la siguiente línea, como se indica a continuación:

DebugInfoLevel=3

3. Compruebe el archivo TSCDebug.log en <Carpeta de instalación delcliente>\debug.


18-18

Desactivar el registro de depuración de Damage CleanupServices

Abra el archivo TSC.ini y cambie el valor "DebugInfoLevel" de 3 a 0.

Limpiar el registro

Nombre de archivo: yyyymmdd.log

Ubicación: <Carpeta de instalación del cliente>\report\

Registros de exploración de correo

Nombre de archivo: SmolDbg.txt


Registros de ActiveUpdate

• Nombre de archivo: Update.ini


• Nombre de archivo: TmuDump.txt

Ubicación: <Carpeta de instalación del cliente>\AU_Log\

Registro de conexiones de clientes de OfficeScan

Nombre de archivo: Conn_YYYYMMDD.log

Ubicación: <Carpeta de instalación del cliente>\ConnLog

Registros de actualización de los clientes de OfficeScan

Nombre de archivo: Tmudump.txt

Ubicación: <Carpeta de instalación del cliente>\AU_Data\AU_Log

Obtener ayuda

18-19

Obtener información detallada de actualización del cliente deOfficeScan

Procedimiento

1. Cree un archivo denominado aucfg.ini con el siguiente contenido:

[Debug]

level=-1

[Downloader]

ProxyCache=0

2. Guarde el archivo en <Carpeta de instalación del cliente>.

3. Vuelva a cargar el cliente de OfficeScan.

Nota

Para detener la recopilación de información detallada de actualización del cliente, elimine elarchivo aucfg.ini y vuelva a cargar el cliente de OfficeScan.

Registros de prevención de epidemias

Nombre de archivo: OPPLogs.log

Ubicación: <Carpeta de instalación del cliente>\OppLog

Registros de restablecimiento de prevención de epidemias

Nombres de archivo:

• TmOPP.ini

• TmOPPRestore.ini

Ubicación: <Carpeta de instalación del cliente>\


18-20

Registros de OfficeScan Firewall

Activar la creación de registros de depuración del controladordel cortafuegos habitual en los equipos con Windows Vista/Server 2008/7/Server 2012/8

Procedimiento

1. Modifique los siguientes valores de registro:

CLAVE DE REGISTRO VALORES

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmwfp\Parameters

Tipo: valor de DWORD (REG_DWORD)

Nombre: DebugCtrl

Valor: 0x00001111

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmlwf\Parameters

Tipo: valor de DWORD (REG_DWORD)

Nombre: DebugCtrl

Valor: 0x00001111

2. Reinicie el ordenador.

3. Compruebe que wfp_log.txt y lwf_log.txt estén en C:\.

Activar la creación de registros de depuración del controladordel cortafuegos habitual en los equipos con Windows XP yWindows Server 2003

Procedimiento

1. Añada los datos siguientes a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmcfw\Parameters:

• Tipo: valor de DWORD (REG_DWORD)

• Nombre: DebugCtrl

Obtener ayuda

18-21

• Valor: 0x00001111


3. Compruebe que cfw_log.txt esté en C:\.

Desactivar el registro de depuración del Controlador delcortafuegos habitual (todos los sistemas operativos)

Procedimiento

1. Elimine "DebugCtrl" en la clave de registro.


Activar el registro de depuración para el servicio del cortafuegosOfficeScan NT

Procedimiento

1. Edite TmPfw.ini ubicado en <Carpeta de instalación del cliente> de la siguientemanera:

[ServiceSession]

Enable=1

2. Vuelva a cargar el cliente.

3. Compruebe que ddmmyyyy_NSC_TmPfw.log esté en C:\temp.

Desactivar el registro de depuración para el servicio delcortafuegos OfficeScan NT

Procedimiento

1. Abra el archivo TmPfw.ini y cambie el valor de "Enable" de 1 a 0.


18-22


Registro de la exploración de correo POP3 y ReputaciónWeb

Activar el registro de depuración de la función Reputación Web ylas funciones de exploración de correo POP3

Procedimiento

1. Modifique el archivo TmProxy.ini que se encuentra en <Carpeta de instalación delcliente>, como se indica a continuación:

[ServiceSession]

Enable=1

LogFolder=C:\temp


3. Compruebe que el registro de ddmmyyyy_NSC_TmProxy.log esté en C:\temp.

Desactivar el registro de depuración de la función Reputación Web y lasfunciones de exploración de correo POP3

Procedimiento

1. Abra el archivo TmProxy.ini y cambie el valor de "Enable" de 1 a 0.


Registros de listas de excepción de control de dispositivos

Nombre de archivo: DAC_ELIST

Obtener ayuda

18-23

Ubicación: <Carpeta de instalación del cliente>\

Registros de depuración de protección de datos

Activar el registro de depuración del módulo de Protección dedatos

Procedimiento

1. Obtenga el archivo logger.cfg de manos de su proveedor de asistencia.

2. Añada los siguientes datos en HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: Cadena

• Nombre: debugcfg

• Valor: C:\Log\logger.cfg

3. Cree una carpeta con el nombre «Log» en el directorio C:\.

4. Copie el archivo logger.cfg en la carpeta «Log».

5. Implemente la configuración de prevención de pérdida de datos y Control dedispositivos desde la consola Web para empezar a recopilar registros.

Nota

Desactive el registro de depuración del módulo de Protección de datos. Para ello, eliminedebugcfg de la clave de registro y reinicie el equipo.

Registros de sucesos de Windows

El visualizador de sucesos de Windows registra los sucesos de aplicaciones que se hanrealizado correctamente, como los inicios de sesión o los cambios realizados en laconfiguración de la cuenta.


18-24

Procedimiento

1. Realice una de las operaciones siguientes:

• Haga clic en Iniciar > Panel de control > Rendimiento y Mantenimiento> Herramientas administrativas > Administración del equipo.

• Abra la consola MMC que contiene el visualizador de sucesos.

2. Haga clic en Visualizador de sucesos.

Registros de la interfaz del controlador de transporte (TDI)

Activar el registro de depuración para TDI

Procedimiento

1. Añada los datos siguientes a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\tmtdi\Parameters:

PARÁMETRO VALORES

Clave 1 Tipo: valor de DWORD (REG_DWORD)

Nombre: Depuración

Valor: 1111 (Hexadecimal)

Clave 2 Tipo: valor de cadena (REG_SZ)

Nombre: LogFile

Valor: C:\tmtdi.log


3. Compruebe que tmtdi.log esté en C:\.

Obtener ayuda

18-25

Nota

Desactive el registro de depuración de TDI. Para ello, elimine Debug y LogFile de laclave de registro y reinicie el equipo.

Ponerse en contacto con el equipo deasistencia técnica

Trend Micro ofrece a todos los usuarios registrados asistencia técnica, descargas depatrones y actualizaciones de los programas durante un año, periodo tras el cual se debeadquirir una renovación del servicio. Puede ponerse en contacto con nosotros si necesitaayuda o tiene cualquier duda. No dude en enviarnos también sus comentarios.

Oficinas de asistencia técnica de todo el mundo:

http://www.trendmicro.com/support

Documentación de productos de Trend Micro:

http://docs.trendmicro.com/es-es/home.aspx

Información de contacto

En Estados Unidos, puede ponerse en contacto con los representantes de Trend Micropor teléfono, fax o correo electrónico:

Trend Micro, Inc. 10101 North De Anza Blvd., Cupertino, CA 95014

Línea gratuita: +1 (800) 228-5651 (departamento comercial) Voz: +1 (408) 257-1500(principal) Fax: +1 (408) 257-2003

Dirección Web: www.trendmicro.com

Correo electrónico: [email protected]

http://www.trendmicro.com/support

http://docs.trendmicro.com/es-es/home.aspx


18-26

Agilizar la llamada al servicio de asistenciaCuando se ponga en contacto con Trend Micro, compruebe que dispone de los detallessiguientes para agilizar la resolución del problema:

• Versiones de Microsoft Windows y Service Pack

• Tipo de red

• Marca y modelo del equipo informático, junto con el hardware adicional conectadoal mismo

• Memoria y espacio disponible en disco del equipo

• Descripción detallada del entorno de instalación

• Texto exacto de cualquier mensaje de error

• Pasos para reproducir el problema

La base de conocimientos de Trend MicroLa base de conocimientos de Trend Micro, ubicada en el sitio Web de Trend Micro,cuenta con las respuestas más actualizadas a las preguntas sobre nuestros productos.También puede utilizar la Base de conocimientos para enviar una pregunta si noencuentra la respuesta en la documentación del producto. Puede acceder a la Base deconocimientos desde:

http://esupport.trendmicro.com/en-us/enterprise/default.aspx

Trend Micro actualiza el contenido de la Base de conocimientos continuamente y agreganuevas soluciones cada día. Si a pesar de todo no consigue encontrar una respuesta a suproblema, puede describirlo en un mensaje de correo electrónico y enviarlo directamentea los ingenieros de Trend Micro para que investiguen el problema y le comuniquen larespuesta tan pronto como sea posible.

TrendLabs

TrendLabsSM es el centro mundial de investigación antivirus y de asistencia técnica deTrend Micro. Con presencia en tres continentes, TrendLabs cuenta con una plantilla de

http://esupport.trendmicro.com/en-us/enterprise/default.aspx

Obtener ayuda

18-27

más de 250 investigadores e ingenieros que trabajan continuamente para ofrecer serviciotécnico a todos los clientes de Trend Micro.

Siempre puede contar con nuestro servicio de posventa:

• Actualizaciones de patrones de virus informáticos comunes y códigos maliciosos

• Ayuda de emergencia ante epidemias de virus

• Posibilidad de contacto por correo electrónico con los ingenieros de antivirus

• Base de conocimientos, la base de datos en línea de Trend Micro sobre cuestionesde asistencia técnica

TrendLabs ha obtenido la certificación de calidad ISO 9002.

Centro de información de seguridad

En el sitio Web de Trend Micro puede encontrar información de seguridad exhaustiva:

• Lista de virus y código móvil malicioso actualmente en circulación

• Bulos sobre virus informáticos

• Advertencias sobre amenazas Web

• Informe de virus semanal

• Enciclopedia de virus, con una extensa lista de los nombres y los síntomas de losvirus y el código móvil malicioso conocidos

• Glosario de términos

• http://www.trendmicro.com/vinfo/es/virusencyclo/default.asp

Evaluación de la documentación

Trend Micro trata constantemente de mejorar la documentación. Si tiene alguna duda,comentario o sugerencia con relación a este documento u otros de Trend Micro, vaya alsitio Web siguiente:



18-28



A-1

Apéndice A

Compatibilidad con IPv6 enOfficeScan

Es necesario que los usuarios que vayan a implementar OfficeScan en un entorno quesea compatible con el direccionamiento IPv6 lean este apéndice. Este apéndice contieneinformación acerca de la amplitud de compatibilidad de IPv6 en OfficeScan.

Trend Micro asume que el lector está familiarizado con los conceptos de IPv6 y lastareas que implica la configuración de una red compatible con el direccionamiento IPv6.


A-2

Compatibilidad de IPv6 con el servidor y losclientes de OfficeScan

La versión 10.6 de OfficeScan es la primera compatible con IPv6. Las versionesanteriores de OfficeScan no son compatibles con las direcciones IPv6. Lacompatibilidad con IPv6 se habilita de forma automática tras la instalación o laactualización del servidor de OfficeScan y los clientes de OfficeScan que cumplen losrequisitos de IPv6.

Requisitos del servidor de OfficeScan

Los requisitos de IPv6 para el servidor de OfficeScan son los siguientes:

• El servidor debe estar instalado en Windows Server 2008 o Windows Server 2012.No se puede instalar en Windows Server 2003, ya que este sistema operativo soloes compatible con las direcciones IPv6 parcialmente.

• El servidor debe utilizar un servidor Web IIS. El servidor Web de Apache no escompatible con las direcciones IPv6.

