Ens_1050_help_0-02_es-es.pdf 3yg5n

:\ProgramData\McAfee\Endpoint\Logs

Escriba la ubicación deseada o haga clic en Examinar para llegar a ella. Registro de actividades

Activar registro de actividades

Activa el registro de todas las actividades de Endpoint Security.

Limitar tamaño (MB) de cada uno de los archivos de registro de actividades

Limita cada archivo de registro de actividades al tamaño máximo especificado (entre 1 MB y 999 MB). El valor predeterminado es 10 MB. Si el archivo de registro supera este tamaño, los datos nuevos sustituyen el 25 por ciento más antiguo de las entradas en el archivo. Para permitir que los archivos de registro tengan cualquier tamaño, desactive esta opción.

Registro de depuración

La activación del registro de depuración para cualquier módulo también lo activa para las funciones del módulo Ajustes generales, como por ejemplo Autoprotección. Procedimiento recomendado: Active el registro de depuración durante, al menos, las primeras 24 horas durante las fases de prueba y piloto. Si no se producen problemas durante este tiempo, desactive el registro de depuración para evitar que el rendimiento de los sistemas cliente se vea afectado.

Activar para Prevención de amenazas

Activa el registro detallado de actividades de Prevención de amenazas y tecnologías concretas: Activar para protección de : los registros se realizan en AccessProtection_Debug.log. Activar para Prevención de exploits: los registros se realizan en ExploitPrevention_Debug.log. Activar para análisis en tiempo real: los registros se realizan en OnAccessScan_Debug.log. Activar para análisis bajo demanda: los registros se realizan en OnDemandScan_Debug.log. La activación del registro de depuración para cualquier tecnología de Prevención de amenazas también lo activa para Cliente de Endpoint Security.

Activar para firewall

Activa el registro detallado de actividades de Firewall.

Activar para Control Activa el registro detallado de actividades de Control web. web Activar para Protección adaptable frente a amenazas

44

McAfee Endpoint Security 10.5

Activa el registro detallado de actividades de Protección adaptable frente a amenazas.

Guía del producto

2

Mediante Cliente de Endpoint Security Referencia de la interfaz del Cliente de Endpoint Security: Ajustes generales

Tabla 2-4 Opciones avanzadas (continuación) Sección

Opción

Definición

Limitar tamaño (MB) de cada uno de los archivos de registro de depuración

Limita el tamaño máximo de cada archivo de registro de depuración al especificado (entre 1 MB y 999 MB). El valor predeterminado es 50 MB. Si el archivo de registro supera este tamaño, los datos nuevos sustituyen el 25 por ciento más antiguo de las entradas en el archivo. Para permitir que los archivos de registro tengan cualquier tamaño, desactive esta opción.

Registro de eventos

Enviar eventos a McAfee ePO

Envía todos los eventos registrados en el Registro de eventos del Cliente de Endpoint Security a McAfee ePO. Esta opción solo se encuentra disponible en sistemas gestionados por McAfee ePO.

Registrar eventos en Envía todos los eventos registrados en el Registro de eventos del el registro de la Cliente de Endpoint Security al registro de aplicaciones de aplicación Windows Windows. Se puede acceder al registro de aplicación de Windows en Visor de eventos | Registros de Windows | Aplicación. Niveles de gravedad

Especifica el nivel de gravedad de los eventos que registrar en el Registro de eventos en Cliente de Endpoint Security: • Ninguno: no se envían alertas • Solo alerta: se envían alertas solo de nivel 1. • Crítico y alerta: se envían alertas de nivel 1 y 2. • Advertencia, crítico y alerta: se envían alertas de nivel de 1 a 3. • Todo excepto Informativo: se envían alertas de nivel de 1 a 4. • Todo: se envían alertas de nivel de 1 a 5. • 1: Alerta • 2: Crítico • 3: Advertencia • 4: Aviso • 5: Informativo

Eventos de Prevención de amenazas que registrar

Especifica el nivel de gravedad de los eventos para cada función de Prevención de amenazas que se debe registrar: Protección de : los registros se realizan en AccessProtection_Activity.log. Al activar el registro de eventos para Protección de , también se activa el registro de eventos para Autoprotección. Prevención de exploits: los registros se realizan en ExploitPrevention_Activity.log. Análisis en tiempo real: los registros se realizan en OnAccessScan_Activity.log. Análisis bajo demanda: los registros se realizan en OnDemandScan_Activity.log.

Eventos de Firewall que registrar


Especifica el nivel de gravedad de los eventos de Firewall que registrar.

Guía del producto

45

2



Servidor proxy para McAfee GTI

Opción

Definición

Eventos de Control web que registrar

Especifica el nivel de gravedad de los eventos de Control web que registrar.

Eventos de Protección adaptable frente a amenazas que registrar

Especifica el nivel de gravedad de los eventos de Protección adaptable frente a amenazas que registrar.

Sin servidor proxy

Especifica que los sistemas gestionados recuperan información sobre reputación de McAfee GTI directamente a través de Internet, en vez de a través de un servidor proxy. (Opción predeterminada)

Utilizar configuración de proxy del sistema

Especifica el uso de la configuración de proxy en el sistema cliente y, opcionalmente, activa la autenticación de proxy HTTP.

Configurar servidor proxy

Personaliza la configuración de proxy. • Dirección: especifica la dirección IP o el nombre de dominio completo del servidor proxy HTTP. • Puerto: limita el a través del puerto especificado. • Excluir estas direcciones: no usar el servidor proxy HTTP para sitios web o direcciones IP que empiecen con las entradas especificadas. Haga clic en Agregar y, a continuación, introduzca el nombre de dirección que excluir. Procedimiento recomendado: Excluya las direcciones de McAfee GTI del servidor proxy. Para obtener información, consulte KB79640 y KB84374.

Activar autenticación de proxy HTTP

Especifica que el servidor proxy HTTP requiere autenticación. (Esta opción solo está disponible cuando selecciona un servidor proxy HTTP). Introduzca unas credenciales de proxy HTTP: • Nombre de : especifica el nombre de la cuenta de con permisos para acceder al servidor proxy HTTP especificado. • Contraseña: especifica la contraseña para el Nombre de . • Confirmar contraseña: confirma la contraseña especificada.

Actualización de cliente predeterminado

Activar el botón Actualizar ahora en el cliente

Muestra u oculta el botón Actualizar ahora en la página principal del Cliente de Endpoint Security.

Qué actualizar

Especifica qué actualizar al hacer clic en el botón Actualizar ahora.

Haga clic en este botón para comprobar y descargar manualmente actualizaciones de archivos de contenido y componentes de software en el sistema cliente.

• Contenido de seguridad, hotfixes y parches: actualiza a las versiones más recientes todo el contenido de seguridad (ya sea contenido de motor, AMCore o Prevención de exploits), así como cualquier hotfix y parche. • Contenido de seguridad: Actualiza únicamente contenido de seguridad. (Opción predeterminada) • Hotfixes y parches: actualiza únicamente hotfixes y parches.

46


Guía del producto


2


Opción

Definición Configura sitios desde los que obtener actualizaciones para archivos de contenido y componentes de software.

Sitios de origen para las actualizaciones

Puede activar y desactivar el sitio de origen de copia de seguridad predeterminado, McAfeeHttp, y el servidor de gestión (para sistemas gestionados), pero no podrá modificarlos ni eliminarlos. Indica elementos que pueden moverse en la lista. Seleccione elementos y arrástrelos hasta la nueva ubicación. Aparecerá una línea azul entre elementos en los puntos en los que se pueden colocar los elementos arrastrados. Agregar

Agrega un sitio a la lista de sitios de origen.

Hacer doble clic Modifica el elemento seleccionado. en un elemento Eliminar

Elimina el sitio seleccionado de la lista de sitios de origen.

Importar

Importa sitios desde un archivo de lista de sitios de origen. Seleccione el archivo para importar y haga clic en Aceptar. El archivo de lista de sitios reemplaza la lista de sitios de origen actual.

Exportar todo

Exporta la lista de sitios de origen al archivo SiteList.xml. Seleccione la ubicación en la que guardar el archivo de lista de sitios de origen y haga clic en Aceptar.

Servidor proxy para sitios de origen

Sin servidor proxy

Especifica que los sistemas gestionados recuperan información sobre reputación de McAfee GTI directamente a través de Internet, en vez de a través de un servidor proxy. (Opción predeterminada)

Utilizar configuración de proxy del sistema

Especifica el uso de la configuración de proxy para el sistema cliente, y activa opcionalmente la autenticación de proxy HTTP o FTP.

Configurar servidor proxy

Personaliza la configuración de proxy. • Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del servidor proxy HTTP o FTP. • Puerto: limita el a través del puerto especificado. • Excluir estas direcciones: especifica las direcciones de los sistemas del Cliente de Endpoint Security que no se desea que utilicen el servidor proxy para obtener calificaciones de McAfee GTI. Haga clic en Agregar e introduzca la dirección que excluir.

Activar autenticación de proxy HTTP/FTP

Especifica que el servidor proxy HTTP o FTP requiere autenticación. (Esta opción solo está disponible cuando se ha seleccionado un servidor proxy HTTP o FTP.) Introduzca unas credenciales de proxy: • Nombre de : especifica el nombre de la cuenta de con permisos para acceder al servidor proxy. • Contraseña: especifica la contraseña para el Nombre de especificado. • Confirmar contraseña: confirma la contraseña especificada.


Guía del producto

47

2


Véase también Proteger recursos de Endpoint Security en la página 30 Configurar parámetros de registro en la página 31 Control del a la interfaz de cliente en la página 32 Configuración del servidor proxy para McAfee GTI en la página 33 Configure el comportamiento predeterminado de las actualizaciones en la página 36 Configurar sitios de origen para actualizaciones en la página 34 Agregar sitio o Editar sitio en la página 48

Agregar sitio o Editar sitio Agrega o edita un sitio en la lista de sitios de origen. Tabla 2-5 Definiciones de opciones Option

Definición

Nombre

Indica el nombre del sitio de origen que contiene los archivos de actualización.

Activar

Activa o desactiva el uso del sitio de origen para descargar archivos de actualización.

Recuperar archivos desde

Especifica de dónde se han de recuperar los archivos.

Repositorio HTTP

Recupera los archivos desde la ubicación del repositorio HTTP designada. HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red, pero ite un mayor nivel de conexiones simultáneas que FTP.

URL

• Nombre DNS: indica que la URL es un nombre de dominio. • IPv4: indica que la dirección URL es una dirección IPv4. • IPv6: indica que la dirección URL es una dirección IPv6. http:// : especifica la dirección del servidor HTTP y de la carpeta en la que se encuentran los archivos de actualización. Puerto: especifica el número de puerto para el servidor HTTP.

Utilizar autenticación

Se selecciona para usar autenticación y especificar las credenciales de a la carpeta de archivos de actualización. • Nombre de : especifica el nombre de la cuenta de con permisos para leer la carpeta de archivos de actualización. • Contraseña: especifica la contraseña para el Nombre de especificado. • Confirmar contraseña: confirma la contraseña especificada.

48


Guía del producto

2


Tabla 2-5 Definiciones de opciones (continuación) Option

Definición

Repositorio FTP Recupera los archivos desde la ubicación del repositorio HTTP designada. Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos de seguridad de red. Dado que el FTP es menos propenso a ataques de código no deseados que HTTP, puede ofrece una mejor tolerancia.

URL

• Nombre DNS: indica que la URL es un nombre de dominio. • IPv4: indica que la dirección URL es una dirección IPv4. • IPv6: indica que la dirección URL es una dirección Ipv6. ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que se encuentran los archivos de actualización. Puerto: especifica el número de puerto para el servidor HTTP.

Utilizar inicio de sesión anónimo

Se selecciona para usar un FTP anónimo para acceder a la carpeta de archivos de actualización. Anule la selección de esta opción para especificar las credenciales de . • Nombre de : especifica el nombre de la cuenta de con permisos para leer la carpeta de archivos de actualización. • Contraseña: especifica la contraseña para el Nombre de especificado. • Confirmar contraseña: confirma la contraseña especificada.

Ruta UNC o Ruta local

Recupera los archivos de la ubicación de ruta UNC o local designada. Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entre dominios requieren permisos de seguridad para cada dominio, lo que precisa mayor configuración para la actualización.

Ruta

• Ruta UNC: especifica la ruta mediante la notación UNC (\ \nombredeservidor\ruta\). • Ruta local: especifica la ruta de una carpeta en una unidad local o de red.