• Si el servidor va a administrar clientes IPv4 e IPv6 de OfficeScan, este debe tenerdirecciones tanto IPv4 como IPv6 e identificarse mediante su nombre de host. Siun servidor se identifica por su dirección IPv4, los clientes IPv6 de OfficeScan nose podrán conectar al servidor. Lo mismo ocurre si los clientes IPv4 se conectan aun servidor identificado mediante su dirección IPv6.

• Si el servidor va a administrar solo clientes IPv6, el requisito mínimo es unadirección IPv6. El servidor se puede identificar mediante su nombre de host o sudirección IPv6. Cuando el servidor se identifica por su nombre de host, espreferible utilizar el nombre de dominio completo (FQDN). Esto se debe que, enun entorno en el que solo se utilice IPv6, un servidor WINS no puede convertir unnombre de host en la dirección IPv6 correspondiente.

Nota

El FQDN solo se puede especificar cuando se realiza una instalación local delservidor. No es compatible con las instalaciones remotas.

Compatibilidad con IPv6 en OfficeScan

A-3

Requisitos del cliente de OfficeScanEl cliente de OfficeScan se debe instalar en:

• Windows 7

• Windows Server 2008

• Windows Vista

• Windows 8

• Windows Server 2012

No se puede instalar en Windows Server 2003 y Windows XP, ya que estos sistemasoperativos solo son compatibles con las direcciones IPv6 parcialmente.

Es preferible que el cliente de OfficeScan tenga direcciones tanto IPv4 como IPv6, yaque algunas de las entidades a las que se conecta solo son compatibles con lasdirecciones IPv4.

Limitaciones de los servidores que solo utilizan IPv6En la siguiente tabla se muestran las limitaciones de un servidor de OfficeScan condirecciones IPv6 únicamente.

TABLA A-1. Limitaciones de los servidores que solo utilizan IPv6

EVENTO LIMITACIÓN

Administraciónde clientes

Un servidor que solo utilice IPv6 no puede:

• Implementar clientes de OfficeScan en puntos finales IPv4.

• Administrar clientes de OfficeScan que solo utilicen IPv4.


A-4

EVENTO LIMITACIÓN

Actualizaciones yadministracióncentralizada

Un servidor que solo utilice IPv6 no puede actualizarse desdefuentes de actualización que solo utilicen IPv4, como:




NotaLa versión 5.5 SP1 de Control Manager es la primeracompatible con IPv6.


Registro,activación yrenovación delproducto

Un servidor que solo utilice IPv6 no se puede conectar al servidor deregistro en línea de Trend Micro para registrar el producto, y obtenery activar o renovar la licencia.

Conexión proxy Un servidor que solo utilice IPv6 no se puede conectar a través deun servidor proxy que solo utilice IPv4.

Soluciones decomplemento

Un servidor que solo utilice IPv6 contará con Plug-In Manager, perono podrá implementar ninguna de las soluciones de complementoen:

• Los clientes de OfficeScan o los hosts que solo utilicen IPv4(debido a la ausencia de una conexión directa)

• Los clientes de OfficeScan o los hosts que solo utilicen IPv6, yaque ninguna de las soluciones de complemento es compatiblecon IPv6.

La mayoría de estas limitaciones se pueden subsanar estableciendo un servidor proxycon doble pila que pueda realizar conversiones entre las direcciones IPv4 e IPv6 (comoDeleGate). Coloque el servidor proxy entre el servidor de OfficeScan y las entidades alas que se conecta o para las que ejerce de servidor.


A-5

Limitaciones de los clientes de OfficeScan que soloutilizan IPv6

En la siguiente tabla se muestran las limitaciones de un cliente de OfficeScan condirecciones IPv6 únicamente.

TABLA A-2. Limitaciones de los clientes de OfficeScan que solo utilizan IPv6

EVENTO LIMITACIÓN

Servidor principal deOfficeScan

Los clientes de OfficeScan que solo utilicen IPv6 no lospuede administrar un servidor de OfficeScan que solo utiliceIPv4.

Actualizaciones Un cliente de OfficeScan que solo utilice IPv6 no puedeactualizarse desde fuentes de actualización que solo utilicenIPv4, como:



• Un agente de actualización que solo utilice IPv4

• Una fuente de actualización personalizada que soloutilice IPv4.

Consultas deexploración, consultasde Reputación Web yFeedback Inteligente

Un cliente de OfficeScan que solo utilice IPv6 no puedeenviar consultas a fuentes de Smart Protection, como:


NotaLa versión 2.5 del Smart Protection Server es laprimera compatible con IPv6.

• Red de Protección Inteligente de Trend Micro (tambiénpara Feedback Inteligente)

Seguridad del software Los clientes de OfficeScan que solo utilicen IPv6 no sepueden conectar con el Servicio de software segurocertificado alojado por Trend Micro.


A-6

EVENTO LIMITACIÓN

Soluciones decomplemento

Los clientes de OfficeScan que solo utilicen IPv6 no puedeninstalar soluciones de complemento, ya que ninguna de ellases compatible con IPv6.

Programas Los clientes de OfficeScan que solo utilicen IPv6 no puedeninstalar los siguientes programas debido a que no soncompatibles con IPv6:

• Cisco Trust Agent

• Compatibilidad con Check Point SecureClient

Conexión proxy Un cliente de OfficeScan que solo utilice IPv6 no se puedeconectar a través de un servidor proxy que solo utilice IPv4.

La mayoría de estas limitaciones se pueden subsanar estableciendo un servidor proxycon doble pila que pueda realizar conversiones entre las direcciones IPv4 e IPv6 (comoDeleGate). Coloque el servidor proxy entre los clientes de OfficeScan y las entidades alas que se conectan.

Configuración de direcciones IPv6La consola Web permite configurar una dirección IPv6 o un intervalo de direccionesIPv6. A continuación se recogen algunas directrices de configuración.

• OfficeScan admite las presentaciones de direcciones IPv6 estándares.

Por ejemplo:

2001:0db7:85a3:0000:0000:8a2e:0370:7334

2001:db7:85a3:0:0:8a2e:370:7334

2001:db7:85a3::8a2e:370:7334

::ffff:192.0.2.128

• OfficeScan también admite direcciones IPv6 locales vinculadas, como:

fe80::210:5aff:feaa:20a2


A-7

¡ADVERTENCIA!

Tenga cuidado al especificar una dirección IPv6 local vinculada ya que, aunqueOfficeScan puede admitir las direcciones, puede que no funcione como se espera enciertas circunstancias. Por ejemplo, los clientes de OfficeScan no pueden actualizardesde una fuente de actualización si esta se encuentra en otro segmento de red y seidentifica por medio de su dirección IPv6 local vinculada.

• Cuando la dirección IPv6 forme parte de la URL, escriba la dirección entrecorchetes ([]).

• Normalmente, en el caso de los intervalos de direcciones IPv6, se necesitan unprefijo y una longitud de prefijo. En el caso de las configuraciones que requierenque el servidor solicite direcciones IP, se aplican restricciones en la longitud deprefijo para evitar problemas de rendimiento que podrían surgir cuando el servidorrealiza consultas en una cantidad significativa de direcciones IP. Por ejemplo, en lafunción Administración de servidores externos, la longitud de prefijo solo puedeencontrarse entre 112 (65.536 direcciones IP) y 128 (2 direcciones IP).

• Algunas configuraciones que utilizan direcciones o intervalos de direcciones IPv6se implementarán en los clientes de OfficeScan, pero los clientes de OfficeScan lasomitirán. Por ejemplo, si ha configurado la lista de fuentes de Smart Protection yha incluido un Smart Protection Server que se identifica mediante su direcciónIPv6, los clientes de OfficeScan que solo utilicen IPv4 omitirán el servidor y seconectarán a las demás fuentes de Smart Protection.

Pantallas que muestran direcciones IPEn este tema se recogen las ubicaciones de la consola Web en las que se muestran lasdirecciones IP.

• Árbol de clientes

Siempre que aparezca el árbol de clientes, aparecerán las direcciones IPv6 de losclientes de OfficeScan que solo utilicen IPv6 en la columna Dirección IP. En elcaso de los clientes de OfficeScan de doble pila, las direcciones IPv6 se mostraránsiempre que las hayan utilizado para registrarse en el servidor.


A-8

Nota

La dirección IP que utilizan los clientes de OfficeScan de doble pila al registrarse en elservidor se puede controlar en Equipos en red > Configuración general delcliente > Dirección IP preferida.

Cuando se exporta la configuración de un árbol de clientes a un archivo, lasdirecciones IPv6 también aparecen en el archivo exportado.

• Estado del cliente

Existe información detallada del cliente en Equipos en red > Administración declientes > Estado. En esa pantalla verá las direcciones IPv6 de los clientes deOfficeScan de doble pila y de los clientes de OfficeScan de solo IPv6 que hayanutilizado sus direcciones IPv6 para registrarse en el servidor.

• Registros

Las direcciones IPv6 de los clientes de OfficeScan de doble pila y que solo utilizanIPv6 aparecen en los siguientes registros:

• Registros de virus/malware



• Registros de comprobación de la conexión

• Consola de Control Manager

En la siguiente tabla se muestran las direcciones IP del servidor de OfficeScan y losclientes de OfficeScan que aparecen en la consola de Control Manager.

TABLA A-3. Direcciones IP del servidor de OfficeScan y el cliente de OfficeScanque aparecen en la consola de Control Manager

OFFICESCANVERSIÓN DE CONTROL MANAGER

5.5 SP1 5.5 5.0

Servidor de doblepila

IPv4 e IPv6 IPv4 IPv4


A-9

OFFICESCANVERSIÓN DE CONTROL MANAGER

5.5 SP1 5.5 5.0

Servidor que soloutiliza IPv4

IPv4 IPv4 IPv4

Servidor que soloutiliza IPv6

IPv6 Incompatible Incompatible

Cliente deOfficeScan dedoble pila

La dirección IPutilizada cuando elcliente deOfficeScan seregistró en elservidor deOfficeScan



Cliente deOfficeScan quesolo utiliza IPv4

IPv4 IPv4 IPv4

Cliente deOfficeScan quesolo utiliza IPv6

IPv6 IPv6 IPv6

B-1

Apéndice B

Compatibilidad con Windows ServerCore 2008/2012

Este apéndice trata de la compatibilidad de OfficeScan con Windows Server Core2008/2012.


B-2

Compatibilidad con Windows Server Core2008/2012

Windows Server Core 2008/2012 son instalaciones "mínimas" de Windows Server2008/2012. En Server Core:

• Se eliminan muchas de las opciones y características de Windows Server2008/2012.

• El servidor ejecuta un sistema operativo de núcleo mucho más fino.

• La mayoría de las tareas se efectúan desde la interfaz de la línea de comandos.

• El sistema operativo ejecuta menos servicios y necesita menos recursos durante elinicio.

El cliente de OfficeScan es compatible con Server Core. Esta sección contieneinformación relativa a la compatibilidad con Server Core.

El servidor de OfficeScan no es compatible con Server Core.

Métodos de instalación para Windows ServerCore

Los siguientes métodos de instalación no son compatibles o solo lo son de formaparcial:

• Página Web de instalación: este método no es compatible porque Server Coreno cuenta con Internet Explorer.

• Trend Micro Vulnerability Scanner: la herramienta Vulnerability Scanner no sepuede ejecutar de forma local en Server Core. Ejecute la herramienta desde elservidor de OfficeScan o desde otro equipo.

Se admiten los siguientes métodos de instalación:

• Instalación remota. Para conocer más detalles, consulte Instalar de forma remota desdela consola Web de OfficeScan en la página 5-21.

Compatibilidad con Windows Server Core 2008/2012

B-3

• Configuración de inicio de sesión

• Client Packager

Instalar el cliente de OfficeScan mediante Configuraciónde inicio de sesión

Procedimiento

1. Abra una ventana de línea de comandos.

2. Asigne la ubicación del archivo AutoPcc.exe escribiendo el comando siguiente:

net use <letra de unidad asignada> \\<nombre de host odirección IP de OfficeScan>\ofcscan

Por ejemplo:

net use P: \\10.1.1.1\ofcscan

Aparecerá un mensaje en el que se le informará de que AutoPcc.exe se asignócorrectamente.

3. Cambie a la ubicación de AutoPcc.exe escribiendo la letra de unidad asignada ydos puntos. Por ejemplo:

P:

4. Escriba lo siguiente para iniciar la instalación:

AutoPcc.exe


B-4

La imagen siguiente muestra los comandos y resultados en la línea de comandos.

FIGURA B-1. Línea de comandos que muestra cómo instalar el cliente deOfficeScan mediante Configuración de inicio de sesión

Instalar el cliente de OfficeScan mediante un paquete decliente de OfficeScan

Procedimiento

1. Cree el paquete.

Para conocer más detalles, consulte Instalar con Client Packager en la página 5-27.

2. Abra una ventana de línea de comandos.

3. Asigne la ubicación del paquete de cliente de OfficeScan escribiendo el comandosiguiente:

net use <letra de unidad asignada> \\<Ubicación del paquetede cliente>

Por ejemplo:


B-5

net use P: \\10.1.1.1\Package

Aparecerá un mensaje en el que se le informará si la ubicación del paquete decliente de OfficeScan se ha asignado correctamente.

4. Cambie a la ubicación del paquete de cliente de OfficeScan escribiendo la letra deunidad asignada y dos puntos. Por ejemplo:

P:

5. Copie el paquete de cliente de OfficeScan en un directorio local en el equipo deServer Core escribiendo el comando siguiente:

copy <nombre de archivo del paquete> <directorio en elequipo de Server Core donde desea copiar el paquete>

Por ejemplo:

copy officescan.msi C:\Client Package

Aparecerá un mensaje en el que se le informará de que el paquete de cliente deOfficeScan se ha copiado correctamente.

6. Cambie al directorio local. Por ejemplo:

C:

cd C:\Client Package

7. Escriba el nombre de archivo del paquete para iniciar la instalación. Por ejemplo:

officescan.msi


B-6

La imagen siguiente muestra los comandos y resultados en la línea de comandos.

FIGURA B-2. Línea de comandos que muestra cómo instalar el cliente deOfficeScan mediante un paquete de cliente

Funciones del cliente de OfficeScan enWindows Server Core

La mayoría de las funciones del cliente de OfficeScan que están disponibles en WindowsServer 2008/2012 funcionan en Server Core. La única función que no es compatible esel modo de itinerancia.

Para obtener una lista de las funciones del cliente de OfficeScan que están disponiblesen Windows Server 2008/2012, consulte Funciones del cliente de OfficeScan en la página 5-3.

Solo se puede acceder a la consola del cliente de OfficeScan desde la interfaz de la líneade comandos.

Nota

Algunas pantallas de la consola del cliente de OfficeScan incluyen un botón de Ayuda. Alhacer clic en él se abre un sistema de Ayuda contextual en HTML. Dado que WindowsServer Core 2008/2012 no dispone de un explorador, el usuario de este sistema nodispondrá de Ayuda. Para ver la Ayuda, el usuario tendrá que instalar un explorador.


B-7

Comandos de Windows Server CoreInicie la consola del cliente de OfficeScan y otras tareas del cliente de OfficeScanmediante la emisión de comandos desde la interfaz de la línea de comandos.

Para ejecutar los comandos, busque la ubicación de PccNTMon.exe. Este proceso es elresponsable de iniciar la consola del cliente de OfficeScan. Este proceso se halla en la<Carpeta de instalación del cliente>.

En la siguiente tabla figuran los comandos disponibles.

TABLA B-1. Comandos de Windows Server Core

COMANDO ACCIÓN

pccntmon Abre la consola del cliente de OfficeScan.

pccnt

pccnt <ruta deunidad o carpeta>

Explora la unidad o carpeta especificada para comprobar siexisten riesgos de seguridad.

Directrices:

• Si la ruta de carpeta contiene un espacio, ponga toda laruta entre comillas.

• No se admite la exploración de archivos individuales.

Comandos correctos:

• pccnt C:\

• pccnt D:\Files

• pccnt "C:\Documents and Settings"

Comandos incorrectos:

• pccnt C:\Documents and Settings

• pccnt D:\Files\example.doc

pccntmon -r Abre Real-Time Monitor.

pccntmon -v Abre una pantalla con una lista de componentes del cliente ysus versiones.


B-8

COMANDO ACCIÓN

pccntmon -u Abre una pantalla en la que se inicia "Actualizar ahora"(actualización manual de clientes).

Si "Actualizar ahora" no puede iniciarse, aparece el siguientemensaje en la línea de comandos:

Desactivado o no es funcional

pccntmon -n Abre una ventana emergente en la que se especifica unacontraseña para descargar el cliente.

Si no se necesita una contraseña para descargar el cliente deOfficeScan, se iniciará el proceso de descarga del cliente deOfficeScan.

Para volver a cargar el cliente de OfficeScan, escriba elsiguiente comando:

pccntmon

pccntmon -m Abre una ventana emergente en la que se especifica unacontraseña para desinstalar el cliente de OfficeScan.

Si no se necesita una contraseña para desinstalar el cliente deOfficeScan, se iniciará el proceso de desinstalación del clientede OfficeScan.


B-9

COMANDO ACCIÓN

pccntmon -c Muestra en la línea de comandos la siguiente información:


• Smart scan

• Exploración convencional

• Estado del patrón

• Actualizado

• Obsoleto

• Servicio de exploración en tiempo real

• Funcional

• Desactivado o no es funcional


• Conectado

• Roaming

• Desconectado

• Servicios de Reputación Web

• Disponible

• Volviendo a conectar

• Servicios de File Reputation

• Disponible

• Volviendo a conectar

pccntmon -h Muestra todos los comandos disponibles.

C-1

Apéndice C

Compatibilidad con Windows 8 yWindows Server 2012

Este apéndice trata de la compatibilidad de OfficeScan con Windows 8 y WindowsServer 2012.


C-2

Acerca de Windows 8 y Windows Server 2012Windows 8 y Windows Server 2012 le brindan a los usuarios dos tipos de modosoperativos: modo de escritorio y modo de interfaz de usuario de Windows. El modo deescritorio es similar a la pantalla Inicio clásica de Windows.

La interfaz de usuario de Windows le brinda a los usuarios una nueva experiencia deinterfaz similar a la que se usa en los teléfonos de Windows. Algunas de lascaracterísticas nuevas son una interfaz de panel táctil de desplazamiento, mosaicos ynotificaciones del sistema.

TABLA C-1. Mosaicos y notificaciones del sistema

CONTROL DESCRIPCIÓN

Mosaicos Los mosaicos son similares a los iconos de escritorio usadosen las versiones anteriores de Windows. Los usuarios puedenhacer clic o puntear sobre un mosaico para iniciar laaplicación asociada con el mosaico.

Los mosaicos dinámicos brindan a los usuarios informaciónespecífica de la aplicación que se actualiza dinámicamente.Las aplicaciones pueden publicar información en los mosaicosincluso cuando no estén ejecutándose

Notificaciones delsistema

Las notificaciones del sistema son similares a los mensajesemergentes. Estas notificaciones brindan la información másreciente acerca de los eventos que se producen durante laejecución de una aplicación. Aparecen en primer plano sinimportar que Windows esté actualmente en el modo deescritorio, muestre la pantalla de bloqueo o ejecute otraaplicación.

NotaSegún cuál sea la aplicación, las notificaciones delsistema probablemente no aparezcan en todas laspantallas ni en todos los modos.

Compatibilidad con Windows 8 y Windows Server 2012

C-3

OfficeScan en modo de interfaz de usuario de Windows

La siguiente tabla describe cómo OfficeScan admite los mosaicos y las notificaciones delsistema en el modo de interfaz de usuario de Windows.

TABLA C-2. Compatibilidad de OfficeScan con mosaicos y notificaciones del sistema

CONTROL OFFICESCAN SUPPORT

Mosaicos OfficeScan brinda a los usuarios un mosaico que se vinculacon el programa cliente de OfficeScan. Cuando el usuariohace clic en el mosaico, WIndows cambia al modo deescritorio y se muestra el programa cliente de OfficeScan.

NotaOfficeScan no admite mosaicos dinámicos.

Notificaciones delsistema

OfficeScan ofrece las siguientes notificaciones del sistema:

• Programa sospechoso detectado

• Exploración programada

• Amenaza resuelta

• Es necesario reiniciar el equipo

• Se ha detectado un dispositivo de almacenamiento USB

• Epidemia detectada

NotaOfficeScan solamente muestra notificaciones delsistema en el modo de interfaz de usuario de Windows.

Habilitar notificaciones del sistema

Los usuarios pueden elegir recibir notificaciones del sistema modificando laconfiguración del equipo en el equipo cliente de OfficeScan. OfficeScan requiere quelos usuarios habiliten las notificaciones del sistema.


C-4

Procedimiento

1. Mueva el puntero del mouse a la esquina inferior derecha de la pantalla paramostrar la barra Accesos.

2. Haga clic en Configuración > Cambiar configuración de PC.

Aparecerá la pantalla Configuración.

3. Haga clic en Notificaciones.

4. En la sección Notificaciones, establezca la siguiente configuración en Activada:

• Mostrar notificaciones de las aplicaciones

• Mostrar notificaciones de las aplicaciones en la pantalla de bloqueo(opcional)

• Reproducir sonidos de notificaciones (opcional)

Internet Explorer 10Internet Explorer (IE) 10 es el explorador predeterminado en Windows 8 y WindowsServer 2012. Internet Explorer 10 viene en dos versiones diferentes: una para la interfazde usuario de Windows y otra para el modo de escritorio.

Internet Explorer 10 para la interfaz de usuario de Windows brinda una experiencia deexploración libre de complementos. Los programas de complemento para la exploraciónWeb antes no seguían estándares establecidos y, por ello, la calidad del código empleadopor estos programas es variable. Los complementos también necesitan usar másrecursos del sistema y aumentan el riesgo de infecciones de malware.

Microsoft ha desarrollado Internet Explorer 10 para que la interfaz de usuario deWindows siga nuevas tecnologías basadas en estándares a fin de reemplazar lassoluciones de complementos que se usaban anteriormente. En la siguiente tabla seenumeran las tecnologías que Internet Explorer 10 usa en lugar de la anterior tecnologíade complementos.

Compatibilidad con Windows 8 y Windows Server 2012

C-5

TABLA C-3. Comparación de tecnologías basadas en estándares con programas decomplemento

FUNCIONALIDADTECNOLOGÍA ESTÁNDAR

WORLD WIDE WEB (W3C)EQUIVALENTES DE

COMPLEMENTOS DE EJEMPLO

Vídeo y audio Vídeo y audio HTML5 • Flash

• Apple QuickTime

• Silverlight

Gráficos • Canvas HTML5

• Gráficos vectorialesescalables (SVG)

• Transiciones yanimaciones de hojasde estilo en cascada,nivel 3 (CSS3)

• Transformaciones CSS

• Flash

• Apple QuickTime

• Silverlight

• Subprogramas Java

Almacenamiento sinconexión

• Almacenamiento Web

• API de archivo

• IndexedDB

• API de caché deaplicaciones

• Flash


• Google Gears

Comunicación de la red,uso compartido derecursos, carga de archivos

• Mensajería Web HTML

• Uso compartido derecursos de origencruzado (CORS)

• Flash


Microsoft también desarrolló un complemento compatible con la versión InternetExplorer 10 solamente para el modo de escritorio. Si los usuarios que están en el modode interfaz de usuario de Windows encuentran un sitio Web que requiere el uso deprogramas de complemento adicionales, se muestra una notificación en InternetExplorer 10 que pide a los usuarios que cambien al modo de escritorio. Cuando ya esténen este modo, los usuarios pueden ver sitios Web que requieren el uso o la instalación deprogramas de complemento de terceros.


C-6

Compatibilidad con la característica OfficeScan enInternet Explorer 10

El modo en el que los usuarios operan Windows 8 o Windows Server 2012 afecta laversión de Internet Explorer 10 que se usa y mejora el nivel de compatibilidad que lasdiferentes características de OfficeScan brindan. En la siguiente tabla se enumera el nivelde compatibilidad con las diferentes características de OfficeScan en el modo deescritorio y en el modo de interfaz de usuario de Windows.