Utilizar cuenta de sesión iniciada

Los s a los archivos actualizados mediante la cuenta en la que se ha iniciado sesión. Esta cuenta debe tener permisos de lectura para las carpetas que contienen los archivos de actualización. Anule la selección de esta opción para especificar las credenciales de . • Dominio: especifica el dominio para la cuenta de . • Nombre de : especifica el nombre de la cuenta de con permisos para leer la carpeta de archivos de actualización. • Contraseña: especifica la contraseña para el Nombre de especificado. • Confirmar contraseña: confirma la contraseña especificada.

Ajustes generales: Tareas Configure y planifique tareas de Cliente de Endpoint Security. En sistemas gestionados, no puede iniciar, detener ni eliminar tareas de .


Guía del producto

49

2


Tabla 2-6

Opciones

Sección Opción

Definición

Tareas

Indica las tareas actualmente definidas y planificadas. • Nombre: nombre de la tarea planificada. • Función: módulo o función con los que está asociada la tarea. • Planificación: cuándo está planificada la ejecución de la tarea y si está desactivada. Por ejemplo, en sistemas gestionados, la tarea Actualización de cliente predeterminada la puede desactivar el . • Estado: estado de la última vez que se ejecutó la tarea: • (sin estado): no se ha ejecutado • Ejecutar: actual en ejecución o pausada • Pausado: pausado por el (como por ejemplo un análisis) • Aplazado: aplazado por el (como por ejemplo un análisis) • Finalizado: ejecución completada sin errores • Finalizado (con errores): ejecución completada con errores • Error: no se pudo completar • Última ejecución: fecha y hora en la que la tarea se ejecutó por última vez. • Origen: origen de la tarea: • McAfee: proporcionado por McAfee. • : (solo en sistemas gestionados) definido por el . • : definido en Cliente de Endpoint Security. En función del origen, algunas tareas no se pueden modificar ni eliminar. Por ejemplo, la tarea Actualización de cliente predeterminada solo se puede cambiar en sistemas autogestionados. Las tareas de , definidas por el en sistemas gestionados, no se pueden modificar ni eliminar en Cliente de Endpoint Security.

50

Hacer doble clic en un elemento

Modifica el elemento seleccionado.

Agregar

Crea una tarea de análisis, actualización o duplicación.

Eliminar

Elimina la tarea seleccionada.


Guía del producto

2


Tabla 2-6

Opciones (continuación)

Sección Opción

Definición

Duplicar

Crea una copia de la tarea seleccionada.

Ejecutar ahora

Ejecuta la tarea seleccionada. Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver. • Análisis rápido: abre el cuadro de diálogo Análisis rápido e inicia el análisis. • Análisis completo: abre el cuadro de diálogo Análisis completo e inicia el análisis. • Análisis personalizado: abre el cuadro de diálogo Análisis personalizado e inicia el análisis. • Actualización de cliente predeterminada: abre el cuadro de diálogo Actualización de cliente predeterminada e inicia la actualización. • Actualizar: abre el cuadro de diálogo Actualización personalizada e inicia la actualización. • Duplicar: abre el cuadro de diálogo Duplicar e inicia la replicación del repositorio. Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación para guardar la configuración.

Véase también Ejecución de un Análisis completo o un Análisis rápido en la página 56 Actualización del contenido y el software de forma manual en la página 22 Configure, planifique y ejecute tareas de duplicación en la página 38 Agregar tarea en la página 51

Agregar tarea Agrega tareas de actualización, duplicación o análisis personalizado. Opción

Definición

Nombre

Especifica el nombre de la tarea.

Seleccionar tipo de tarea

Especifica el tipo de tarea: • Análisis personalizado: configura y planifica análisis personalizados, como los análisis de memoria diarios. • Duplicación: replica en un sitio de duplicación en la red los archivos de contenido y de motor actualizados del primer repositorio accesible. • Actualización: configura y planifica actualizaciones de producto, del motor de análisis o de archivos de contenido.

Véase también Agregar tarea de análisis o Editar tarea de análisis en la página 52 Agregar tarea de duplicación o Editar tarea de duplicación en la página 53 Agregar tarea de actualización o Editar tarea de actualización en la página 52


Guía del producto

51

2


Agregar tarea de análisis o Editar tarea de análisis Planifique la tareaAnálisis completo o Análisis rápido o configure y planifique tareas de análisis personalizado que se ejecutan en el sistema cliente. Tabla 2-7 Ficha

Opciones Opción

Definición Configura la tarea de análisis.

Configuración Nombre

Indica el nombre de la tarea.

Opciones Define la configuración del Análisis bajo demanda. Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en sistemas autogestionados. Activa y planifica las tareas para que se ejecuten a una hora determinada.

Planificación

Véase también Configure, planifique y ejecute tareas de análisis en la página 95 Configurar Análisis bajo demanda en la página 90 Ejecución de un Análisis completo o un Análisis rápido en la página 56 Prevención de amenazas: Análisis bajo demanda en la página 120 Planificación en la página 53

Agregar tarea de actualización o Editar tarea de actualización Planifica la Actualización de cliente predeterminada o configura y planifica tareas de actualización personalizadas que se ejecutan en el sistema cliente. Tabla 2-8 Opciones Ficha

Opción

Definición Configura la tarea de actualización.


Indica el nombre de la tarea.

Qué actualizar Especifica qué actualizar: • Contenido de seguridad, hotfixes y parches • Contenido de seguridad • Hotfixes y parches Solo puede configurar estos parámetros en sistemas autogestionados. Planificación

Activa y planifica las tareas para que se ejecuten a una hora determinada. De forma predeterminada, la tarea Actualización de cliente predeterminada se ejecuta cada día a las 00:00 y se repite cada cuatro horas hasta las 23:59.

Véase también Ajustes generales: Opciones en la página 42 Configure el comportamiento predeterminado de las actualizaciones en la página 36 Configure, planifique y actualice tareas de análisis en la página 37 Planificación en la página 53

52


Guía del producto


2

Agregar tarea de duplicación o Editar tarea de duplicación Configura y planifica tareas de duplicación. Tabla 2-9 Opciones Ficha

Opción


Definición Indica el nombre de la tarea.

Ubicación de duplicación Especifica la carpeta en la que guardar la réplica del repositorio. Activa y planifica las tareas para que se ejecuten a una hora determinada.

Planificación

Véase también Configure, planifique y ejecute tareas de duplicación en la página 38 Planificación en la página 53

Planificación Planifique tareas de análisis, actualización y duplicación. Tabla 2-10

Opciones

Categoría Opción

Definición

Planificación

Planifica las tareas para que se ejecuten a una hora determinada. (Opción activada de forma predeterminada)

Activar planificación

Seleccione esta opción para planificar la tarea. Tipo de planificación

Especifica el intervalo para ejecutar la tarea. • Diario: ejecuta la tarea a diario, ya sea a una hora específica, de forma periódica entre dos horas del día o una combinación de ambas formas. • Semanal: ejecuta la tarea cada semana: • Un día específico entre semana, todos los días entre semana, los fines de semana o mediante una combinación de días • A una hora específica en los días seleccionados o de forma periódica entre dos horas en los días seleccionados • Mensualmente: ejecuta la tarea cada mes, con dos opciones: • El día del mes especificado • Los días de la semana especificados: el primero, segundo, tercero, cuarto o último • Una vez: inicia la tarea a la hora y en la fecha especificadas. • Al iniciar el sistema: ejecuta la tarea al iniciar el sistema. • Al iniciar sesión: inicia la tarea la próxima vez que el inicia sesión en el sistema. • Ejecutar inmediatamente: inicia la tarea de inmediato.

Frecuencia

Especifica la frecuencia para las tareas que se ejecutan a Diario y de forma Semanal.

Ejecutar los

Especifica los días de la semana para tareas que se ejecutan de forma Semanal y Mensual.

Ejecutar en

Especifica los meses del año para las tareas que se ejecutan de manera Mensual.

Ejecutar esta tarea solo una vez al día

Ejecuta la tarea una vez al día para las tareas Al iniciar el sistema yAl iniciar sesión.


Guía del producto

53

2


Tabla 2-10


Categoría Opción

Definición

Retrasar la tarea

Especifica los minutos de retraso antes de ejecutar tareas Al iniciar el sistema y Al iniciar sesión.

Fecha de inicio

Especifica la fecha de inicio para tareas que se ejecutan de manera Semanal, Mensual, a Diario y Una vez.

Fecha de finalización

Especifica la fecha de finalización de las tareas diarias, semanales y mensuales.

Hora de inicio

Especifica la hora para empezar la tarea. • Ejecutar una vez a esa hora: ejecuta la tarea una vez a la Hora de inicio especificada. • Ejecutar a esa hora y repetir hasta: ejecuta la tarea a la Hora de inicio especificada. A continuación, inicia la tarea según el intervalo de horas/minutos especificado en Iniciar tarea cada hasta la hora de finalización especificada. • Ejecutar a esa hora y repetir durante: ejecuta la tarea a la Hora de inicio especificada. A continuación, inicia la tarea según el intervalo de horas/minutos especificado en Iniciar tarea cada hasta que se haya ejecutado durante la duración especificada.

Opciones

Ejecutar esta tarea de Especifica si la planificación de la tarea se ejecuta en función de la acuerdo con la hora hora local del sistema gestionado o según la Hora universal universal coordinada coordinada (UTC). (UTC) Detener la tarea si se ejecuta durante más de

Detiene la tarea una vez transcurrido el número de horas y minutos indicado.

Hacer aleatoria la hora de inicio de la tarea

Especifica que la tarea se ejecute de forma aleatoria dentro del periodo de tiempo elegido.

Si la tarea se interrumpe antes de completarse, la siguiente vez que comience se reanudará desde donde lo dejó.

De lo contrario, la tarea se iniciará a la hora planificada, independientemente de si hay o no otras tareas cliente planificadas para ejecutarse a la misma hora.

Ejecutar tarea omitida Ejecuta la tarea una vez haya transcurrido el tiempo en minutos especificado en Retrasar el inicio cuando se reinicia el sistema gestionado. Especifica las credenciales a utilizar para ejecutar la tarea.

Cuenta

Si no se especifican credenciales, la tarea se ejecuta como cuenta local del del sistema. Nombre de

Especifica la cuenta de .

Contraseña

Especifica la contraseña para la cuenta de especificada.

Confirmar contraseña Confirma la contraseña para la cuenta de especificada. Dominio

Especifica el dominio para la cuenta de especificada.

Véase también Agregar tarea de análisis o Editar tarea de análisis en la página 52 Agregar tarea de actualización o Editar tarea de actualización en la página 52 Agregar tarea de duplicación o Editar tarea de duplicación en la página 53

54


Guía del producto

3

Mediante Prevención de amenazas

Prevención de amenazas comprueba la existencia de virus, spyware, programas no deseados y otras amenazas en el equipo. Contenido Analizar el equipo en busca de malware istrar detecciones de amenazas istrar elementos en cuarentena istrar Prevención de amenazas Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas

Analizar el equipo en busca de malware Analice en busca de malware en el equipo seleccionando opciones en Cliente de Endpoint Security o desde el Explorador de Windows. Procedimientos •

Ejecución de un Análisis completo o un Análisis rápido en la página 56 Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipo manualmente.

•

Analizar un archivo o carpeta en la página 58 Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivo o carpeta individual que sospeche que pueda estar infectado.

Véase también Tipos de análisis en la página 55

Tipos de análisis Endpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda. •

Análisis en tiempo real: el configura análisis en tiempo real para su ejecución en los equipos gestionados. En el caso de equipos gestionados, configure el analizador en tiempo real en la página Configuración. Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real intercepta la operación y analiza el elemento según los criterios definidos en la configuración.