NotaLas características no enumeradas brindan una total compatibilidad en ambos modosoperativos de Windows.

TABLA C-4. Compatibilidad de la característica OfficeScan por parte del modo deinterfaz de usuario

CARACTERÍSTICA MODO DE ESCRITORIOINTERFAZ DE USUARIO DE

WINDOWS

Consola de servidor Web Compatibilidad completa Incompatible

Reputación Web Compatibilidad completa Compatibilidad limitada

• Exploración HTTPSdeshabilitada

Cortafuegos Compatibilidad completa Compatibilidad limitada

• Filtro de aplicacionesdeshabilitado

D-1

Apéndice D

Recuperación de OfficeScanEste apéndice trata la compatibilidad de recuperación del cliente y servidor deOfficeScan.


D-2

Recuperación del servidor de OfficeScanServer y clientes de OfficeScan

El procedimiento de recuperación de OfficeScan implica recuperar los clientes deOfficeScan y luego, el servidor de OfficeScan.

Importante

• Los administradores solo pueden recuperar el servidor y los clientes de OfficeScanutilizando el siguiente procedimiento si el administrador eligió realizar copias deseguridad del servidor durante el proceso de instalación. Si el archivo de copia deseguridad del servidor no está disponibles, consulte el Manual de instalación yactualización de OfficeScan 10.6, 10.6 SP1 o 10.6 SP2 para los procedimientos derecuperación manual.

• Esta versión de OfficeScan solo admite recuperaciones de las siguientes versiones deOfficeScan:

• OfficeScan 10.6

• OfficeScan 10.6 SP1

• OfficeScan 10.6 SP2

• OfficeScan 10.6 SP2 DLP Enhancement Patch

• OfficeScan 10.6 SP2 Custom Defense Pack

• OfficeScan 10.6 SP2 Custom Defense Pack Scan Enhancement

Recuperación de clientes de OfficeScan

Procedimiento

1. Asegúrese de que los clientes de OfficeScan pueden actualizar el programa cliente.

a. En la consola Web de OfficeScan 10.6 SP3, vaya a Equipos en red >Administración de clientes.

b. Seleccione los clientes de OfficeScan que desee recuperar.

Recuperación de OfficeScan

D-3

c. Haga clic en la pestaña Configuración > Derechos y otras configuraciones> Otras configuraciones.

d. Active la opción Los clientes pueden actualizar componentes pero nopueden actualizar el programa del cliente ni implementar archivoshotfix.

2. En la consola Web de OfficeScan 10.6 SP3, vaya aActualizaciones > Equipos enred > Fuente de actualización.

3. Seleccione Fuente de actualización personalizada.

4. En la lista Fuente de actualización personalizada, haga clic en Añadir.


5. Escriba las direcciones IP de los clientes de OfficeScan que se van a recuperar.

6. Escriba la URL de la fuente de actualizaciones.

Por ejemplo:

http://<dirección IP del servidor de OfficeScanserver>:<puerto>/OfficeScan/download/Rollback



Cuando un cliente de OfficeScan que se va a recuperar se actualiza desde la fuentede actualización, el cliente de OfficeScan se desinstala y, a continuación, se instalala versión anterior del cliente de OfficeScan en cuestión.

ConsejoLos administradores pueden acelerar el proceso de recuperación al iniciar unaactualización manual de clientes. Para conocer más detalles, consulte Actualizaciónmanual de clientes de OfficeScan en la página 6-46.

9. Una vez instalada la versión anterior del cliente de OfficeScan, indique al usuarioque reinicie el equipo.

Después de que el proceso de recuperación se complete, el cliente de OfficeScansigue enviando informes al mismo servidor de OfficeScan.


D-4

NotaDespués de recuperar el cliente de OfficeScan, todos los componentes, incluyendo elpatrón de virus, también se recuperan a la versión anterior. Si los administradores norecuperan el servidor de OfficeScan, el cliente de OfficeScan recuperado no puedeactualizar componentes. Los administradores deben cambiar la fuente deactualización del cliente de OfficeScan recuperado a la fuente de actualizaciónestándar para recibir nuevas actualizaciones de componentes.

Recuperación de servidor de OfficeScanEl procedimiento de recuperación para el servidor de OfficeScan requiere que losadministradores detengan manualmente los servicios de Windows, actualicen el registrodel sistema y reemplacen los archivos del servidor de OfficeScan en el directorio deinstalación de OfficeScan.

Procedimiento

1. En el equipo del servidor de OfficeScan, detenga los siguientes servicios:

• Intrusion Defense Firewall (si está instalado)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• OfficeScan Active Directory Integration Service

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• OfficeScan Master Service

• Apache 2 (si se utiliza el servidor Web Apache)

• Servicio World Wide Web Publishing (si se utiliza el servidor Web de IIS)

2. Copie y reemplace todos los archivos y directorios del directorio de la <carpeta deinstalación del servidor>\PCCSRV\Backup\ServicePack3_<build_number>\ aldirectorio de la <carpeta de instalación del servidor>\PCCSRV\.

Recuperación de OfficeScan

D-5

3. Haga clic en Inicio, escriba regedit y pulse INTRO.

Aparecerá la pantalla Editor del Registro.

4. En el panel de navegación izquierdo, seleccione una de las siguientes claves deregistro:

• Para sistemas de 32 bits: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service

• Para sistemas de 64 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\Officescan\service

5. Vaya a Archivo > Importar....

6. Seleccione el archivo RegBak_ServicePack3_<build_number>.reg ubicadoen el directorio de la <carpeta de instalación del servidor>\PCCSRV\Backup\.

7. Haga clic en Sí para restaurar todas las claves de la versión anterior de OfficeScan.

8. Abra un editor de línea de comandos (haga clic en Inicio y escriba cmd.exe) yescriba los siguientes comandos para restablecer el contador de rendimiento delServidor Local de Clasificación Web:

cd <carpeta de instalación del servidor>\PCCSRV\LWCS

regsvr32.exe /u /s perfLWCSPerfMonMgr.dll

regsvr32.exe /s perfLWCSPerfMonMgr.dll

9. Reinicie los siguientes servicios:

• Intrusion Defense Firewall (si está instalado)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• OfficeScan Active Directory Integration Service

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• OfficeScan Master Service


D-6

• Apache 2 (si se utiliza el servidor Web Apache)

• Servicio World Wide Web Publishing (si se utiliza el servidor Web de IIS)

10. Limpie la caché de Internet Explorer y elimine los controles ActiveX manualmente.Para obtener información sobre la eliminación de controles ActiveX en InternetExplorer 9, consultehttp://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9.

El servidor de OfficeScan se ha restaurado a la versión previamente instalada.

ConsejoLos administradores pueden confirmar una recuperación correcta comprobando elnúmero de versión de OfficeScan en la pantalla Acerca de (Ayuda > Acerca de).

11. Después de confirmar que OfficeScan se recuperó con éxito, elimine los siguienteen el directorio de la <carpeta de instalación del servidor>\PCCSRV\Backup\:

• Carpeta: ServicePack3_<SP3_build_number>

• Archivo: RegBak_ServicePack3_<SP3_build_number>.reg

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

E-1

Apéndice E

GlosarioLos términos incluidos en este glosario proporcionan información adicional acerca delos términos informáticos a los que se hace referencia frecuentemente, así como sobrelos productos y las tecnologías de Trend Micro.


E-2

ActiveUpdateActiveUpdate es una función incorporada en numerosos productos de Trend Micro.Conectado al sitio Web de actualizaciones de Trend Micro, ActiveUpdate ofrecedescargas actualizadas de archivos de patrones, motores de exploración, programas yotros archivos de componentes de Trend Micro a través de Internet.

Archivo comprimidoUn archivo que contiene uno o varios archivos independientes además de informaciónque permite extraerlos con un programa adecuado, como WinZip.

CookieUn mecanismo que almacena en el explorador Web información acerca de un usuario deInternet, como el nombre, las preferencias y los intereses, para usarla en futurasocasiones. La próxima vez que acceda a algún sitio Web del cual el explorador hayaalmacenado una cookie, este enviará la cookie al servidor Web, que la utilizará parapresentarle páginas Web personalizadas. Puede, por ejemplo, visitar un sitio Web que ledé la bienvenida por su nombre.

Ataque de denegación de servicioUn ataque de denegación de servicio (DoS) es un ataque a un equipo o a una red queprovoca una pérdida de "servicio", es decir, de la conexión de red. Generalmente, losataques DoS influyen negativamente en el ancho de banda o sobrecargan los recursosdel sistema como, por ejemplo, la memoria del equipo.

DHCPLa función del protocolo de configuración dinámica de host (DHCP) consiste en asignardirecciones IP dinámicas a los dispositivos en una red. Con el direccionamiento

Glosario

E-3

dinámico, un dispositivo puede tener una dirección IP diferente cada vez que se conectea la red. En algunos sistemas, incluso puede cambiar la dirección IP del dispositivomientras está conectado. Este protocolo también admite una combinación dedirecciones IP dinámicas y estáticas.

DNSEl sistema de nombres de dominio (DNS) es un servicio de consulta de datos decarácter general que se utiliza principalmente en Internet para traducir nombres de hosten direcciones IP.

Al proceso por el cual un cliente DNS solicita los datos de la dirección y el nombre dehost de un servidor DNS se le denomina resolución. La configuración básica DNSresulta en un servidor que realiza la resolución predeterminada. Por ejemplo, un servidorremoto solicita a otro servidor los datos de un equipo en la zona actual. El softwarecliente del servidor remoto consulta al servidor encargado de la resolución, que respondea la solicitud desde los archivos contenidos en la base de datos.

Nombre del dominioEl nombre completo de un sistema compuesto por el nombre de host local y su nombrede dominio como, por ejemplo, tellsitall.com. Un nombre de dominio debebastar para determinar una dirección exclusiva de Internet para cualquier host deInternet. Este proceso, denominado "resolución del nombre", utiliza el sistema DNS(sistema de nombres de dominios).

Dirección IP dinámicaUna dirección IP dinámica es una dirección IP asignada por un servidor DHCP. Ladirección MAC de un equipo seguirá siendo la misma, aunque el servidor DHCP puedeasignar una nueva dirección IP al equipo según la disponibilidad.


E-4

ESMTPEl protocolo simple de transferencia de correo mejorado (ESMTP) incluye seguridad,autenticación y otros dispositivos para ahorrar ancho de banda y proteger los servidores.

Contrato de licencia para usuario finalUn contrato de licencia para usuario final es un contrato legal entre una empresa desoftware y el usuario del software. Suele describir las restricciones a las que estásometido el usuario, que puede renunciar al acuerdo no seleccionando la opción"Acepto" durante la instalación. Por supuesto, si se hace clic en "No acepto", finalizarála instalación del producto de software.

Gran parte de los usuarios aceptan la instalación de spyware y otros tipos de grayware ensus equipos sin percatarse de ello al hacer clic en "Acepto" en el contrato de licencia queaparece al instalar ciertos productos de software gratuitos.

Falso positivoUn falso positivo se produce cuando el software de seguridad detecta que un archivoestá infectado erróneamente.

FTPEl protocolo de transferencia de archivos (FTP) es un protocolo estándar utilizado paratransportar archivos desde un servidor a un cliente a través de Internet. Consulte la RFC959 sobre Grupo de trabajo de redes para obtener más información.

GeneriCleanLa función GeneriClean, también denominada limpieza referencial, es una nuevatecnología de limpieza de virus/malware disponible incluso sin los componentes de

Glosario

E-5

limpieza de virus. Con un archivo detectado como base, GeneriClean determina si elarchivo detectado tiene un proceso/servicio correspondiente en memoria y una entradade registro y los elimina conjuntamente.

Archivo hotfixUn archivo hotfix es una solución para un problema específico que los usuarios hancomunicado. Los archivos Hotfix son específicos para un problema y, por lo tanto, nose publican para todos los clientes. Los archivos Hotfix de Windows incluyen programasde instalación, mientras que los archivos Hotfix que no son de Windows no suelenfacilitarlos (generalmente es necesario detener los demonios de programas, copiar elarchivo para sobrescribir el archivo correspondiente de la instalación y reiniciar losdemonios).

de forma predeterminada, los clientes de OfficeScan pueden instalar archivos Hotfix. Sino desea que los clientes de OfficeScan instalen archivos hotfix, cambie la configuraciónde actualizaciones del cliente en la consola Web. Para ello, vaya a Equipos en red >Administración de clientes, haga clic en Configuración > Derechos y otrasconfiguraciones > Otras configuraciones.

Si intenta implementar sin éxito un archivo hotfix en el servidor de OfficeScan, utilice laherramienta Touch para cambiar la marca de hora de dicho archivo. De esta forma,OfficeScan interpretará que el archivo hotfix es nuevo y hará que el servidor intenteinstalarlo de nuevo automáticamente. Si desea obtener información detallada sobre estaherramienta, consulte Ejecución de la herramienta Touch para archivos Hotfix de los clientes deOfficeScan en la página 6-57.

HTTPEl protocolo de transferencia de hipertexto (HTTP) es un protocolo estándar utilizadopara transportar páginas Web (incluidos los gráficos y el contenido multimedia) desde unservidor a un cliente a través de Internet.


E-6

HTTPSProtocolo de transferencia de hipertexto que utiliza SSL (Capa de conexión segura).HTTPS es una variante de HTTP utilizada para gestionar transacciones seguras.

ICMPEn ocasiones, los gateway o host de destino utilizan el protocolo de mensajes de controlde Internet (ICMP) para comunicarse con un host de origen como, por ejemplo, paranotificar un error durante el procesamiento de un datagrama. ICMP utiliza lacompatibilidad básica con IP (protocolo de Internet) como si éste se tratara de unprotocolo de nivel superior; no obstante, ICMP es en realidad una parte integral de IPque se implementa en todos los módulos IP. Los mensajes ICMP se envían en distintassituaciones: por ejemplo, cuando un datagrama no puede llegar a su destino, cuando ungateway no tiene capacidad de búfer suficiente para reenviar un datagrama y cuando elgateway puede dirigir el host para que envíe el tráfico a través de una ruta más corta. Elprotocolo de Internet no tiene un diseño que garantice una fiabilidad plena. El objetivode estos mensajes de control consiste en proporcionar información sobre los problemasocurridos en el entorno de comunicación, no en asegurar la fiabilidad del protocolo IP.

IntelliScanIntelliScan es un método para identificar los archivos que deben explorarse. Cuando setrata de archivos ejecutables (por ejemplo, .exe), el tipo de archivo verdadero sedetermina en función del contenido del archivo. Cuando se trata de archivos noejecutables (por ejemplo, .txt), el tipo de archivo verdadero se determina en funcióndel encabezado del archivo.

Utilizar IntelliScan ofrece las siguientes ventajas:

• Optimización del rendimiento: IntelliScan no interfiere en las aplicaciones delcliente porque utiliza unos recursos del sistema mínimos.

• Período de exploración más corto: IntelliScan utiliza la identificación de tipo dearchivo verdadero, lo que permite explorar únicamente los archivos vulnerables a

Glosario

E-7

infecciones. Por lo tanto, el tiempo de exploración es considerablemente inferior alque se invierte para explorar todos los archivos.

IntelliTrapLos programadores de virus suelen intentar evitar el filtrado de virus mediantealgoritmos de compresión en tiempo real. IntelliTrap ayuda a reducir el riesgo de queestos virus se infiltren en la red mediante el bloqueo de archivos ejecutablescomprimidos en tiempo real y el emparejamiento de estos con otras características delmalware. IntelliTrap identifica estos archivos como riesgos de seguridad y puede quebloquee incorrectamente archivos seguros; por tanto, es recomendable que ponga encuarentena (sin eliminar ni limpiar) los archivos cuando se active IntelliTrap. Si losusuarios intercambian frecuentemente archivos ejecutables comprimidos en tiempo real,desactive IntelliTrap.

IntelliTrap utiliza los siguientes componentes:

• Motor de Escaneo de Virus

• Patrón IntelliTrap

• Patrón de Excepciones Intellitrap

IP"El protocolo de Internet (IP) permite transmitir bloques de datos denominadosdatagramas desde un origen a un destino, donde tanto el origen como el destino sonhosts identificados por direcciones de longitud fija." (RFC 791)

Archivo JavaJava es un lenguaje de programación de carácter general desarrollado por SunMicrosystems. Un archivo Java contiene código Java. Java es compatible con laprogramación para Internet en forma de "subprogramas" de Java de plataformaindependiente. Un subprograma es un programa escrito con lenguaje de programación


E-8

Java que puede incluirse en una página HTML. Al utilizar un explorador con latecnología Java habilitada para ver una página que contiene un subprograma, este últimotransfiere su código al equipo y la máquina virtual de Java del explorador ejecuta elsubprograma.

LDAPEl protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación paraconsultar y modificar servicios de directorio que se ejecuten a través de TCP/IP.

Puerto de escuchaUn puerto de escucha se utiliza para las solicitudes de conexión de los clientesdestinadas a intercambiar datos.

Agente de MCPTrend Micro Management Communication Protocol (MCP) es el agente de Trend Microde próxima generación para productos administrados. MCP reemplaza a Trend MicroManagement Infrastructure (TMI) como medio de comunicación de Control Managercon OfficeScan. MCP incluye varias características nuevas:

• Reducción de la carga de la red y tamaño del paquete

• Compatibilidad con cruce seguro del cortafuegos y NAT

• compatibilidad con HTTPS

• Compatibilidad con la comunicación unidireccional y bidireccional

• Compatibilidad con inicio de sesión único (SSO)

• Compatibilidad con nodo de grupos

Glosario

E-9

Ataque de amenazas mixtasLos ataques de amenazas mixtas se benefician de diversos puntos de entrada y devulnerabilidades propios de las redes empresariales, tales como las amenazas “Nimda” o“CodeRed”.

NATLa traducción de direcciones de red (NAT) es un estándar para la traducción dedirecciones IP seguras a direcciones IP registradas, externas y temporales a partir de ungrupo de direcciones. De esta forma, se permite que las redes de confianza condirecciones IP asignadas de forma privada tengan acceso a Internet. También significaque el usuario no necesita obtener una dirección IP registrada para cada equipo de la red.

NetBIOSEl sistema básico de entrada y salida de red (NetBIOS) es una interfaz de programaciónde aplicaciones (API) que añade funcionalidades como, por ejemplo, características dered, al sistema básico de entrada y salida (BIOS) del sistema operativo de disco (DOS).

Comunicación unidireccionalComunicación unidireccional NAT transversal es un aspecto cada vez más importanteen el entorno de red del mundo real actual. Para solucionar este problema, MCP utilizala comunicación unidireccional. En la comunicación unidireccional, el agente MCP iniciala conexión con el servidor y realiza el sondeo de comandos del mismo. Cada solicitudes una transmisión de registro o consulta de comando similar a CGI. Para reducir elimpacto en la red, el agente MCP mantiene la conexión activa y abierta tanto como seaposible. Una solicitud posterior utiliza una conexión abierta existente. Si la conexión sepierde, todas las conexiones SSL con el mismo host se benefician de la caché de ID de lasesión, lo que reduce enormemente el tiempo de reconexión.


E-10

RevisiónUn parche es un grupo de archivos hotfix y revisiones de seguridad que solucionannumerosos problemas del programa. Trend Micro publica revisiones regularmente. Lasrevisiones de Windows incluyen un programa de instalación, mientras que las revisionesque no son de Windows suelen disponer de una secuencia de comandos de instalación.

Ataques de phishingEl phish, o phishing, es una forma de fraude en auge con la que se intenta engañar a losusuarios de Internet para que revelen información privada mediante la imitación de unsitio Web legítimo.

En una situación típica, un usuario desprevenido recibe un mensaje urgente y alarmante(con un aspecto real) que le informa de que hay un problema con su cuenta que se deberesolver de inmediato o, de lo contrario, la cuenta se cerrará. El mensaje de correoelectrónico incluye una URL de un sitio Web que tiene el mismo aspecto que el sitiolegítimo. Es muy sencillo copiar un mensaje y un sitio Web legítimos y cambiar eldenominado "extremo final", que entonces pasa a ser el destinatario de los datosrecopilados.

El mensaje de correo le indica al usuario que inicie una sesión en el sitio y que confirmealgunos datos de la cuenta. Un hacker recibe los datos que proporciona el usuario, comoel nombre de inicio de sesión, la contraseña, el número de la tarjeta de crédito o elnúmero de la seguridad social.

Este tipo de fraude es rápido, barato y muy fácil de realizar. También es potencialmentemuy lucrativo para los delincuentes que lo practican. El phish es difícil de detectar,incluso para usuarios informáticos avanzados, y también es complicado de perseguir porparte de las autoridades competentes. Y, lo que es peor, es prácticamente imposible dejuzgar legalmente.

Si sospecha de algún posible sitio Web de phishing, comuníqueselo a Trend Micro.

Glosario

E-11

PingSe trata de una utilidad que envía una solicitud de eco ICMP a una dirección IP y esperauna respuesta. La utilidad Ping puede determinar si el equipo con la dirección IPespecificada está conectado o no.

POP3El protocolo de oficina de correo 3 (POP3) es un protocolo estándar para almacenar ytransportar mensajes de correo electrónico desde un servidor a una aplicación de correoelectrónico cliente.

Servidor proxyUn servidor proxy es un servidor de Internet que acepta las direcciones URL con unprefijo especial que se utiliza para recuperar documentos desde un servidor remoto o decaché local y que, a continuación, devuelve la URL al solicitante.

RPCLa llamada de procedimiento remoto (RPC) es un protocolo de red que permite que elprograma de un equipo que se ejecute en un host dé lugar a que el código se ejecute enotro host.

Revisión de seguridadUna revisión de seguridad se centra en problemas de seguridad que se puedanimplementar en todos los clientes. Las revisiones de seguridad de Windows incluyen unprograma de instalación, mientras que las revisiones que no son de Windows suelendisponer de una secuencia de comandos de instalación.


E-12

Service PackUn Service Pack es un conjunto de archivos hotfix, revisiones y mejoras funcionalessuficientes para considerarse una actualización del producto. Tanto los Service Packs deWindows como los de otros fabricantes incluyen un programa y una secuencia decomandos de instalación.

SMTPEl protocolo simple de transferencia de correo (SMTP) es un protocolo estándarutilizado para transferir mensajes de correo electrónico de un servidor a otro y de uncliente a un servidor a través de Internet.

SNMPEl protocolo simple de administración de redes (SNMP) es un protocolo que admite lasupervisión de los dispositivos conectados a una red para comprobar si presentancondiciones que requieran atención administrativa.

Captura SNMPUna captura SNMP (protocolo simple de administración de redes) es un método deenvío de notificaciones a administradores de la red que utilizan consolas deadministración compatibles con este protocolo.

OfficeScan puede almacenar la notificación en bases de información de administración(MIB). Puede utilizar el explorador de MIB para ver la notificación de captura SNMP.

SOCKS 4Se trata de un protocolo TCP utilizado por servidores proxy para establecer unaconexión entre clientes de la red interna o LAN y los equipos y servidores externos a la

Glosario

E-13

LAN. El protocolo SOCKS 4 realiza solicitudes de conexión, configura circuitos deproxy y transmite datos a la capa de aplicación del modelo OSI.

SSLLa capa de conexión segura (SSL) es un protocolo diseñado por Netscape para ofrecercapas de seguridad de los datos entre los protocolos de las aplicaciones (como HTTP,Telnet o FTP) y TCP/ IP. Asimismo, ofrece opciones como el cifrado de datos, laautenticación del servidor, la integridad de los mensajes y autenticación cliente opcionalpara una conexión TCP/IP.

Certificado SSLEste certificado digital establece una comunicación HTTPS segura.