•

Análisis bajo demanda


Guía del producto

55

3

Mediante Prevención de amenazas Analizar el equipo en busca de malware

Manual

El (o el , en el caso de sistemas autogestionados) configura análisis bajo demanda predefinidos o personalizados que los s pueden ejecutar en equipos gestionados. • Ejecute un análisis bajo demanda predefinido en cualquier momento desde Cliente de Endpoint Security haciendo clic en seleccionando un tipo de análisis:

y

Análisis rápido ejecuta una comprobación rápida de las áreas del sistema más susceptibles de infección. Análisis completo realizar una comprobación exhaustiva de todas las áreas del sistema. (Se recomienda si sospecha que el equipo está infectado.) • Analice un archivo o una carpeta en cualquier momento desde el Explorador de Windows haciendo clic con el botón derecho y seleccionando Analizar en busca de amenazas en el menú emergente. • Para configurar y ejecutar un análisis bajo demanda personalizado como desde Cliente de Endpoint Security: 1 Seleccione Configuración | Ajustes generales | Tareas. 2 Seleccione la tarea que ejecutar. 3 Haga clic en Ejecutar ahora. Programado El (o el , en el caso de sistemas autogestionados) configura y planifica análisis bajo demanda para su ejecución en los equipos. Cuando un análisis bajo demanda planificado está a punto de iniciarse, Endpoint Security muestra un mensaje de análisis en la parte inferior de la pantalla. Puede iniciar el análisis inmediatamente o aplazarlo, si se ha configurado. Para configurar y planificar los análisis bajo demanda predefinidos Análisis rápido y Análisis completo: 1 Configuración | Análisis bajo demanda | Análisis completo o Análisis rápido: configura análisis bajo demanda. 2 Configuración | Common | Tareas planifica análisis bajo demanda. Véase también Configure, planifique y ejecute tareas de análisis en la página 95 Responder a aviso de análisis en la página 21

Ejecución de un Análisis completo o un Análisis rápido Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipo manualmente. Antes de empezar El módulo Prevención de amenazas debe estar instalado. El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado la configuración. Con credenciales de puede modificar y planificar estos análisis en la configuración Análisis bajo demanda.

56


Guía del producto


3

Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1

Abra Cliente de Endpoint Security.

2 Haga clic en 3

.

En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo. Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema, recomendado si sospecha que su equipo podría estar infectado. Análisis rápido

Ejecuta una comprobación rápida de las áreas de su sistema que sean más susceptibles de infectarse.

Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis. Asimismo, es posible que encuentre el botón Ver detecciones en el análisis en tiempo real, dependiendo de la configuración y de si se ha detectado una amenaza. Haga clic en este botón para abrir la página Análisis en tiempo real y istrar las detecciones en cualquier momento. Cliente de Endpoint Security muestra el estado del análisis en otra página. Práctica recomendada: La Fecha de creación de AMCore Content indica la última vez que se ha actualizado el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice la protección antes de ejecutar el análisis.

4

5

Haga clic en los botones de la parte superior de la página de estado para controlar el análisis. Pausar análisis

Pausa el análisis antes de que se complete.

Reanudar análisis

Reanudar un análisis pausado.

Cancelar análisis

Cancela un análisis en ejecución.

Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el tiempo transcurrido y las posibles detecciones. Nombre de detección

Identifica el nombre del malware detectado.

Tipo

Muestra el tipo de amenaza.

Archivo

Identifica el archivo infectado.

Acción realizada

Describe la última acción de seguridad emprendida en el archivo infectado: • denegado • Limpiado • Eliminado • Ninguno

La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda.


Guía del producto

57

3


6

Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo infectado. Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén disponibles.

7

Haga clic en Cerrar para cerrar la página.

Véase también Tipos de análisis en la página 55 Nombres de detecciones en la página 62 Actualización del contenido y el software de forma manual en la página 22 istrar detecciones de amenazas en la página 59 Configurar Análisis bajo demanda en la página 90 Configure, planifique y ejecute tareas de análisis en la página 95

Analizar un archivo o carpeta Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivo o carpeta individual que sospeche que pueda estar infectado. Antes de empezar El módulo Prevención de amenazas debe estar instalado. El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado la configuración. Con credenciales de puede modificar estos análisis en la configuración Análisis bajo demanda. Procedimiento 1

En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y seleccione Analizar en busca de amenazas desde el menú emergente. Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas.

2

3

Haga clic en los botones en la parte superior de la página para controlar el análisis. Pausar análisis

Pausa el análisis antes de que se complete.

Reanudar análisis

Reanudar un análisis pausado.

Cancelar análisis

Cancela un análisis en ejecución.

Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el tiempo transcurrido y las posibles detecciones. Nombre de detección

Identifica el nombre del malware detectado.

Tipo

Muestra el tipo de amenaza.

Archivo

Identifica el archivo infectado.

Acción realizada

Describe la última acción de seguridad emprendida en el archivo infectado: • denegado • Limpiado • Eliminado • Ninguno

La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda.

58


Guía del producto

Mediante Prevención de amenazas istrar detecciones de amenazas

4

3

Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo infectado. Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén disponibles.

5

Haga clic en Cerrar para cerrar la página.

Véase también Tipos de análisis en la página 55 Nombres de detecciones en la página 62 Configurar Análisis bajo demanda en la página 90

istrar detecciones de amenazas Dependiendo de su configuración, puede gestionar las detecciones de amenazas desde Cliente de Endpoint Security. Antes de empezar El módulo Prevención de amenazas debe estar instalado.



2

Haga clic en Analizar ahora para abrir la página Analizar sistema.

3

Desde Análisis bajo demanda, haga clic en Ver detecciones. Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería de está desactivada.

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema. 4

Desde la página Análisis en tiempo real, seleccione una de estas opciones. Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena.

Limpiar

Endpoint Security usa información de los archivos de contenido para limpiar los archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y no se puede reparar, el analizador niega el al mismo. En este caso, McAfee recomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copia de seguridad limpia.

Elimina el elemento que contiene la amenaza.

Eliminar

Eliminar entrada Elimina una entrada de la lista de detección. Cierra la página de análisis.

Cerrar

Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible. Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema.


Guía del producto

59

3

Mediante Prevención de amenazas istrar elementos en cuarentena

istrar elementos en cuarentena Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puede realizar acciones en los elementos en cuarentena. Antes de empezar El módulo Prevención de amenazas debe estar instalado. Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenido con información que limpia la amenaza. Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos, registros o todo lo que Endpoint Security analice en busca de malware.

Procedimiento Para obtener ayuda, en el menú Acción

, seleccione Ayuda.

1


2

Haga clic en Poner en cuarentena en el lado izquierdo de la página. La página muestra todos los elementos en cuarentena. Si Cliente de Endpoint Security no puede acceder al de cuarentena, muestra un mensaje de error de comunicación. De ser así, reinicie el sistema para ver la página Cuarentena.

60


Guía del producto

3


3

4

Seleccione un elemento en el superior para mostrar los detalles en el inferior. Para...

Haga lo siguiente...

Cambiar el tamaño relativo de los es.

Haga clic y arrastre el marco deslizante entre los es.

Ordenar elementos de la tabla por nombre o tipo de amenaza.

Haga clic en el encabezado de columna.

En la página Cuarentena, realice acciones en elementos seleccionados. Para...

Siga estos pasos

Eliminar elementos en cuarentena.

Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminar para confirmar. Los archivos eliminados no se pueden restaurar.

Restaurar elementos en cuarentena.

Seleccione elementos, haga clic en Restaurar y, a continuación, haga clic de nuevo en Restaurar para confirmar. Endpoint Security restaura los elementos a su ubicación original y los quita de la cuarentena. Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a la cuarentena la próxima vez que se acceda a dicho elemento.

Volver a analizar elementos.

Seleccione elementos, luego haga clic en Volver a analizar. Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena.

Ver un elemento en el Registro de eventos.

Seleccione un elemento y haga clic en el vínculo Ver en Registro de eventos en el de detalles.

Obtener más información sobre una amenaza.

Seleccione un elemento y haga clic en el vínculo Obtenga más información sobre esta amenaza en el de detalles.

La página Registro de eventos se abre, y el evento relacionado con el elemento seleccionado aparecerá resaltado.

Se abre una nueva ventana de navegador en el sitio web McAfee Labs con más información acerca de la amenaza que provocó que el elemento se pusiera en cuarentena.

Véase también Nombres de detecciones en la página 62 Repetición de análisis de elementos en cuarentena en la página 63 Abra Cliente de Endpoint Security en la página 19 Actualización del contenido y el software de forma manual en la página 22


Guía del producto

61

3


Nombres de detecciones Los La cuarentena informa de amenazas por nombre de detección. Nombre de detección

Descripción

Adware

Genera ingresos mostrando anuncios dirigidos al . El adware genera ingresos a través del proveedor o los socios del proveedor. Algunos tipos de adware pueden capturar o transmitir información personal.

Marcador

Redirige las conexiones de Internet a otra parte distinta del proveedor de servicios de Internet predeterminado del . Los marcadores están diseñados para agregar costes de conexión para un proveedor de contenidos, un vendedor u otro.

Broma

Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas no afectan a la seguridad o la privacidad, pero pueden alarmar o molestar al .

Registrador de pulsaciones de teclado

Intercepta datos entre el que los introduce y la aplicación a la que iban destinados. Un caballo troyano y un programa no deseado registrador de pulsaciones de teclado pueden funcionar de manera idéntica. El software de McAfee detecta los dos tipos para evitar intrusiones de privacidad.

Cracker de contraseñas

Permite al o recuperar las contraseñas perdidas u olvidadas desde las cuentas o archivos de datos. En manos de un atacante, permiten el a información confidencial y son una amenaza para la seguridad y la privacidad.

Programa A menudo incluye software legítimo (que no es malware) que puede alterar el potencialmente no estado de seguridad o la política de privacidad del sistema. Este software se deseado puede descargar con un programa que el desea instalar. Puede incluir spyware, adware, registradores de pulsaciones de teclado, crackers de contraseñas, herramientas de hacker y aplicaciones de marcador. Herramienta de istración remota

Otorga a un el control remoto de un sistema. Estas herramientas pueden suponer una amenaza de seguridad grave si las controla un atacante.

Spyware

Transmite información personal a terceros sin el conocimiento o consentimiento del . El spyware genera exploits en los equipos infectados con finalidades comerciales mediante: • Envío de anuncios emergentes no solicitados • Robo de información personal, incluida su información financiera, como puede ser el número de las tarjetas de crédito • Supervisión de la actividad de navegación por la Web para fines de marketing • Enrutamiento de solicitudes HTTP a sitios de publicidad Consulte también Programa potencialmente no deseado.

Sigiloso

Es un tipo de virus que intenta evitar ser detectado por el software antivirus. También conocido como interceptor interruptor. Muchos virus sigilosos interceptan solicitudes de a disco. Cuando una aplicación antivirus intenta leer archivos o sectores de arranque para encontrar virus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virus esconden el tamaño real del archivo infectado y muestran el tamaño del archivo antes de infectarse.

62


Guía del producto

Mediante Prevención de amenazas istrar Prevención de amenazas

3

Nombre de detección

Descripción

Troyano

Es un programa dañino que se hace pasar por una aplicación benigna. Un troyano no se replica pero causa daño o pone en peligro la seguridad del equipo. Los equipos suelen infectarse: • Cuando un abre un troyano adjunto en un correo electrónico. • Cuando un descarga un troyano de un sitio web. • Redes de igual a igual. Como no se replican, los troyanos no se consideran virus.

Virus

Capaz de incrustarse en discos u otros archivos y replicarse repetidamente, normalmente sin el conocimiento o permiso del . Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo, el virus también se ejecuta. Otros virus permanecen en la memoria del equipo e infectan más archivos a medida que ese equipo los va abriendo, modificando o creando. Algunos virus presentan síntomas, mientras que otros dañan los archivos y sistemas del equipo.

Repetición de análisis de elementos en cuarentena Cuando se vuelve a analizar elementos en cuarentena, Endpoint Security utiliza la configuración de análisis diseñada para proporcionar la máxima protección. Práctica recomendada: Vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos. Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena.

Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el análisis, las condiciones de análisis pueden cambiar, lo cual puede afectar a la detección de elementos en cuarentena. Cuando se vuelven a analizar elementos en cuarentena, Endpoint Security siempre: •

Analiza archivos codificados mediante MIME.

•

Analiza archivos de almacenamiento comprimidos.

•

Fuerza una búsqueda de McAfee GTI en los elementos.

•

Establece el nivel de sensibilidad de McAfee GTI en Muy alto. Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la detección de una amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación de Registro) cambian, volver a analizar puede producir un falso positivo incluso aunque el elemento siga infectado.

istrar Prevención de amenazas Como , puede especificar la configuración de Prevención de amenazas para prevenir el de amenazas y configurar los análisis. En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los cambios de la página Configuración.


Guía del producto

63

3


Configuración de exclusiones Prevención de amenazas le permite ajustar la protección especificando elementos que excluir. Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee un archivo utilizado por una base de datos o un servidor. Un archivo bloqueado puede hacer que se produzcan errores en la base de datos o el servidor. Procedimiento recomendado: Para mejorar el rendimiento de los análisis en tiempo real y bajo demanda, utilice las técnicas de elusión de análisis en lugar de agregar exclusiones de archivos y carpetas.

Las exclusiones en las listas de exclusión son mutuamente exclusivas. Cada exclusión se evalúa por separado de otras exclusiones de la lista. Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.

Para esta función... Especificar elementos que excluir

Dónde configurar

Protección de

Procesos (para todas las reglas o para una regla especificada)

Protección de Ruta o nombre de Todos excepto archivo del proceso, hash MD5 hash MD5 o firmante

Prevención de exploits

Procesos

Prevención de exploits

Todos los análisis

Ruta o nombre de archivo del módulo autor de llamada, hash MD5 o firmante

API

Nombre de la API

Firmas

ID de firma

Nombres de detección

Opciones de Prevención de amenazas

Archivos, tipos de archivo y carpetas

• Predeterminado • Riesgo alto

URL de ScriptScan

No

Nombre de detección Sí (distingue mayúsculas de minúsculas) Nombre

Análisis en tiempo real

¿Usar comodines?

Ruta o nombre de Todos excepto archivo del proceso, hash MD5 hash MD5 o firmante

Módulos autores de llamadas

Programas potencialmente no deseados Análisis en tiempo real

Excluir elementos por

Sí

Nombre de archivo o Sí carpeta, tipo de archivo o antigüedad del archivo Nombre de URL

No

• Riesgo bajo

64


Guía del producto


Para esta función... Especificar elementos que excluir Análisis bajo demanda

Dónde configurar

Excluir elementos por

¿Usar comodines?

Archivos, carpetas y Análisis bajo demanda unidades

Nombre de archivo o Sí carpeta, tipo de archivo o antigüedad del archivo

Archivos, carpetas y Ajustes generales | unidades Tareas | Agregar tarea | Análisis personalizado

Nombre de archivo o Sí carpeta, tipo de archivo o antigüedad del archivo

• Análisis rápido

3

• Análisis completo • Análisis con el botón derecho del ratón Análisis bajo demanda personalizado

Véase también Caracteres comodín en exclusiones en la página 65

Caracteres comodín en exclusiones Puede usar caracteres comodín para representar caracteres en exclusiones para archivos, carpetas, nombres de detección y programas potencialmente no deseados. Tabla 3-1 Caracteres comodín válidos Carácter comodín

Nombre

Representa

?

Signo de interrogación

Un solo carácter.

Asterisco

Varios caracteres, excepto la barra invertida (\).

*

Este carácter comodín se utiliza solamente si el número de caracteres coincide con la longitud del nombre de archivo o carpeta. Por ejemplo: la exclusión W?? excluye WWW, pero no WW o WWWW. No se puede usar *\ al principio de una ruta de archivo. Utilice **\ en su lugar. Por ejemplo: **\ABC\*.

**

Doble asterisco

Cero o más caracteres, incluida la barra invertida (\). Este carácter comodín corresponde a cero o más caracteres. Por ejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZ y C:\ABC\XYZ.

Los caracteres comodín pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo, C: \ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.

Exclusiones a nivel de raíz Prevención de amenazas requiere una ruta de absoluta para las exclusiones a nivel de raíz. Esto significa que no puede usar los caracteres comodín \ o ?:\ iniciales para hacer coincidir nombres de unidad en el nivel de raíz. Este comportamiento difiere de VirusScan Enterprise. Consulte la Guía de migración de McAfee Endpoint Security.

Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones a nivel de raíz para hacer coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con lo siguiente:


Guía del producto

65

3


C:\test D:\test C:\temp\test D:\foo\test

Protección de los puntos de del sistema La primera línea de defensa contra el malware consiste en proteger los puntos de de los sistemas cliente contra el de las amenazas. Protección de impide que se realicen cambios no deseados en los equipos gestionados mediante la restricción del a determinados archivos, recursos compartidos, claves y valores de Registro, procesos y servicios. Protección de utiliza tanto reglas definidas por McAfee como reglas definidas por el (también denominadas reglas personalizadas) para notificar o bloquear el a elementos. Protección de compara una acción solicitada con una lista de reglas y actúa según la regla. Se debe activar Protección de para detectar intentos de a archivos, recursos compartidos, claves y valores de Registro, procesos y servicios.

Cómo obtienen las amenazas Las amenazas obtienen a un sistema mediante varios puntos de . Punto de

Descripción

Macros

Incluidas en documentos de procesamiento de textos y aplicaciones de hojas de cálculo.

Archivos ejecutables

Los programas aparentemente benignos pueden incluir virus junto con el programa esperado. Algunas extensiones de archivo comunes son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.

Scripts

Los scripts como ActiveX y JavaScript están asociados a páginas web y correo electrónico y, si se permite su ejecución, pueden incluir virus.

Mensajes de Internet Relay Chat (IRC)

Los archivos enviados junto con estos mensajes pueden contener malware como parte del mensaje. Por ejemplo, los procesos de inicio automático pueden incluir gusanos y troyanos.

Archivos de ayuda de aplicaciones y navegadores

La descarga de estos archivos de ayuda expone el sistema a virus incrustados y ejecutables.

Correo electrónico

Bromas, juegos e imágenes incluidos en mensajes de correo electrónico que contienen datos adjuntos.

Combinaciones de todos Los creadores del malware más sofisticado combinan todos los métodos de estos puntos de entrega anteriores e incluso incluyen un elemento de malware dentro de otro a fin de intentar acceder al equipo gestionado.

Cómo la Protección de detiene amenazas Protección de detiene amenazas potenciales gestionando acciones basadas en reglas de protección definidas por el y por McAfee. Prevención de amenazas sigue este proceso básico para proporcionar protección de .

66


Guía del producto


3

Cuando se produce una amenaza Cuando un o proceso actúa: 1

Protección de analiza dicha acción conforme a las reglas definidas.

2

Si la acción incumple una regla, Protección de istra la acción mediante la información en las reglas configuradas.

3

Protección de actualiza el archivo de registro, y genera y envía un evento al servidor de istración, si está istrado.

Ejemplo de amenaza de 1

Un descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.

2

El inicia MiPrograma.exe, que aparentemente se abre según lo esperado.

3

MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.

4

Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.

5

Protección de procesa la solicitud y la compara con una regla existente de bloqueo e informe.

6

Protección de impide que Molestarme.exe modifique el sistema operativo y registra los detalles del intento. Protección de también genera y envía una alerta al servidor de istración.

Acerca de las reglas de protección de Utilice reglas de Protección de definidas por McAfee o por el para proteger los puntos de a su sistema. Las reglas definidas por McAfee siempre se aplican antes que cualquier regla definida por el . Tipo de regla

Descripción

Reglas definidas por McAfee

• Estas reglas impiden la modificación de archivos y opciones de uso habitual.

Reglas definidas por el

• Estas reglas complementan la protección proporcionada por las reglas definidas por McAfee.

• Puede activar, desactivar y cambiar la configuración de las reglas definidas por McAfee, pero no puede eliminar estas reglas.

• Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables. • Una tabla Nombres de vacía indica que se aplica la regla a todos los s. • Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas reglas.

Exclusiones En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel de directivas, las exclusiones se aplican a todas las reglas. Las exclusiones son opcionales. Véase también Excluir procesos de Protección de en la página 73


Guía del producto

67

3


Configuración de reglas de Protección de definidas por McAfee Las reglas definidas por McAfee impiden a los s modificar los archivos y las opciones usados comúnmente. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Es posible: •

Cambiar la configuración de bloqueo e informes para estas reglas.

•

Agregar ejecutables incluidos y excluidos a estas reglas.

No es posible: •

Eliminar estas reglas.

•

Modificar los archivos y la configuración protegidos por estas reglas.

•

Agregar subreglas o nombres de a estas reglas.



2

Haga clic en Prevención de amenazas en la página principal Estado. , seleccione Configuración y, a continuación, haga clic en Prevención de O bien en el menú Acción amenazas en la página Configuración.

3

Haga clic en Mostrar avanzado.

4

Haga clic en Protección de .

5

Modifique la regla: a

6

En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla. •

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

•

Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.

b

Haga doble clic en una regla definida por McAfee para editarla.

c

En la página Editar regla definida por McAfee, configure las opciones.

d

En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dos veces para guardar la regla.

Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.

Véase también Reglas de Protección de definidas por McAfee en la página 69 Iniciar sesión como en la página 26 Excluir procesos de Protección de en la página 73

68


Guía del producto


3

Reglas de Protección de definidas por McAfee Utilice las reglas de Protección de definidas por McAfee para proteger el ordenador de cambios no deseados. Regla definida por McAfee

Descripción

Ejecución de archivos de la carpeta Archivos de programa descargados por parte de navegadores

Impide que el software se instale a través del navegador web. Puesto que esta regla puede bloquear también la instalación de software legítimo, instale la aplicación antes de activar esta regla o agregue el proceso de instalación como una exclusión. Esta regla está establecida de manera predeterminada en Informar. Esta regla impide que el adware y el spyware instalen y ejecuten ejecutables desde esta carpeta.

Cambio de cualesquiera Protege las claves de Registro en HKEY_CLASSES_ROOT donde se registran registros de extensiones de las extensiones de archivo. archivo Esta regla impide que el malware modifique los registros de extensiones de archivos y se ejecute en modo silencioso. Práctica recomendada: Desactive la regla al instalar aplicaciones válidas que modifican los registros de extensiones de archivos en el Registro.

Esta regla es una alternativa más restrictiva que Hijacking .EXE y otras extensiones ejecutables. Cambio de directivas de derechos de

Protege los valores de Registro que contienen información de seguridad de Windows. Esta regla impide que los gusanos alteren cuentas que poseen derechos de .

Creación de nuevos archivos ejecutables en la carpeta Archivos de programa

Impide la creación de nuevos archivos ejecutables en la carpeta Archivos de programa. Esta regla impide que el adware y el spyware creen nuevos archivos .EXE y .DLL o que instalen nuevos archivos ejecutables en la carpeta Archivos de programa. Práctica recomendada: Instale las aplicaciones antes de activar esta regla o añada los procesos bloqueados a la lista de exclusión.

Creación de nuevos archivos ejecutables en la carpeta Windows

Impide la creación de archivos desde cualquier proceso, no solo a través de la red. Esta regla impide la creación de archivos .EXE y .DLL en la carpeta de Windows. Práctica recomendada: Agregue a la lista de exclusión los procesos que deban colocar archivos en la carpeta de Windows.

Desactivación del Editor del Protege las entradas del Registro de Windows, con lo que evita la Registro y del desactivación del Editor del Registro y el de tareas. de tareas En caso de un brote, desactive esta regla para poder cambiar el Registro o abra el de tareas para detener los procesos activos.


Guía del producto

69

3


Regla definida por McAfee

Descripción

Ejecución de scripts de Windows Script Host (CScript.exe o Wscript.exe) de carpetas de comunes

Impide que el host de scripts en Windows ejecute scripts VBScript y JavaScript en cualquier carpeta cuyo nombre contenga la palabra "temp".

Hijacking .EXE u otras extensiones ejecutables

Protege, entre otras, las claves de Registro ejecutables .EXE y .BAT en HKEY_CLASSES_ROOT.

Esta regla protege contra muchos troyanos y mecanismos de instalación web cuestionables, utilizados por aplicaciones de adware y spyware. Esta regla podría bloquear la ejecución o instalación de scripts y aplicaciones de terceros legítimas.

Esta regla impide que el malware modifique las claves de Registro y se ejecute el virus junto con otro ejecutable. La regla es una alternativa menos restrictiva a Cambio de cualesquiera registros de extensiones de archivo. Instalación de objetos auxiliares del explorador o extensiones de shell

Impide que el adware, el spyware y los troyanos que se instalan como objetos auxiliares del explorador se instalen en el equipo host. Esta regla impide que el adware y el spyware se instalen en los sistemas. Práctica recomendada: Agregue a la lista de exclusión las aplicaciones personalizadas o de terceros que sean legítimas para permitirles que instalen estos objetos. Tras la instalación, puede volver a activar la regla porque no impide el funcionamiento de los objetos auxiliares del explorador.