TCPEl protocolo de control de transmisión (TCP) es un protocolo totalmente fiable depunto a punto, orientado a la conexión y diseñado para funcionar con jerarquías decapas de protocolos compatibles con aplicaciones multired. TCP utiliza datagramas IPpara la resolución de direcciones. Consulte el código RFC 793 de la agencia DARPAsobre el Protocolo de control de la transmisión para obtener información.

TelnetTelnet es un método estándar para crear interfaces de comunicación entre dispositivosde terminal a través de TCP creando un “terminal virtual de red”. Consulte la RFC 854sobre Grupo de trabajo de redes para obtener más información.


E-14

Puerto de troyanosLos puertos de troyanos los utilizan habitualmente los programas de caballo de Troyapara conectarse a un equipo. Durante una epidemia, OfficeScan bloquea los siguientesnúmeros de puerto que los troyanos pueden utilizar:

TABLA E-1. Puertos de troyanos

NÚMERO DE PUERTO TROYANO NÚMERO DE PUERTO TROYANO

23432 Asylum 31338 Net Spy

31337 Back Orifice 31339 Net Spy

18006 Back Orifice 2000 139 Nuker

12349 Bionet 44444 Prosiak

6667 Bionet 8012 Ptakks

80 Codered 7597 Qaz

21 DarkFTP 4000 RA

3150 Deep Throat 666 Ripper

2140 Deep Throat 1026 RSM

10048 Delf 64666 RSM

23 EliteWrap 22222 Rux

6969 GateCrash 11000 Senna Spy

7626 Gdoor 113 Shiver

10100 Gift 1001 Silencer

21544 Girl Friend 3131 SubSari

7777 GodMsg 1243 Sub Seven

6267 GW Girl 6711 Sub Seven

25 Jesrto 6776 Sub Seven

Glosario

E-15

NÚMERO DE PUERTO TROYANO NÚMERO DE PUERTO TROYANO

25685 Moon Pie 27374 Sub Seven

68 Mspy 6400 Thing

1120 Net Bus 12345 Valvo line

7300 Net Spy 1234 Valvo line

Puerto de confianzaEl servidor y el cliente de OfficeScan utilizan puertos de confianza para comunicarseentre sí.

Si bloquea los puertos de confianza y restaura la configuración normal de la red despuésde una epidemia, los clientes de OfficeScan no reanudarán la comunicación con elservidor de inmediato. La comunicación entre cliente y servidor se restauraráúnicamente cuando haya transcurrido el número de horas especificadas en la pantallaConfiguración de la prevención de epidemias.

OfficeScan utiliza el puerto HTTP (8080 de forma predeterminada) como puerto deconfianza del servidor. Durante la instalación puede indicar un número de puertodistinto. Para bloquear este puerto de confianza y el puerto de confianza del cliente deOfficeScan, seleccione la casilla de verificación Bloquear puertos de confianza queaparece en la pantalla Bloqueo de puertos.

El instalador maestro genera aleatoriamente el puerto de confianza del cliente deOfficeScan durante la instalación.

Determinar los puertos de confianza

Procedimiento




E-16

3. Para el puerto de confianza del servidor, busque la cadena "Master_DomainPort" ycompruebe el valor que aparece junto a la misma.

Por ejemplo, si la cadena aparece como Master_DomainPort=80, significa queel puerto de confianza del servidor es el puerto 80.

4. Para el puerto de confianza del cliente, busque la cadena"Client_LocalServer_Port" y compruebe el valor que aparece junto a la misma.

Por ejemplo, si la cadena aparece como Client_LocalServer_Port=41375,significa que el puerto de confianza del cliente es el puerto 41375.

Comunicación bidireccionalLa comunicación bidireccional es una alternativa a la comunicación unidireccional.Basada en la comunicación unidireccional, pero con un canal HTTP adicional que recibelas notificaciones del servidor, la comunicación bidireccional puede mejorar los envíosen tiempo real y el procesamiento de comandos desde el servidor por parte del agenteMCP.

UDPEl protocolo de datagramas de usuario (UDP) es un protocolo de comunicación sinconexión utilizado con IP para que los programas de aplicación envíen mensajes a otrosprogramas. Consulte el código RFC 768 de la agencia DARPA sobre el Protocolo decontrol de la transmisión para obtener información.

Archivo que no se puede limpiarEl motor de escaneo de virus no puede limpiar los siguientes archivos:

• Archivos infectados con troyanos

• Archivos infectados con gusanos

Glosario

E-17

• Archivos protegidos contra escritura

• Archivos protegidos mediante contraseña

• Archivos de copia de seguridad

• Archivos infectados de la Papelera de reciclaje

• Archivos infectados de la carpeta temporal de Windows o de Internet Explorer

Archivos infectados con troyanosLos troyanos son programas que ejecutan acciones imprevistas o no autorizadas, por logeneral malintencionadas como, por ejemplo, mostrar mensajes, eliminar archivos oformatear discos. Los troyanos no infectan los archivos, por lo que no es necesariolimpiarlos.

Solución: OfficeScan utiliza el motor de limpieza de virus y la plantilla de limpieza devirus para eliminar los troyanos.

Archivos infectados con gusanos

Un gusano informático es un programa (o conjunto de programas) completo capaz depropagar a otros equipos informáticos copias funcionales de sí mismo o de sussegmentos. La propagación suele efectuarse a través de conexiones de red o archivosadjuntos de correo electrónico. Los gusanos no se pueden limpiar porque el archivo ensí es un programa completo.

Solución: Trend Micro recomienda eliminar los gusanos.

Archivos protegidos contra escritura

Solución: quite la protección contra escritura para que OfficeScan pueda limpiar elarchivo.


E-18

Archivos protegidos mediante contraseña

Incluye los archivos comprimidos o archivos de Microsoft Office protegidos mediantecontraseña.

Solución: quite la protección mediante contraseña para que OfficeScan pueda limpiarlos archivos.

Archivos de copia de seguridad

Los archivos con la extensión RB0~RB9 son copias de seguridad de los archivosinfectados. OfficeScan crea una copia de seguridad del archivo infectado por si el virus/malware daña el archivo original durante el proceso de limpieza.

Solución: si OfficeScan consigue limpiar el archivo infectado correctamente, no esnecesario conservar la copia de seguridad. Si el equipo funciona con normalidad, puedeborrar el archivo de copia de seguridad.

IN-1

ÍndiceAAccess Control Server (ACS), 16-3acción en los sucesos del sistemasupervisado, 8-5acciones

Prevención de pérdida de datos, 10-37Acciones de exploración, 7-38

spyware/grayware, 7-50virus/malware, 7-75

Actitud de seguridad, 16-4ActiveAction, 7-40Active Directory, 2-34–2-36, 2-52, 2-57, 5-15, 5-34

administración de servidores externos,2-34agrupación de clientes, 2-52alcance y consulta, 14-74credenciales, 2-35duplicar estructura, 2-57grupos de clientes personalizados, 2-34integración, 2-34role-based administration, 2-34Sincronización, 2-36

ActiveSync, 10-36actualización del cliente

disable, 6-49Actualización del cliente

activada por suceso, 6-39actualización programada, 6-41, 6-48actualización programada con NAT,6-43Automático, 6-39derechos, 6-48desde el servidor ActiveUpdate, 6-49fuente estándar, 6-31

fuente personalizada, 6-33manual, 6-46

Actualización del servidoractualización manual, 6-26actualización programada, 6-27configuración del proxy, 6-19Duplicación de componentes, 6-21métodos de actualización, 6-26registros, 6-27

actualización de OfficeScan, 6-12Actualizaciones, 4-21, 4-22

Agente de actualización, 6-58aplicar, 6-55clientes, 6-28Servidor de OfficeScan, 6-15Smart Protection Server integrado, 4-21,4-22

actualizarSmart Protection Server, 6-14

Actualizar ahora, 6-48administración de servidores externos, 2-34,14-73

consulta programada, 14-78registros, 18-9resultados de la consulta, 14-77

administrador de cuarentena, 13-49Agente de actualización, 5-3, 5-6, 5-32, 6-58

asignación, 6-58Duplicación de componentes, 6-65fuente de actualización estándar, 6-61informe analítico, 6-66métodos de actualización, 6-65requisitos de sistema, 6-58


IN-2

agrupación de clientes, 2-52–2-54, 2-56, 2-57,2-59–2-61

Active Directory, 2-52, 2-56añadir un dominio, 2-59Automático, 2-53, 2-54cambiar el nombre de un dominio, 2-61Direcciones IP, 2-57DNS, 2-52eliminar un dominio o cliente, 2-60grupos personalizados, 2-53manual, 2-52, 2-53métodos, 2-52mover un cliente, 2-61NetBIOS, 2-52tareas, 2-59

agrupación de clientes automática, 2-53, 2-54Agrupar clientes de forma manual, 2-52, 2-53amenazas web, 11-2Aplicaciones de MI, 10-28árbol de clientes, 2-37, 2-39–2-43, 2-46–2-49, 2-51

acerca de, 2-37búsqueda avanzada, 2-40, 2-41filtros, 2-40tareas específicas, 2-42, 2-43, 2-46–2-49,2-51

actualizaciones manuales decomponentes, 2-47administración de clientes, 2-43Implementación del agente CiscoNAC, 2-51Prevención de epidemias, 2-46recuperar actualizaciones decomponentes, 2-48registros de riesgos de seguridad,2-49

tareas generales, 2-39

vistas, 2-40archivos cifrados, 7-46archivos comprimidos, 7-30, 7-72, 7-75archivos de patrones

Lista de bloqueo Web, 4-9protección inteligente, 4-8Smart Scan Agent Pattern, 4-9Smart Scan Pattern, 4-9

Archivos Hotfix, 6-9, 6-57ARP en conflicto, 12-5Ataque con fragmentos pequeños, 12-5Ataque LAND, 12-5atributos de archivo, 10-5, 10-10, 10-12

comodines, 10-12crear, 10-12importación, 10-12

Autenticación, autorización y contabilidad(AAA), 16-4AutoPcc.exe, 5-13, 5-14, 5-23, 5-24autoprotección del cliente, 14-13

BBase de conocimientos, 18-26Bloqueador de comportamientosmalintencionados, 8-2bloqueo de puertos, 7-109

Ccaché de exploración, 7-67caché de la exploración bajo petición, 7-68caché de la firma digital, 7-67canales de aplicaciones y sistemas, 10-24,10-32–10-37

almacenamiento extraíble, 10-35CD/DVD, 10-33impresora, 10-34Portapapeles de Windows, 10-37

Índice

IN-3

programas Peer To Peer (P2P), 10-34software de sincronización, 10-36

canales de red, 10-24, 10-25, 10-27–10-29, 10-31,10-32, 10-38

alcance de la transmisión, 10-32conflictos, 10-32todas las transmisiones, 10-29transmisiones externas, 10-31

Aplicaciones de MI, 10-28clientes de correo electrónico, 10-25correo electrónico Web, 10-29destinos no supervisados, 10-32, 10-38destinos supervisados, 10-32, 10-38destinos y alcance de la transmisión,10-29FTP, 10-27HTTP y HTTPS, 10-28Protocolo SMB, 10-28

Case Diagnostic Tool, 18-2Centro de información de seguridad, 18-27certificado ACS, 16-19certificado CA, 16-19, 16-21Certificados, 16-19

CA, 16-21SSL, 16-38, 16-40

Certificados digitales, 16-5Certificado SSL, 16-38, 16-40Check Point SecureClient, 5-33Cisco NAC

arquitectura, 16-6componentes y términos, 16-2implementación del servidor depolíticas, 16-25

Cisco Trust Agent, 6-9, 16-3Cliente de OfficeScan

archivos, 14-15

claves de registro, 14-16Clientes inactivos, 14-25conexión con el servidor deOfficeScan, 14-26, 14-42conexión con el Smart ProtectionServer, 14-43desinstalación, 5-76espacio de disco reservado, 6-51importar y exportar configuración, 14-57información detallada sobre el cliente,14-56métodos de instalación, 5-11procesos, 14-16

clientes, 2-52, 2-60, 2-61, 4-35, 5-2agrupamiento, 2-52características, 5-3conexión, 4-35configuración del proxy, 4-35eliminar, 2-60instalación, 5-2mover, 2-61ubicaciones, 4-35