Instalación de nuevos CLSID, APPID y TYPELIB

Impide la instalación o el registro de nuevos servidores COM. Esta regla protege contra los programas de adware y spyware que se instalan como complementos COM en Internet Explorer o en aplicaciones de Microsoft Office. Procedimiento recomendado: Concesión de permiso a las aplicaciones legítimas que registran complementos COM, incluidas algunas aplicaciones comunes como Adobe Flash, agregándolas a la lista de exclusión.

Modificación de procesos centrales de Windows

Impide que se creen o ejecuten archivos con los nombres que más se falsifican. Esta regla impide que los virus y troyanos se ejecuten con el nombre de un proceso de Windows. Esta regla excluye archivos auténticos de Windows.

Modificación de configuraciones de Internet Explorer

Bloquea los procesos para que no modifiquen la configuración de Internet Explorer.

Modificar configuración de red

Impide que los procesos que no se encuentren en la lista de exclusión puedan modificar las opciones de red del sistema.

Esta página impide que los troyanos, el adware y el spyware de páginas de inicio modifiquen la configuración del explorador, como la página de inicio o los favoritos.

Esta regla captura el tráfico de red y lo envía a sitios de terceros para proteger de los proveedores de servicios por niveles que transmiten datos, como su comportamiento de navegación. Práctica recomendada: Agregue los procesos que deben cambiar la configuración de la red a la lista de exclusión o desactive la regla mientras se realizan los cambios.

70


Guía del producto


Regla definida por McAfee

3

Descripción

Registro de programas para Bloquea adware, spyware, troyanos y virus cuando intentan registrarse para su ejecución automática cargarse cada vez que se reinicia el sistema. Esta regla impide que los procesos que no están en la lista de exclusión registren procesos que se ejecutan cada vez que se reinicia el sistema. Práctica recomendada: Agregue aplicaciones legítimas a la lista de exclusión o instálelas antes de activar esta regla.

remoto a archivos o Impide el de lectura y escritura al equipo desde equipos remotos. carpetas locales Esta regla impide que se extienda un gusano entre los recursos compartidos. En un entorno típico, esta regla es útil para estaciones de trabajo, pero no para servidores, y solo cuando los equipos están activamente bajo ataque. Si un equipo se gestiona insertando archivos en el mismo, esta regla impide la instalación de actualizaciones o parches. Esta regla no afecta a las funciones gestionadas de McAfee ePO. Creación remota de archivos de ejecución automática

Impide que otros equipos realicen una conexión y creen o modifiquen archivos de ejecución automática (autorun.inf). Los archivos de ejecución automática se utilizan para iniciar automáticamente archivos de programa, generalmente archivos de configuración de CD. Esta regla impide que se ejecuten el spyware y el adware distribuidos en CD. Esta regla está configurada de manera predeterminada para Bloquear e Informar.

Creación o modificación remota de archivos o carpetas

Bloquea el de escritura a todos los recursos compartidos. Esta regla resulta útil en un brote al prevenir el de escritura y limitar que se extienda la infección. La regla bloquea malware que de otro modo limitaría seriamente el uso del equipo o la red. En un entorno típico, esta regla es útil para estaciones de trabajo, pero no para servidores, y solo cuando los equipos están activamente bajo ataque. Si un equipo se gestiona insertando archivos en el mismo, esta regla impide la instalación de actualizaciones o parches. Esta regla no afecta a las funciones gestionadas de McAfee ePO.

Creación o modificación remota de archivos de tipo portable ejecutable (PE), .INI, .PIF y ubicaciones de núcleo del sistema

Impide que otros equipos realicen conexiones y modifiquen ejecutables, como los archivos en la carpeta Windows. Esta regla afecta solo a los tipos de archivo normalmente infectados por los virus.

Ejecución de archivos desde las carpetas de común

Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo nombre contenga la palabra "temp".

Esta regla protege contra los gusanos o virus que se extienden rápidamente y atraviesan una red mediante los recursos compartidos abiertos o istrativos.

Esta regla protege contra el malware que se guarda y ejecuta desde la carpeta temp del o del sistema. Este malware puede incluir datos adjuntos ejecutables en correos electrónicos y programas descargados. Aunque esta regla proporciona la mayor protección, podría bloquear la instalación de aplicaciones legítimas.

Ejecución de archivos de carpetas de comunes por parte de programas comunes

Impide que las aplicaciones instalen software desde el navegador o el cliente de correo electrónico. Esta regla impide que los ejecutables y los datos adjuntos de correos electrónicos se ejecuten en páginas web. Procedimiento recomendado: Para instalar una aplicación que utilice la carpeta Temp, agregue el proceso a la lista de exclusión.


Guía del producto

71

3


Véase también Configuración de reglas de Protección de definidas por McAfee en la página 68

Configuración de las reglas de Protección de definidas por el Las reglas definidas por el complementan la protección proporcionada por las reglas definidas por McAfee. Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas reglas. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Procedimiento recomendado: Para obtener más información sobre la creación de reglas de Protección de para protegerse frente a ransomware, consulte PD25203.



2

Haga clic en Prevención de amenazas en la página principal Estado. O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazas en la página Configuración.

3


4


5

Cree la regla: en la sección Reglas, haga clic en Agregar. En la página Agregar regla, configure las opciones. a

En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clic en Guardar. Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.

b

En la sección Nombres de , haga clic en Agregar y configure las propiedades del nombre de . Una tabla Nombres de vacía indica que se aplica la regla a todos los s.

c

En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla. Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, no seleccione la operación Leer.

En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic en Guardar dos veces. 6

7

72

En la sección Reglas, seleccione Bloquear, Informar o ambas opciones en la regla pertinente. •


•




Guía del producto


3

Véase también Excluir procesos de Protección de en la página 73

Cómo se evalúan los destinos de subreglas de Protección de Cada destino se agrega con una directiva Incluir o Excluir.

Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor de evaluación verdadero si: •

Al menos una inclusión se evalúa como verdadero. y

•

Todas las exclusiones se evalúan como falso.

Excluir tiene prioridad sobre Incluir. Por ejemplo: •

Si una misma subregla incluye un archivo C:\marketing\jjaime y excluye el mismo archivo, la subregla no se activa para dicho archivo.

•

Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subregla se activa si el archivo no es C:\marketing\jjaime.

•

Si una subregla incluye el archivo C:\marketing\*, pero excluye el archivo C:\marketing\jjaime, la subregla se activa para C:\marketing\cualquiera, pero no se activa para C:\marketing\jjaime.

Excluir procesos de Protección de Si un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada en directivas o basada en reglas.


Guía del producto

73

3




2

Haga clic en Prevención de amenazas en la página principal Estado. , seleccione Configuración y, a continuación, haga clic en Prevención de O bien en el menú Acción amenazas en la página Configuración.

3


4


5

Compruebe que la opción Protección de está activada.

6

Realice una de las siguientes acciones: Para...

Haga esto...

Excluir procesos de todas las reglas.

1 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas. 2 En la página Agregar ejecutable, configure las propiedades del ejecutable. 3 Haga clic en Guardar y luego en Aplicar para guardar la configuración.

Especificar procesos 1 Editar una regla definida por el existente o agregar una nueva para inclusión o regla. exclusión en una regla definida por el 2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic en . Agregar para agregar un ejecutable que excluir o incluir. 3 En la página Agregar ejecutable, configure las propiedades del ejecutable, y también si desea incluir o excluir el ejecutable. 4 Haga clic en Guardar dos veces y luego en Aplicar para guardar la configuración.

Bloqueo de vulnerabilidades de desbordamiento del búfer Prevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Esta función supervisa las llamadas de modo de API y reconoce cuándo son el resultado de un desbordamiento del búfer. Cuando se produce una detección, la información se incluye en el registro de actividades y se muestra en el sistema cliente, y se envía al servidor de istración, si se ha configurado. Prevención de amenazas utiliza el archivo de contenido de Prevención de exploit para proteger aplicaciones como Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión 10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en la configuración de la directiva.

74


Guía del producto


3

Cómo se producen los exploits de desbordamiento del búfer Los atacantes utilizan exploits de desbordamiento del búfer para ejecutar código ejecutable que desborda el búfer de memoria de tamaño fijo reservado para un proceso de entrada. Este código permite al atacante tomar el control del equipo de destino o poner en peligro sus datos. Un gran porcentaje de los ataques de malware son ataques de desbordamiento del búfer que intentan sobrescribir la memoria adyacente en el marco de pila. Los dos tipos de vulnerabilidades de desbordamiento del búfer son: •

Los ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas de (más comunes).

•

Los ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).

El objeto de memoria en pila de tamaño fijo se encuentra vacío a la espera de que el realice una entrada. Cuando un programa recibe una entrada por parte del , los datos se almacenan en la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesa la pila, la entrada del se envía a la dirección de retorno especificada por el programa. A continuación se describe un ataque por desbordamiento del búfer basado en pila: 1

Desbordar la pila. Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los datos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado para ellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.

2

Vulnerar el desbordamiento. El programa espera por información del . Si el atacante introduce un comando ejecutable que excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.

3

Ejecutar el malware. El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En un principio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó una dirección de memoria de retorno que hace referencia al comando malicioso, el programa intenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el comando malicioso se ejecuta.

4

Vulnerar los permisos. El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta en peligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisos heredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total del sistema operativo.

Las firmas y cómo funcionan Las firmas de Prevención de exploit son conjuntos de reglas que comparan el comportamiento con ataques conocidos y llevan a cabo una acción cuando se detecta una coincidencia. McAfee proporciona firmas en las actualizaciones de contenido de Prevención de exploit. Las firmas protegen aplicaciones específicas, las cuales están definidas en la lista Reglas de protección de aplicaciones. Cuando se detecta un ataque, Prevención de exploits puede detener el comportamiento iniciado por dicho ataque. Cuando se actualiza el archivo de contenido de Prevención de exploits, se actualiza la lista de firmas si es necesario.


Guía del producto

75

3


Puede cambiar la configuración relativa a las acciones de estas firmas, pero no puede agregar o eliminar firmas, ni tampoco modificarlas. Para proteger determinados archivos, recursos compartidos, claves o valores de Registro, procesos y servicios, cree reglas de Protección de personalizadas.

Acciones Una acción es aquello que lleva acabo Prevención de exploit cuando se activa una firma. •

Bloquear: impide la operación.

•

Informar: permite la operación e informa del evento.

Si no se selecciona ninguna, la firma se desactiva; Prevención de exploit permite la operación y no informa del evento. El archivo de contenido de Prevención de exploit establece automáticamente la acción de las firmas dependiendo del nivel de gravedad. Puede modificar la acción de una firma determinada en la sección Firmas de la configuración de Prevención de exploit. Los cambios que realice en las acciones de las firmas se conservarán tras las actualizaciones del contenido.

Reglas de comportamiento Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan el comportamiento apropiado del sistema operativo y las aplicaciones. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. La actividad que no coincide con estas reglas se considera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento puede establecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otro proceso intenta acceder a los archivos HTML, Prevención de exploits realiza la acción especificada. Este tipo de protección, denominada "blindaje y envoltura de aplicaciones", impide que se pongan en peligro las aplicaciones y los datos de estas, así como que se utilicen las aplicaciones para atacar otras aplicaciones. Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan la ejecución de código derivada de un ataque de desbordamiento del búfer, uno de los métodos de ataque más habituales.

Niveles de gravedad Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un ataque. •

Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. La mayoría de estas firmas son específicas para exploits bien identificados y, por lo general, no tienen que ver con el comportamiento. Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyo nivel de gravedad sea Alto en Bloquear en todos los hosts.

•

Media: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera de su entorno (adecuado para clientes que protegen servidores web y Microsoft SQL Server 2000). Procedimiento recomendado: En los servidores críticos, configure las firmas cuyo nivel de gravedad sea Medio en Bloquear tras afinar su ajuste.

•

Baja: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consiste en bloquear los recursos de las aplicaciones y del sistema para que no se puedan modificar. Configurar las firmas cuyo nivel de gravedad sea Bajo en Bloquear incrementa la seguridad el sistema, pero requiere ajustes adicionales.

76


Guía del producto

3


•

Informativa: indica un cambio de la configuración del sistema que puede crear un riesgo benigno para la seguridad o bien un intento de acceder a información del sistema de carácter confidencial. Los eventos de este nivel se producen durante la actividad normal del sistema y, por lo general, no constituyen un indicio de ataque.

•

Desactivado: indica las firmas que están desactivadas en el archivo de contenido de Prevención de exploits. No puede activar firmas cuya gravedad sea Desactivado.

Las reglas de protección de aplicaciones y su funcionamiento Las Reglas de protección de aplicaciones definen los ejecutables que se supervisan en busca de firmas de Prevención de exploits. Si un ejecutable no está incluido en esta lista, no se supervisa. Las firmas de Prevención de exploits pertenecen a dos clases: •

Las firmas Desbordamiento del búfer ofrecen protección de la memoria mediante la supervisión del espacio de memoria que utilizan los procesos.

•

Las firmas API supervisan las llamadas de la API entre los procesos que se ejecutan en el modo de y el kernel.

El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones que están protegidas. Prevención de amenazas muestras estas aplicaciones en la sección Reglas de protección de aplicaciones de la configuración de Prevención de exploits. Para mantener la protección al día, las actualizaciones del contenido de Prevención de exploits reemplazan las reglas de protección de aplicaciones definidas por McAfee en la configuración de Prevención de exploits con las reglas de protección de aplicaciones más recientes. Puede activar, desactivar, eliminar y cambiar el estado de inclusión de las reglas de protección de aplicaciones definidas por McAfee. Además, puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del contenido. Si la lista incluye reglas de protección de aplicaciones contradictorias, las reglas cuyo Estado de inclusión sea Excluir tienen prioridad sobre las configuradas con Incluir. Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellas aplicaciones que se estén ejecutando actualmente en el sistema cliente. Este comportamiento es distinto del de McAfee Host IPS.

En los sistemas gestionados, las reglas de protección de aplicaciones creadas en el Cliente de Endpoint Security no se envían a McAfee ePO, y se pueden sobrescribir cuando el despliega una directiva actualizada.

Configuración de las opciones de Prevención de exploits Para impedir que las aplicaciones ejecuten código arbitrario en el sistema cliente, configure las exclusiones, las firmas definidas por McAfee y las reglas de protección de aplicaciones de Prevención de exploits. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .


Guía del producto

77

3


Puede configurar la acción de las firmas definidas por McAfee. Puede activar, desactivar, eliminar y cambiar el estado de inclusión de las reglas de protección de aplicaciones definidas por McAfee. También puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del contenido. Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1


2


3


4

Haga clic en Prevención de exploits.

5

Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los cambios o en Cancelar.

Véase también Iniciar sesión como en la página 26

Exclusión de procesos de Prevención de exploits Si un programa de confianza está bloqueado, cree una exclusión para excluirlo de Prevención de exploits. Puede excluir el proceso por el nombre del proceso, el módulo autor de la llamada, la API o el ID de firma. También puede crear reglas de protección de aplicaciones para incluir o excluir procesos en la protección. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1


2


78

3


4

Haga clic en Prevención de exploits.

5

Verifique que Prevención de exploits está activada.

6

Realice una de las siguientes acciones:


Guía del producto


Para...

Haga esto...

Excluir procesos de todas las reglas.

1 En la sección Exclusiones, haga clic en Agregar.

3

2 En la página Agregar exclusión, configure las propiedades de la exclusión. 3 Haga clic en Guardar y luego en Aplicar para guardar la configuración.

Especificar procesos para inclusión o exclusión en una regla de protección de aplicaciones definida por el .

1 Editar una regla definida por el existente o agregar una regla de protección de aplicaciones. 2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic en Agregar para agregar ejecutables que excluir o incluir. 3 En la página Agregar ejecutable, configure las propiedades del ejecutable. 4 Haga clic en Guardar dos veces y luego en Aplicar para guardar la configuración.

Exclusiones de Prevención de exploits y cómo funcionan Un falso positivo se produce cuando un comportamiento que es una parte normal de la rutina de trabajo de un se interpreta como un ataque. Para evitar los falsos positivos, cree una exclusión para dicho comportamiento. Las exclusiones permiten reducir alertas de falsos positivos, minimizan el flujo de datos innecesarios y garantizan que las alertas sean amenazas de seguridad reales. Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma "Java - Creation of suspicious files in Temp folder". La firma indica que la aplicación Java está intentando crear un archivo en la carpeta Temp de Windows. Un evento activado por esta firma es motivo de alarma, puesto que se podría utilizar una aplicación Java para descargar malware en la carpeta Temp de Windows. En este ejemplo, podría tener sospechas razonables de que se ha instalado un troyano. No obstante, si el proceso crea normalmente archivos en la carpeta Temp, por ejemplo, guardar un archivo con la aplicación Java, cree una exclusión que permita esta acción. Cuando se produce un evento de infracción de Prevención de exploits, el evento incluye un proceso asociado y un módulo autor de llamada, una API o una firma posibles. Si cree que el evento de infracción es un falso positivo, puede agregar una exclusión que permita uno o varios de estos identificadores. En los sistemas gestionados, las exclusiones de Prevención de exploits creadas en el Cliente de Endpoint Security no se envían a McAfee ePO, y se pueden sobrescribir cuando el despliega una directiva actualizada. Configurar exclusiones globales en la directiva Prevención de exploits en McAfee ePO. Al especificar exclusiones, tenga en cuenta lo siguiente: •

Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante un conector lógico OR de manera que, si una exclusión coincide, el evento de infracción no se produce.

•

Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.

•

Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.

•

Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.

•

Si especifica más de un identificador, se aplicarán todos los identificadores.

•

Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash MD5 no se aplican al mismo archivo), la exclusión no es válida.


Guía del producto

79

3


•

Las exclusiones no distinguen mayúsculas de minúsculas.

•

Se aceptan caracteres comodín para todo excepto para hash MD5.

•

Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas. Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.

Detección de programas potencialmente no deseados Para proteger el equipo gestionado contra programas potencialmente no deseados, especifique archivos y programas que detectar en el entorno y luego active la detección. Los programas potencialmente no deseados son programas de software que molestan o que pueden alterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmente no deseados pueden ir incrustados en programas que los s descargan intencionalmente. Los programas no deseados pueden incluir spyware, adware y marcadores. 1

Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajo demanda los detecten en la configuración de la Opciones.

2

Active la detección de programas no deseados y especifique acciones que emprender cuando se producen detecciones en estas configuraciones: •

Configuración de Análisis en tiempo real

•

Configuración de Análisis bajo demanda

Véase también Especificar programas potencialmente no deseados a detectar en la página 80 Activar y configurar la detección de programas potencialmente no deseados y respuestas en la página 81 Configure Análisis en tiempo real en la página 83 Configurar Análisis bajo demanda en la página 90

Especificar programas potencialmente no deseados a detectar Especifique programas adicionales para que los analizadores en tiempo real y bajo demanda los traten como programas no deseados en la configuración de Opciones. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Los analizadores detectan tanto los programas que especifique como los especificados en los archivos de AMCore content.



2


3

80



Guía del producto


4

Haga clic en Opciones.

5

Desde Detecciones de programas potencialmente no deseados: •

3

Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o programa que tratar como programa potencialmente no deseado. La Descripción aparece como nombre de detección cuando se produce una detección.

•

Haga doble clic en el nombre o descripción de un programa potencialmente no deseado ya existente para modificarlo.

•

Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic en Eliminar para quitarlo de la lista.


Activar y configurar la detección de programas potencialmente no deseados y respuestas Active que los analizadores en tiempo real o bajo demanda detecten programas potencialmente no deseados, y especifique respuestas cuando se encuentre alguno. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .


Configure la Análisis en tiempo real. a


b


2

c


d

Haga clic en Análisis en tiempo real.

e

En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no deseados.

f

En Acciones, configure respuestas a los programas no deseados.

Configure la Análisis bajo demanda. a


b


c



Guía del producto

81

3


d

Haga clic en Análisis bajo demanda.

e

Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho): •

Seleccione Detectar programas no deseados.

•

En Acciones, configure respuestas a los programas no deseados.

Véase también Configure Análisis en tiempo real en la página 83 Configurar Análisis bajo demanda en la página 90 Iniciar sesión como en la página 26

Configurar parámetros de análisis de ajustes generales Para especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, configure los parámetros de la Opciones de Prevención de amenazas. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Esta configuración se aplicará a todos los análisis: •

Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos automáticamente

•

Nombres de detecciones que excluir de los análisis

•

Programas potencialmente no deseados que detectar, como spyware y adware

•

Comentarios de telemetría basados en McAfee GTI



2

Haga clic en Prevención de amenazas en la página Estado principal. O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazas en la página Configuración.

3

Haga clic en Mostrar configuración avanzada.

4


5


Véase también Iniciar sesión como en la página 26 Configure Análisis en tiempo real en la página 83 Configurar Análisis bajo demanda en la página 90

82


Guía del producto

3


Cómo funciona McAfee GTI Si activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurística para buscar archivos sospechosos. El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central alojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, es posible que la detección esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs publique la actualización. Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en Media de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en la configuración de Análisis en tiempo real y Análisis bajo demanda. Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar información de reputación de McAfee GTI en la configuración de Ajustes generales. Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.

Configure Análisis en tiempo real Estos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación de mensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más opciones de configuración de análisis.



2


3


4

Haga clic en Análisis en tiempo real.

5

Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.

6

Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos para procesos de riesgo alto o bajo.

7

•

Configuración estándar: configure los parámetros de análisis en la ficha Estándar.

•

Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgo bajo) y configure los parámetros de análisis para cada tipo de proceso.



Guía del producto

83

3


Véase también Iniciar sesión como en la página 26 Configurar parámetros de análisis de ajustes generales en la página 82

Elección del momento en que analizar archivos con el analizador en tiempo real Puede especificar cuándo debe examinar archivos el analizador en tiempo real: al escribir en el disco, al leer el disco o cuando lo decida McAfee.

Al escribir en el disco ("análisis de escritura") La opción de análisis de escritura no impide el a los archivos, ni antes ni después del análisis, de modo que puede provocar que su sistema sea vulnerable a los ataques.

Cuando se selecciona el análisis de escritura, el analizador examina el archivo solo después de que se haya escrito en el disco y cerrado. Un proceso puede llevar a cabo una operación de lectura, apertura o ejecución en el archivo antes de que el analizador realice un análisis de escritura, lo que podría acarrear una infección. Las aplicaciones también podrían encontrarse con errores de tipo SHARING_VIOLATION si acceden al archivo tras escribirlo mientras se está realizando un análisis de escritura. El analizador en tiempo real examina los archivos cuando: •

Se crean o modifican en la unidad de disco duro local.

•

Se copian o mueven desde una unidad asignada a la unidad de disco duro local (si también está activada la opción En unidades de red).

•

Se copian o mueven desde la unidad de disco duro local a una unidad asignada (si también está activada la opción En unidades de red).

Al leer el disco ("análisis de lectura") Procedimiento recomendado: Active la opción de análisis de escritura para proporcionar seguridad contra brotes.

Cuando se selecciona el análisis de lectura, el analizador impide el a los archivos a menos que se determine que están limpios. El analizador en tiempo real examina los archivos cuando: •

Se leen, abren o ejecutan desde la unidad de disco duro local.

•

Se leen, abren o ejecuta desde unidades de red asignadas (si también está activada la opción En unidades de red).

Dejar que McAfee decida Procedimiento recomendado: Active esta opción para obtener la mejor protección y el mejor rendimiento.

Cuando se selecciona esta opción, el analizador en tiempo real emplea la lógica de confianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento mediante la elusión de análisis, lo que evita análisis innecesarios. Por ejemplo, McAfee analiza algunos programas y considera que son de confianza. Si McAfee verifica que no se han manipulado estos programas, el analizador podría llevar a cabo un análisis reducido u optimizado.

84


Guía del producto


3

Cómo funcionan los análisis en tiempo real El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez. Cuando se producen detecciones, el analizador en tiempo real envía notificaciones a la interfaz del servicio. Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.

Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación. El analizador utiliza estos criterios para determinar si se debe analizar un elemento: •

La extensión del archivo coincide con la configuración.

•

La información del archivo no está en la caché de análisis global.

•

El archivo no se ha excluido, ni tampoco analizado previamente.

Análisis de lectura Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo: 1

El analizador bloquea la solicitud.

2

El analizador determina si el elemento se debe analizar o no. •

Si no es necesario analizar el archivo, el analizador lo desbloquea, almacena en caché su información y autoriza la operación.

•

Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo de contenido de AMCore cargado actualmente. •

Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.

•

Si el archivo contiene una amenaza, el analizador deniega el a él y realiza la acción configurada. Por ejemplo, si la acción es limpiar el archivo, el analizador: 1

Utiliza la información en el archivo de AMCore Content cargado en ese momento para limpiar el archivo.

2

Registra los resultados en el registro de actividades.