Clientes en modo roaming, 5-5, 5-8Clientes inactivos, 14-25clientes no accesibles, 14-47client mover, 14-23Client Packager, 5-14, 5-27, 5-28, 5-34, 5-36

Configuración, 5-30implementación, 5-29

Código malicioso ActiveX, 7-3Código malicioso Java, 7-3comodines, 10-12

atributos de archivo, 10-12control de dispositivos, 9-9

Compatibilidad con IPv6, A-2limitaciones, A-3, A-5


IN-4

visualización de direcciones IPv6, A-7componentes, 2-7, 2-12, 2-13, 2-18, 2-20, 2-21,2-23–2-25, 2-28–2-30, 5-75, 6-2, 15-3

Actualizaciones de cliente, 2-20Conectividad del cliente, 2-13Control de activos digitales -Detecciones durante un tiempo, 2-24derechos y configuración deactualización, 6-48Detección de riesgos de seguridad, 2-18disponibles, 2-12en el agente de actualización, 6-58en el cliente, 6-28en el servidor de OfficeScan, 6-15Epidemias, 2-18Eventos de rellamada de C&C, 2-25Fuentes de amenazas principales de lareputación Web, 2-28Incidentes principales de prevención depérdida de datos, 2-23Mapa de amenazas de la reputación deficheros, 2-30OfficeScan and Plug-ins Mashup, 2-21resumen de la actualización, 6-67Usuarios con amenazas principales dela reputación Web, 2-29

componentes predefinidos, 2-11Comprobación de la conexión, 14-45condiciones, 10-21configuración de DHCP, 5-51Configuración de inicio de sesión, 5-13, 5-14,5-23, 5-25configuración de la caché para lasexploraciones, 7-67configuración del proxy, 4-35

clientes, 4-35

configuración automática del proxy,14-55derechos, 14-54para la actualización de componentesdel servidor, 6-19para la conexión externa, 14-53para la conexión interna, 14-51

Configuración de servicios adicionales, 14-6,14-7Conformidad con las normas de seguridad,14-59

administración de servidores externos,2-34, 14-73aplicar, 14-74aplicar actualización, 6-55componentes, 14-63Configuración, 14-67Explorar, 14-65instalación, 5-66registros, 18-9servicios, 14-61valoraciones programadas, 14-72

conocimiento de ubicación, 14-2consola del cliente

restricción de acceso, 14-18consola Web, 1-16, 2-2–2-4

acerca de, 2-2actualización, 2-3banner, 2-4contraseña, 2-4cuenta de inicio de sesión, 2-4URL, 2-3

contactar, 18-25–18-27Base de conocimientos, 18-26Evaluación de la documentación, 18-27servicio de asistencia técnica, 18-25

Índice

IN-5

Trend Micro, 18-25–18-27continuidad de protección, 4-12contraseña, 13-48Contrato de licencia para usuario final(EULA), E-4Controlador de la exploración antivirus, 6-4Controlador de la supervisión decomportamiento, 6-8Control de activos digitales

componentes, 2-24control de dispositivos, 9-2, 9-3, 9-5–9-11, 9-13,9-14

actualización, 9-2administración del acceso, 9-10, 9-14comodines, 9-9dispositivos de almacenamiento, 9-3,9-5–9-7dispositivos externos, 9-10, 9-14dispositivos sin almacenamiento, 9-10dispositivos USB, 9-13lista de permitidos, 9-13permisos, 9-3, 9-5–9-8, 9-10

ruta y nombre de programa, 9-8permisos avanzados, 9-11

configurar, 9-11Proveedor de firmas digitales, 9-8

Control de dispositivos, 1-18Notificaciones, 9-17registros, 9-18, 18-10

control de dispositivos;lista de control dedispositivos;lista de control dedispositivos:adición de programas, 9-16control del rendimiento, 7-31Control Manager

integración con OfficeScan, 13-25registros del Agente de MCP, 18-11

Copia de seguridad de la base datos, 13-45correo electrónico Web, 10-29Cortafuegos, 5-4, 5-6, 12-2

derechos, 12-6, 12-25desactivar, 12-6excepciones de las políticaspredeterminadas, 12-15, 12-16excepciones de políticas, 12-14perfiles, 12-4, 12-18políticas, 12-9probar, 12-34supervisor de epidemias, 12-6tareas, 12-8ventajas, 12-2

criteriosexpresiones personalizadas, 10-7palabras clave, 10-16, 10-17

criterios de epidemia, 7-102, 11-18, 12-32criterios de exploración

actividad de los usuarios en losarchivos, 7-29archivos para explorar, 7-29compresión de archivos, 7-30programa, 7-32Uso de la CPU, 7-31

cuentas de usuario, 2-5panel Resumen, 2-5

DDamage Cleanup Services, 1-17, 5-4, 5-6derechos

derecho de descarga, 14-19derecho de itinerancia, 14-20Derechos de escaneos programados,7-58Derechos de exploración, 7-55


IN-6

derechos de exploración del correo,7-63derechos de la configuración del proxy,14-54derechos del cortafuegos, 12-25, 12-27

Derechos de exploración, 7-55Desbordamiento SYN, 12-5desinstalación, 5-76

desde la consola Web, 5-77Plug-in Manager, 15-10Protección de datos, 3-15uso del programa de desinstalación, 5-78

desinstalación del cliente, 5-76destinos no supervisados, 10-30, 10-31destinos supervisados, 10-30, 10-32Detección de rootkits, 6-8Digital Signature Pattern, 6-9, 7-67dirección IP del gateway, 14-3Dirección MAC, 14-3directorio de cuarentena, 7-42, 7-47Dispositivo de acceso a red, 16-3dispositivos de almacenamiento

permisos, 9-3permisos avanzados, 9-5–9-7

dispositivos externosadministración del acceso, 9-10, 9-14

dispositivos sin almacenamientopermisos, 9-10

dispositivos USBlista de permitidos, 9-13

configurar, 9-13documentación, xdominios, 2-52, 2-59–2-61

agregar, 2-59agrupación de clientes, 2-52cambiar el nombre, 2-61

eliminar, 2-60dominios de correo electrónico, 10-26dominios de correo electrónico nosupervisados, 10-26dominios de correo electrónicosupervisados, 10-26Driver del Cortafuegos común, 6-7, 18-20DSP, 9-8Duplicación de componentes, 6-21, 6-65

EEnciclopedia de virus, 7-2Entidad emisora de certificados (CA), 16-5escaneo de cookies, 7-78Estadíscias Top 10 de Riesgos de Seguridad,2-19Evaluación de la documentación, 18-27exclusiones de la exploración, 7-33

archivos, 7-36directorios, 7-34extensiones de los archivos, 7-37

exploración convencional, 7-9, 7-10cambiar a Smart Scan, 7-10

Exploración de correo, 5-5, 5-7, 5-33, 7-63exploración de la base de datos, 7-73Exploración del servidor de MicrosoftExchange, 7-74exploración de prueba, 5-75Exploración de spyware/grayware

acciones, 7-50Lista de permitidos, 7-51resultados, 7-99

Exploración de virus/malwareconfiguración general, 7-70resultados, 7-91

Exploración en tiempo real, 7-15Exploración manual, 7-18

Índice

IN-7

acceso directo, 7-72Exploración programada, 7-20

detener automáticamente, 7-80omitir y detener, 7-59, 7-80posponer, 7-79reanudar, 7-80recordar, 7-79

Explorar ahora, 7-23Exportar configuración, 14-57expresiones, 10-5

Personalizado, 10-6, 10-10criterios, 10-7

predefinidas, 10-5, 10-6expresiones personalizadas, 10-6, 10-7, 10-10

criterios, 10-7importación, 10-10

Expresiones predefinidas, 10-5ver, 10-6

Expresiones regulares compatibles con Perl,10-7

FFalso antivirus, 7-45Feedback Inteligente, 4-3file reputation, 4-3, 4-4filtro de aplicaciones, 12-3Fragmento demasiado grande, 12-4FTP, 10-27fuente de actualización

Agentes de actualización, 6-60clientes, 6-30Servidor de OfficeScan, 6-18

función de usuarioadministrador, 13-12Usuario avanzado de Trend, 13-12usuario invitado, 13-12

funciones nuevas, 1-2, 1-7, 1-8

Ggateway settings importer, 14-5grupos de clientes personalizados, 2-34, 2-53Gusanos, 7-4

HHerramienta de ajuste del rendimiento, 18-2Herramienta de creación de plantillas deexploración previa de VDI, 14-90Herramienta de lista de dispositivos, 9-13herramienta Touch, 6-57HTTP y HTTPS, 10-28

Iidentificadores de datos, 10-5

atributos de archivo, 10-5expresiones, 10-5palabras clave, 10-5

IDS, 12-4IGMP fragmentado, 12-5imagen de disco de cliente, 5-15, 5-41Importar configuración, 14-57Infector de archivos COM, 7-3Infector de archivos EXE, 7-3información del servidor web, 13-47Informe de conformidad, 14-59instalación, 5-2

cliente, 5-2Conformidad con las normas deseguridad, 5-66Plug-in Manager, 15-3programa de complemento, 15-5Protección de datos, 3-2Servidor de políticas, 16-35

instalación del cliente, 5-2, 5-24basada en explorador, 5-20Client Packager, 5-27


IN-8

Configuración de inicio de sesión, 5-23desde la consola Web, 5-21desde la página Web de instalación, 5-17mediante la imagen de disco de cliente,5-41mediante Vulnerability Scanner, 5-42posterior a la instalación, 5-73requisitos de sistema, 5-2uso de la conformidad con las normasde seguridad, 5-66

instalación remota, 5-14IntelliScan, 7-29intranet, 4-14IPv6, 4-27

soporte, 4-27IpXfer.exe, 14-23

LLicencias, 13-42

estado, 2-6Protección de datos, 3-4

Lista de bloqueo Web, 4-9, 4-23lista de excepción, 8-6

Supervisión del comportamiento, 8-6Lista de permitidos, 7-51lista de programas bloqueados, 8-6lista de programas permitidos, 8-6Lista de software seguro certificado, 12-3LogServer.exe, 18-3, 18-16

Mmétodo de exploración, 5-30

Predeterminado, 7-8métodos de actualización

Agente de actualización, 6-65clientes, 6-38Servidor de OfficeScan, 6-26

Microsoft SMS, 5-15, 5-36migración

desde servidores ServerProtectnormales, 5-70desde software de seguridad de otrosfabricantes, 5-69

modo de valoración, 7-77Motor Anti-Spyware, 6-6Motor de Escaneo de Spyware, 6-6Motor de Escaneo de Virus, 6-4Motor de filtrado de URL, 6-7Motor de limpieza de virus, 6-5

NNetBIOS, 2-52Network VirusWall Enforcer, 4-35nivel de seguridad del cliente, 14-17Notificaciones

Actualización del cliente, 6-53Control de dispositivos, 9-17detección de amenazas web, 11-13detección de spyware/grayware, 7-51detección de virus o malware, 7-46Detecciones de rellamada de C&C,11-18epidemias, 7-102, 11-18, 12-32infracciones del cortafuegos, 12-29para administradores, 10-50, 13-34para usuarios de clientes, 7-86, 10-53patrón de virus obsoleto, 6-54reinicio del equipo, 6-54

OOfficeScan

acerca de, 1-2actualización de componentes, 5-75

Índice

IN-9

características y ventajas principales,1-16cliente, 1-20componentes, 2-20, 6-2consola Web, 2-2Copia de seguridad de la base datos,13-45documentación, xexploración de la base de datos, 7-73Integración de SecureClient, 17-3Licencias, 13-42Programas, 2-20registros, 13-38servicios del cliente, 14-12servidor web, 13-47terminología, xii

operadores lógicos, 10-21

PPacker, 7-4página Web de instalación, 5-11, 5-12, 5-17palabras clave, 10-5, 10-13