3

Notifica al que ha detectado una amenaza en el archivo y solicita la acción que se debe realizar (limpiar o eliminar el archivo).

Análisis de escritura El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado.


Guía del producto

85

3


Cuando se selecciona el análisis de escritura y se escribe un archivo en el disco: 1

El analizador determina si el elemento se debe analizar o no. a

Si no es necesario analizar el archivo, el analizador almacena en caché su información y autoriza la operación.

b

Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo de contenido de AMCore cargado actualmente. •

Si el archivo está limpio, el analizador almacena en caché el resultado.

•

Si el archivo contiene una amenaza, el analizador realiza la acción configurada. El analizador no deniega el al archivo.

¿Cuándo se vacía la caché de análisis global? La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema.

86


Guía del producto


3

Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando: •

La configuración de Análisis en tiempo real cambia.

•

Se agrega un archivo Extra.DAT.

•

El sistema se reinicia en modo seguro.

Si el proceso está firmado por un certificado de confianza, el certificado firmante se almacena en caché y se conserva allí tras el reinicio del sistema. Es menos probable que el analizador analice archivos a los que accedan procesos que estén firmados por un certificado de confianza almacenado en caché, lo que permite evitar el análisis y mejorar el rendimiento.

Procedimientos recomendados: Reducción del impacto de los análisis en tiempo real en los s Para minimizar el impacto que tienen los análisis en tiempo real sobre un sistema, seleccione opciones que eviten que el rendimiento del sistema se vea afectado y analice solo aquello que necesite.

Elección de las opciones de rendimiento Algunas opciones de análisis pueden afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas opciones únicamente si necesita analizar determinados elementos. Seleccione o anule la selección de estas opciones en la configuración del Análisis en tiempo real. •

Analizar los procesos al iniciar servicios y actualizar contenido: vuelve a analizar todos los procesos que se encuentren actualmente en la memoria cada vez que: •

Se vuelven a activar los análisis en tiempo real.

•

Los archivos de contenido se actualizan.

•

El sistema se inicia.

•

Se inicia el proceso McShield.exe.

Dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anule la selección de esta opción para reducir el tiempo de inicio del sistema. •

Analizar instaladores de confianza analiza los archivos MSI (instalados por msiexec.exe y firmados por McAfee o Microsoft) o los archivos del servicio Instalador de confianza de Windows. Anule la selección de esta opción para mejorar el rendimiento de los instaladores de aplicaciones de Microsoft de gran tamaño.

Analice únicamente aquello que necesite El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas opciones solo si necesita analizar tipos específicos de archivos. Seleccione o anule la selección de estas opciones en la sección Qué analizar de la configuración de Análisis en tiempo real.


Guía del producto

87

3


•

En unidades de red: analiza los recursos de las unidades de red asignadas. Anule la selección de esta opción para mejorar el rendimiento.

•

Abierto para copia de seguridad: Analiza los archivos al acceder mediante el software de copia de seguridad. En la mayoría de los entornos no es necesario seleccionar esta configuración.

•

Archivos de almacenamiento comprimidos: Examina el contenido de archivos de almacenamiento (comprimidos), incluidos los archivos .jar. Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar el sistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído el archivo de almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquier malware.

Acerca de ScriptScan ScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en busca de scripts maliciosos antes de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScript para su procesamiento. Si ScriptScan detecta un script malicioso, lo bloquea para que no se ejecute. ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scripts ejecutados por wscript.exe o cscript.exe.

Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece la posibilidad de activar uno o más complementos de McAfee. Para que ScriptScan analice scripts: •

Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manera predeterminada.

•

El complemento debe estar activado en el navegador. Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts maliciosos.

88


Guía del producto

3


•

Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.

•

Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.

Procedimientos recomendados: Exclusiones de ScriptScan Los sitios web y las aplicaciones basadas en web que utilizan muchos scripts podrían experimentar un rendimiento deficiente cuando ScriptScan está activado. En lugar de desactivar ScriptScan, le recomendamos especificar exclusiones de URL para los sitios web de confianza, tales como los de una intranet, o las aplicaciones web que se sabe que son seguras. Puede especificar subcadenas o URL parciales para las exclusiones de ScriptScan. Si una cadena de exclusión coincide con cualquier parte de la URL, entonces se excluye la URL. Al crear exclusiones de URL: •

No se iten caracteres comodín.

•

Unas URL más completas tienen un mejor rendimiento.

•

No incluya números de puerto.

•

Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.

Cómo determinar la configuración de análisis para procesos Siga este procedimiento para determinar si debe configurar opciones distintas basadas en un tipo de proceso.


Guía del producto

89

3


Configurar Análisis bajo demanda Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisis completo, Análisis rápido y Análisis con el botón derecho. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más opciones de configuración de análisis.

90


Guía del producto


3



2

Haga clic en Prevención de amenazas en la página Estado principal. , seleccione Configuración y, a continuación, haga clic en Prevención de amenazas O, en el menú Acción en la página Configuración.

3


4

Haga clic en Análisis bajo demanda.

5

Haga clic en una ficha para configurar ajustes para el análisis especificado.

6

•

Análisis completo

•

Análisis rápido

•

Análisis con el botón derecho del ratón


Véase también Iniciar sesión como en la página 26 Configurar parámetros de análisis de ajustes generales en la página 82 Configure, planifique y ejecute tareas de análisis en la página 95

Cómo funciona el análisis bajo demanda El analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otros elementos en busca de malware que pueda haber infectado el equipo. Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizar sistemas manualmente, a una hora programada o cuando el sistema arranca. 1

El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debe analizar: •

La extensión del archivo coincide con la configuración.

•

El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizador utiliza la caché de análisis). Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.

2

Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas de malware conocido que se encuentran en ese momento en los archivos de AMCore content. •

Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba el siguiente elemento.

•

Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.


Guía del producto

91

3


Por ejemplo, si la acción es limpiar el archivo, el analizador: 1

Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiar el archivo.

2

Registra los resultados en el registro de actividades.

3

Notifica al que ha detectado una amenaza en el archivo, e incluye el nombre del elemento y la acción que se ha realizado.

Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación. 3

Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, el analizador continúa hasta que se han analizado todos los datos.

La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda. Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando se carga un Extra.DAT.

92


Guía del producto


3

Procedimientos recomendados: Reducción del impacto de los análisis bajo demanda en los s Para minimizar el impacto que tienen los análisis bajo demanda sobre un sistema, seleccione opciones que eviten que el rendimiento del sistema se vea afectado y analice solo aquello que necesite.

Analizar solo cuando el sistema está inactivo La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los s es ejecutar el análisis bajo demanda solo cuando el equipo esté inactivo. Cuando se activa esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad del disco o del (por ejemplo, mediante el teclado o el ratón). Prevención de amenazas reanuda el análisis si el no accede al sistema durante tres minutos. Como opción, puede: •

Permitir a los s reanudar análisis que se hayan puesto en pausa debido a actividad del .

•

Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.

Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los s acceden mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante el escritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para evitar este problema, los s pueden iniciar McTray (de manera predeterminada en C:\Archivos de programa \McAfee\Agent\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto. Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la ficha Configuración de la Tarea de análisis.

Pausar análisis automáticamente Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de la batería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completa una aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisis se reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se está ejecutando en modo de pantalla completa. •

No analizar si el sistema funciona mediante la batería

•

No analizar si el sistema está en modo de presentación (disponible cuando se ha activado Analizar en cualquier momento)

Seleccione estas opciones en la sección Rendimiento de la ficha Configuración de la Tarea de análisis.

Permitir que los s aplacen los análisis Si selecciona Analizar en cualquier momento, puede permitir a los s que aplacen los análisis planificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cada puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, el puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horas máximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción a 0, el puede seguir aplazando el análisis para siempre. Seleccione Los s pueden aplazar el análisis en la sección Rendimiento de la ficha Configuración de la Tarea de análisis.


Guía del producto

93

3


Limitar la actividad de análisis con análisis incrementales Utilice análisis incrementales, o reanudables, para limitar cuándo se produce la actividad del análisis bajo demanda pero analizar igualmente todo el sistema en varias sesiones. Para usar el análisis incremental, agregue un límite temporal al análisis planificado. El análisis se detiene cuando se alcanza el límite de tiempo. La siguiente vez que se inicie esta tarea, continuará a partir del punto de la estructura de archivos y carpetas en el que se haya detenido el análisis anterior. Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la ficha Planificación de la Tarea de análisis.

Configuración de la utilización del sistema La utilización del sistema especifica la cantidad de tiempo de U que el analizador recibe durante el análisis. En los sistemas con actividad por parte del final, establezca el valor de utilización del sistema en Baja. Seleccione Utilización del sistema en la sección Rendimiento de la ficha Configuración de la Tarea de análisis.

Analice únicamente aquello que necesite El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas opciones solo si necesita analizar tipos específicos de archivos. Seleccione o anule la selección de estas opciones en la sección Qué analizar de la ficha Configuración de la Tarea de análisis. •

Archivos que se han migrado al almacenamiento Algunas soluciones de almacenamiento de datos sin conexión sustituyen los archivos con un archivo stub. Cuando el analizador se encuentra con un archivo stub, que indica que se ha migrado el archivo, el analizador restaura el archivo al sistema local antes de proceder con el análisis. El proceso de restauración puede afectar negativamente al rendimiento del sistema. Anule la selección de esta opción a menos que necesite específicamente analizar los archivos del almacenamiento.

•

Archivos de almacenamiento comprimidos Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar el sistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído el archivo de almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquier malware. Procedimiento recomendado: Dado que el análisis de archivos de almacenamiento comprimidos puede afectar negativamente al rendimiento del sistema, anule la selección de esta opción para mejorar dicho rendimiento.

Véase también Configurar Análisis bajo demanda en la página 90 Configure, planifique y ejecute tareas de análisis en la página 95

Funcionamiento de la utilización del sistema El analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisis y la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite al

94


Guía del producto


3

sistema operativo especificar la cantidad de tiempo de U que el analizador bajo demanda recibe durante el proceso de análisis. Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto de aplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del final. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finaliza más rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y poca actividad del final. Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.

Tabla 3-2 Configuración de procesos predeterminada Configuración de procesos de Prevención de amenazas

Esta opción...

parámetro Windows Set Priority

Bajo

Proporciona un rendimiento mejorado del resto de las aplicaciones en ejecución. Seleccione esta opción para sistemas con actividad del final.

Bajo

Por debajo de lo normal

Establece la utilización del sistema para el análisis en el valor predeterminado de McAfee ePO.

Por debajo de lo normal

Normal (predeterminado)

Permite que el análisis finalice más rápido. Normal Seleccione esta opción para sistemas que tienen grandes volúmenes y poca actividad del final.

Cómo funciona el análisis de Almacenamiento remoto Puede configurar el analizador bajo demanda para que analice el contenido de los archivos gestionados por Almacenamiento remoto. El Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando resulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivos pertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta. Cuando un abre un archivo cuyos datos se han migrado, Almacenamiento remoto recupera automáticamente los datos del dispositivo de almacenamiento. Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo demanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el analizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes del análisis. Para obtener más información, consulte Qué es el Almacenamiento remoto.

Configure, planifique y ejecute tareas de análisis Puede planificar las tareas Análisis completo y Análisis rápido, o crear tareas de análisis personalizadas desde Cliente de Endpoint Security en la configuración de Ajustes generales. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .


Guía del producto

95

3




2

En el menú Acción

3


4

En Ajustes generales, haga clic en Tareas.

5

Configure los ajustes de la tarea de análisis en la página.

, seleccione Configuración.

Para...

Siga estos pasos

Crear una tarea de análisis personalizada.

1 Haga clic en Agregar. 2 Introduzca el nombre, seleccione Análisis personalizado en la lista desplegable y haga clic en Siguiente. 3 Configure los ajustes de la tarea de análisis y haga clic en Aceptar para guardar la tarea.

Cambiar una tarea de análisis.

• Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar para guardarla.

Eliminar una tarea de análisis personalizada.

• Seleccione la tarea y haga clic en Eliminar.

Crear una copia de una tarea de análisis.

1 Seleccione la tarea y haga clic en Duplicar.

Cambiar la planificación de una tarea de Análisis completo o Análisis rápido.

2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar para guardar la tarea. 1 Haga doble clic en Análisis completo o Análisis rápido. 2 Haga clic en la ficha Planificación, modifique la planificación y haga clic en Aceptar para guardar la tarea. Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en sistemas autogestionados. De forma predeterminada, la ejecución del Análisis completo está planificada el miércoles a las 12 de la noche. La ejecución del Análisis rápido está planificada cada día a las 19 horas. Las planificaciones están activadas.