Personalizado, 10-15–10-17, 10-19predefinidas, 10-14, 10-15

palabras clave personalizadas, 10-15criterios, 10-16, 10-17importación, 10-19

palabras clave predefinidasdistancia, 10-15número de palabras clave, 10-14

panelesResumen, 2-5–2-7, 2-11

panel resumencomponentes y programas, 2-20

panel Resumen, 2-5–2-7, 2-11componentes, 2-7componentes predefinidos, 2-11

cuentas de usuario, 2-5estado de la licencia del producto, 2-6pestañas, 2-7pestañas predefinidas, 2-11

Paquete MSI, 5-15, 5-34, 5-36Patrón de aplicación de políticas, 6-9Patrón de configuración de la supervisión decomportamiento, 6-8Patrón de detección de Monitorización delComportamiento, 6-8Patrón de Excepciones Intellitrap, 6-5Patrón del cortafuegos habitual, 7-3Patrón de monitorización activa de Spyware,6-6Patrón de virus, 6-3, 6-54, 6-56patrones incrementales, 6-21Patrón IntelliTrap, 6-5PCRE, 10-7permisos

avanzados, 9-11dispositivos de almacenamiento, 9-3dispositivos sin almacenamiento, 9-10ruta y nombre de programa, 9-8

permisos avanzadosconfigurar, 9-11dispositivos de almacenamiento, 9-5–9-7

pestañas, 2-7pestañas predefinidas, 2-11Phishing, E-10Ping de la muerte, 12-4Plantilla de limpieza de virus, 6-6plantillas, 10-20–10-22, 10-24

condiciones, 10-21operadores lógicos, 10-21Personalizado, 10-21, 10-22, 10-24predefinidas, 10-20


IN-10

plantillas personalizadas, 10-21crear, 10-22importación, 10-24

plantillas predefinidas, 10-20Plug-in Manager, 1-16, 5-5, 5-8, 15-2

administración de las característicasnativas de OfficeScan, 15-4desinstalación, 15-10instalación, 15-3solución de problemas, 15-10

Policy Server for Cisco NAC, 16-3certificado CA, 16-21Certificados, 16-19Certificado SSL, 16-19composición de las políticas, 16-16composición de las reglas, 16-11información general sobre laimplementación, 16-25instalación del servidor de políticas,16-35políticas, 16-46políticas predeterminadas, 16-17políticas y reglas, 16-10proceso de validación del cliente, 16-7reglas, 16-46reglas predeterminadas, 16-12, 16-13requisitos de sistema, 16-22Sincronización, 16-47, 16-48

Política, 10-3Política de prevención de epidemias

bloquear puertos, 7-109denegar el acceso de escritura, 7-110limitar/Denegar el acceso a las carpetascompartidas, 7-108

políticasCortafuegos, 12-4, 12-9

Prevención de pérdida de datos, 10-44reputación Web, 11-5

Portapapeles de Windows, 10-37Prevención de epidemias, 2-18

desactivar, 7-111políticas, 7-107

Prevención de pérdida de datos, 10-2, 10-3,10-5

acciones, 10-37atributos de archivo, 10-10, 10-12canales, 10-24canales de aplicaciones y sistemas,10-32–10-37canales de red, 10-25, 10-27–10-29, 10-31,10-32, 10-38componentes, 2-23expresiones, 10-5–10-7, 10-10identificadores de datos, 10-5palabras clave, 10-13–10-17, 10-19plantillas, 10-20–10-22, 10-24Política, 10-3políticas, 10-44

prevención de pérdida de datos:canales deaplicaciones y sistemas;canales deaplicaciones y sistemas;canales deaplicaciones y sistemas:cifrado PGP, 10-34Prevención de pérdida de datos:reglas dedescompresión;reglas dedescompresión;archivos comprimidos:reglasde descompresión, 10-39Programa de broma, 7-2programa de complemento

instalación, 15-5Programas, 2-20, 6-2Protección de datos

desinstalación, 3-15

Índice

IN-11

estado, 3-9implementación, 3-6instalación, 3-2licencia, 3-4

protección de los dispositivos externos, 6-8protección inteligente, 4-3, 4-4, 4-6–4-9, 4-11,4-14, 4-27

archivos de patrones, 4-8, 4-9, 4-11Lista de bloqueo Web, 4-9proceso de actualización, 4-11Smart Scan Agent Pattern, 4-9Smart Scan Pattern, 4-9

entorno, 4-14Feedback Inteligente, 4-3fuente, 4-7, 4-8fuentes, 4-27

comparación, 4-7Compatibilidad con IPv6, 4-27protocolos, 4-8ubicaciones, 4-27

Servicios de File Reputation, 4-3, 4-4Servicios de Reputación Web, 4-3, 4-4Smart Protection Network, 4-6Smart Protection Server, 4-7volumen de amenazas, 4-3

Protocolo SMB, 10-28Proveedor de firmas digitales, 9-8

especificación, 9-8ptngrowth.ini, 4-20

RRADIUS (Remote Authentication Dial-InUser Service), 16-5Recuento de registros del cortafuegos, 12-28Recursos de solución de problemas, 18-2registros, 13-38

acerca de, 13-38

registros de actualización del clientes,6-54registros de comprobación de laconexión, 14-46Registros de control de dispositivos,9-18registros de exploración, 7-101registros del cortafuegos, 12-26, 12-27,12-31registros de reputación Web, 11-20registros de restauración de spyware ygrayware, 7-100registros de riesgos de seguridad, 7-90registros de spyware/grayware, 7-97registros de sucesos del sistema, 13-37registros de virus/malware, 7-81, 7-90Supervisión del comportamiento, 8-14

Registros de clientesregistros de ActiveUpdate, 18-18registros de actualización del clientes,18-18registros de actualizaciones/archivoshotfix, 18-17registros de conexiones de clientes,18-18 Registros de Damage CleanupServices, 18-17Registros de depuración, 18-16registros de depuración de OfficeScanfirewall, 18-20registros de depuración de prevenciónde epidemias, 18-19Registros de depuración de protecciónde datos, 10-60, 18-23registros de depuración de reputaciónWeb, 18-22


IN-12

Registros de depuración de TDI, 18-24registros de exploración de correo, 18-18registros de instalación nueva, 18-17

Registros de depuraciónclientes, 18-15servidor, 18-3

Registros del servidorRegistros de Active Directory, 18-6registros de actualización decomponentes, 18-7registros de administración deservidores externos, 18-9registros de agrupación de clientes, 18-7registros de Client Packager, 18-8Registros de conformidad con lasnormas de seguridad, 18-9Registros de control de dispositivos,18-10Registros de depuración, 18-3registros de depuración del motor deEscaneo de Virus, 18-13registros de depuración deServerProtect Migration Tool, 18-11registros de depuración de VSEncrypt,18-11registros de instalación/actualizaciónlocal, 18-5registros de instalación/actualizaciónremota, 18-5registros del agente MCP de ControlManager, 18-11registros de reputación Web, 18-10registros de role-based administration,18-6registros de servidores de Apache, 18-8

Registros de soporte de VirtualDesktop, 18-15

reinicio del servicio, 14-12rellamadas de C&C

componentes, 2-25configuración general, 11-12

reputación Web, 1-17, 4-3, 4-4, 5-3, 5-6, 11-4políticas, 11-5registros, 18-10

requisitos de sistemaAgente de actualización, 6-58Servidor de políticas, 16-22

resumenActualizaciones, 6-67consola, 2-5–2-7, 2-11

Revisiones, 6-9Revisiones de seguridad, 6-9Riesgos de seguridad, 7-2, 7-4–7-6

ataques de phishing, E-10protección desde, 1-16spyware/grayware, 7-4–7-6

role-based administration, 2-34, 13-2cuentas de usuario, 13-19funciones de usuario, 13-2

SSCV Editor, 17-2Secuencia de comandos de prueba EICAR,5-75, 7-4SecureClient, 5-5, 5-8, 17-2

integración con OfficeScan, 17-3SCV Editor, 17-2Servidores de políticas, 17-2

Secure Configuration Verification, 17-2ServerProtect, 5-70Server Tuner, 13-50

Índice

IN-13

Servicio básico de la supervisión decomportamiento, 6-8servicio de asistencia técnica, 18-25Servicio de exploración en tiempo real, 14-41Servicio de software seguro certificado, 8-9Servidor de OfficeScan, 1-19

funciones, 1-19servidor de referencia, 13-31servidor independiente, 4-7servidor integrado, 4-7Símbolo de actitud, 16-4Sincronización, 16-47Sistema de detección de intrusiones, 12-4Smart Protection Network, 1-2, 4-6Smart Protection Server, 4-7, 4-15, 4-19–4-23

actualizar, 6-14independiente, 4-7, 4-20instalación, 4-15integrado, 4-7, 4-20–4-23prácticas recomendadas, 4-19update, 6-28

Smart Protection Server independiente, 4-20ptngrowth.ini, 4-20

Smart Protection Server integrado, 4-20actualizar, 4-21, 4-22

componentes, 4-22Lista de bloqueo Web, 4-23ptngrowth.ini, 4-20

smart scan, 6-3, 7-9, 7-10cambiar de la exploraciónconvencional, 7-10

Smart Scan Agent Pattern, 4-9, 6-3Smart Scan Pattern, 4-9, 6-3software de seguridad de otros fabricantes,5-67Solapamiento de fragmentos, 12-5

solución de problemasPlug-in Manager, 15-10

Soporte de sistema de inteligencia, 2-5, 18-2Soporte de Virtual Desktop, 14-79spyware/grayware, 7-4–7-6

Adware, 7-5amenazas potenciales, 7-5Aplicaciones de robo de contraseñas,7-5Herramientas de acceso remoto, 7-5Herramientas de hackers, 7-5Marcadores telefónicos, 7-5programas de broma, 7-5protección ante, 7-6restaurar, 7-54spyware, 7-4

sucesos del sistema supervisado, 8-3Supervisión del comportamiento, 8-14

acción en los sucesos del sistema, 8-5lista de excepción, 8-6registros, 8-14

Supervisión de sucesos, 8-3

TTACACS+ (Terminal Access ControllerAccess Control System), 16-5tareas previas a la instalación, 5-18, 5-22, 5-66Teardrop, 12-5Tipos de exploración, 5-3, 5-6, 7-14TMPerftool, 18-2TMTouch.exe, 6-57TrendLabs, 18-26Trend Micro

Base de conocimientos, 18-26Centro de información de seguridad,18-27información de contacto, 18-25


IN-14

TrendLabs, 18-26Troyano, 1-17, 6-5, 7-3

Uubicaciones, 4-35

conocimiento, 4-35update

Smart Protection Server, 6-28Uso de la CPU, 7-31

VValidación del cliente, 16-4valoraciones programadas, 14-72variable de símbolo, 7-105VDI, 14-79

registros, 18-15versión de evaluación, 13-42virus/malware, 7-2–7-4

Código malicioso ActiveX, 7-3Código malicioso Java, 7-3Gusanos, 7-4infector de archivos COM y EXE, 7-3Packer, 7-4Programa de broma, 7-2tipos, 7-2–7-4Troyano, 7-3virus/malware probables, 7-2Virus de macro, 7-3Virus de prueba, 7-4Virus de sector de arranque, 7-3Virus de VBScript, JavaScript oHTML, 7-4

virus/malware probables, 7-2, 7-93Virus de macro, 7-3Virus de prueba, 7-4Virus de red, 7-3, 12-4Virus de sector de arranque, 7-3

Virus HTML, 7-4Virus JavaScript, 7-4Virus VBScript, 7-4Vulnerability Scanner, 5-16, 5-42

configuración de DHCP, 5-51configuración del comando ping, 5-64consulta del producto, 5-57eficacia, 5-42protocolos compatibles, 5-59recuperación de la descripción delequipo, 5-60

WWindows Server Core, B-2

comandos, B-7funciones de cliente disponibles, B-6métodos de instalación compatibles, B-2

Fax: +34 91 369 70 31 [email protected]

Item Code: OSEM105883/130313

TREND MICRO INCORPORATEDTREND MICRO España Plaza de las Cortes, 4 – 8º Izq. Madrid, 28014 España

Teléfono: +34 91 369 70 30

OfficeScanTM - Trend Micro

Documents

Transcript of OfficeScanTM - Trend Micro