Ejecutar una tarea de análisis.

• Seleccione la tarea y haga clic en Ejecutar ahora. Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver. Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación para guardar la configuración.

6


Véase también Iniciar sesión como en la página 26 Configurar Análisis bajo demanda en la página 90 Ejecución de un Análisis completo o un Análisis rápido en la página 56

96


Guía del producto

Mediante Prevención de amenazas Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas

3

Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas Proporciona ayuda contextual para las páginas de la interfaz del Cliente de Endpoint Security. Contenido Página Poner en cuarentena Prevención de amenazas: Protección de Prevención de amenazas: Prevención de exploits Prevención de amenazas: Análisis en tiempo real Prevención de amenazas: Análisis bajo demanda Ubicaciones de análisis McAfee GTI Acciones Agregar exclusión o Editar exclusión Prevención de amenazas: Opciones Revertir contenido de AMCore

Página Poner en cuarentena istre los elementos en cuarentena. Tabla 3-3 Opciones Opción

Definición

Eliminar

Elimina los eventos seleccionados de la cuarentena. Los archivos eliminados no se pueden restaurar.

Restaurar

Restaura elementos de la cuarentena. Endpoint Security restaura los elementos a su ubicación original y los quita de la cuarentena. Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a la cuarentena inmediatamente.

Volver a analizar Vuelve a analizar elementos en la cuarentena. Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicación original y lo quita de la cuarentena. Encabezados de las columnas

Ordena la lista de cuarentena por...

Nombre de detección

Nombre de la detección.

Tipo

Tipo de amenaza; por ejemplo, Troyano o Adware.

Hora de cuarentena

La cantidad de tiempo que el elemento ha estado en cuarentena.

Número de objetos

El número de objetos en la detección.

Versión de AMCore Content

El número de versión de AMCore Content que identifica la amenaza.

Volver a analizar estado

El estado del nuevo análisis, si el elemento se ha vuelto a analizar: • Limpio: el nuevo análisis no ha detectado amenazas. • Infectado: Endpoint Security ha detectado una amenaza al volver a analizar.

Véase también istrar elementos en cuarentena en la página 60 Nombres de detecciones en la página 62 Repetición de análisis de elementos en cuarentena en la página 63


Guía del producto

97

3


Prevención de amenazas: Protección de Proteja los puntos de de su sistema de acuerdo con las reglas configuradas. Protección de compara una acción solicitada con una lista de reglas configuradas y actúa conforme a la regla. Procedimiento recomendado: Para obtener más información sobre la creación de reglas de Protección de para protegerse frente a ransomware, consulte PD25203.

Tabla 3-4

Opciones

Sección

Opción

Definición

PROTECCIÓN DE

Activar protección de

Activa la función Protección de .

Tabla 3-5 Opciones avanzadas Sección

Opción Descripción

Exclusiones

Permite el a los procesos especificados, también llamados ejecutables, para todas las reglas. • Agregar: agrega un proceso a la lista de exclusión. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado.

Reglas

Configura reglas de Protección de . Puede activar, desactivar y cambiar las reglas definidas por McAfee, pero no puede eliminar estas reglas. • Agregar: crea una regla personalizada y la agrega a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado. • (Solo) Bloquear: bloquea los intentos de sin registro. • (Solo) Informar: registra los intentos de sin bloquearlos. • Bloquear e Informar: bloquea y registra los intentos de . Procedimiento recomendado: Si no se conoce la repercusión total de una regla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los intentos de . Para determinar si se debe bloquear el , supervise los registros e informes.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Para desactivar la regla, anule la selección tanto de Bloquear como de Informar. Véase también Configuración de reglas de Protección de definidas por McAfee en la página 68 Configuración de las reglas de Protección de definidas por el en la página 72 Agregar exclusión o Editar exclusión en la página 108 Agregar regla o Editar regla en la página 98 Reglas de Protección de definidas por McAfee en la página 69

Agregar regla o Editar regla Agregue o edite reglas de protección de definidas por el .

98


Guía del producto


Tabla 3-6

3

Opciones

Sección Opción

Definición

Opciones

Nombre

Especifica o indica el nombre de la regla. (Obligatorio)

Acción

Especifica acciones para la regla. • (Solo) Bloquear: bloquea los intentos de sin registro. • (Solo) Informar: advierte sobre los intentos de sin bloquear. • Bloquear e informar: Bloquea y registra los intentos de . Procedimiento recomendado: Si no se conoce la repercusión total de una regla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los intentos de . Para determinar si se debe bloquear el , supervise los registros e informes.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Para desactivar la regla, anule la selección tanto de Bloquear como de Informar. Ejecutables

Especifica ejecutables para la regla. • Agregar: crea un nuevo ejecutable y lo agrega a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado. • Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre Incluir y Excluir.

Nombres de

Especifica los nombres de a los que se aplica la regla (solo para reglas definidas por el ). • Agregar: Selecciona un nombre de y lo añade a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado. • Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre Incluir y Excluir.

Subreglas

Configura subreglas (solo para reglas definidas por el ). • Agregar: Crea una subregla y la agrega a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado.

Notas

Proporciona más información sobre el elemento.

Véase también Agregar exclusión o Editar exclusión en la página 108 Agregar Nombre de o Editar Nombre de en la página 100 Agregar subregla o Editar subregla en la página 100


Guía del producto

99

3


Agregar Nombre de o Editar Nombre de Agregue o edite el al que se aplica la regla (solo para reglas definidas por el ). Tabla 3-7

Opciones

Opción

Definición

Nombre

Especifica el nombre de al que se aplica la regla. Utilice el siguiente formato para especificar el : • local. Entre las entradas válidas se incluyen: <nombre_máquina>\<nombre__local> .\<nombre__local> .\ (para el local) • del dominio: <nombre dominio>\<nombre_ dominio> • Sistema local: Local\Sistema especifica la cuenta de NT AUTHORITY\System del sistema.

Estado de inclusión

Determina el estado de inclusión para el . • Incluir: Activa la regla si el especificado ejecuta el ejecutable que infringe una subregla. • Excluir: No activa la regla si el especificado ejecuta el ejecutable que infringe una subregla.

Véase también Agregar regla o Editar regla en la página 98

Agregar subregla o Editar subregla Agregue o edite subreglas de Protección de definidas por el . Tabla 3-8

Opciones

Opción

Definición

Nombre

Especifica el nombre de la subregla.

Tipo de subregla

Especifica el tipo de subregla. Al cambiar el tipo de subregla, se eliminan las entradas definidas con anterioridad en la tabla de destinos. • Archivos: protege un archivo o directorio. Por ejemplo, cree una regla personalizada para bloquear o informar si se intenta eliminar una hoja de Excel con información confidencial. • Clave de Registro: protege la clave especificada. La clave de Registro es el contenedor del valor de Registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run. • Valor de Registro: Protege el valor especificado. Los valores de registro se almacenan en las claves de registro y se hace referencia a ellos por separado de las claves de registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\Autorun. • Procesos: protege los procesos especificados. Por ejemplo, cree una regla personalizada para bloquear intentos de operaciones de un proceso o para informar sobre ello. • Servicios: protege el servicio especificado. Por ejemplo, cree una regla personalizada para impedir que se pueda detener o iniciar un servicio.

100


Guía del producto


Tabla 3-8

3


Opción

Definición

Operaciones

Indica las operaciones permitidas con el tipo de subregla. Debe seleccionar como mínimo una operación para aplicar a la subregla. Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, no seleccione la operación Leer.

Archivos: • Cambiar atributos ocultos o de solo lectura: bloquea o informa de los cambios de estos atributos de los archivos en la carpeta especificada. • Crear: bloquea o informa de la creación de archivos en la carpeta especificada. • Eliminar: bloquea o informa de la eliminación de archivos en la carpeta especificada. • Ejecutar: bloquea o informa de la ejecución de archivos en la carpeta especificada. • Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos de los archivos en la carpeta especificada. • Lectura: bloquea o informa del de lectura a los archivos especificados. • Cambiar nombre: bloquea el destinado a cambiar el nombre a los archivos especificados o informa de él.


Guía del producto

101

3


Tabla 3-8 Opción

Opciones (continuación) Definición Si se especifica el destino del Archivo de destino, Cambiar nombre es la única operación válida. • Escritura: Bloquea o informa del de escritura a los archivos especificados. Clave de Registro: • Escritura: bloquea o informa del de escritura a la clave especificada. • Crear: bloquea o informa de la creación de la clave especificada. • Eliminar: bloquea o informa de la eliminación de la clave especificada. • Lectura: bloquea o informa del de lectura a la clave especificada. • Enumerar: bloquea o informa de la enumeración de las subclaves de la clave de Registro especificada. • Cargar: bloquea o informa de la posibilidad de descargar la clave de Registro especificada y sus subclaves del Registro. • Sustituir: bloquea o informa de la posibilidad de reemplazar la clave de Registro especificada y sus subclaves con otro archivo. • Restaurar: bloquea o informa de la posibilidad de guardar información de Registro en un archivo especificado y copia la clave especificada. • Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos de la clave de Registro especificada y de sus subclaves. Valor de Registro: • Escritura: bloquea o informa del de escritura al valor especificado. • Crear: bloquea o informa de la creación del valor especificado. • Eliminar: bloquea o informa de la eliminación del valor especificado. • Lectura: bloquea o informa del de lectura al valor especificado. Procesos: • Cualquier : Bloquea o informa del inicio de un proceso con cualquier . • Crear subproceso: Bloquea o informa del inicio de un proceso con para crear un subproceso. • Modificar: Bloquea o informa del inicio de un proceso con para modificar. • Finalizar: Bloquea o informa del inicio de un proceso con para terminar. • Ejecutar: bloquea la ejecución del ejecutable de destino especificado o informa de ella. Debe agregar, al menos, un archivo ejecutable de destino a la subregla.

102


Guía del producto

3


Tabla 3-8 Opción

Opciones (continuación) Definición En el caso de la operación Ejecutar, se genera un evento cuando se intenta ejecutar el proceso de destino. En el caso de las demás operaciones, se genera un evento cuando el destino está abierto. Servicios: • Iniciar: bloquea el inicio del servicio o informa de él. • Detener: bloquea la detención del servicio o informa de ella. • Pausar: bloquea la puesta en pausa del servicio o informa de ella. • Continuar: bloquea la continuación del servicio tras una pausa o informa de ella. • Crear: bloquea la creación del servicio o informa de ella. • Eliminar: bloquea la eliminación del servicio o informa de ella. • Activar perfil de hardware: bloquea la activación del perfil de hardware del servicio o informa de ella. • Desactivar perfil de hardware: bloquea la desactivación del perfil de hardware del servicio o informa de ella. • Modificar modo de inicio: bloquea la modificación del modo de inicio (Arranque, Sistema, Automático, Manual, Desactivado) del servicio o informa de ella. • Modificar información de inicio de sesión: bloquea la modificación de la información de inicio de sesión del servicio o informa de ella.

Destinos

• Agregar: especifica los destinos de la regla. Los destinos varían según la selección de tipo de regla. Debe añadir, al menos, un destino a la subregla. Haga clic en Agregar, seleccione el estado de inclusión e introduzca o seleccione el destino que va a incluir o excluir. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado.

Véase también Agregar regla o Editar regla en la página 98 Destinos en la página 104 Agregar exclusión o Editar exclusión en la página 108


Guía del producto

103

3


Destinos Especifican la definición y el estado de inclusión para un destino. Tabla 3-9

Opciones

Sección Opción

Definición

Destinos

Determina si el destino es una coincidencia positiva para la subregla. También especifica el estado de inclusión para el destino. • Incluir: indica que la subregla puede coincidir con el destino especificado. • Excluir: indica que la subregla no debe coincidir con el destino especificado. Agregue un destino mediante las directivas Incluir o Excluir. Si ha Especifica el nombre del archivo, el nombre de la carpeta, la ruta o el tipo seleccionado el de unidad de destino para una subregla de Archivos. tipo de subregla • Ruta de archivo: Busque y seleccione el archivo seleccionado. de Archivos... • Archivo de destino: Busque y seleccione el nombre o la ruta del archivo de destino para realizar la operación Renombrar. Si se ha seleccionado el destino del archivo de destino, (solo) la opción Renombrar debe estar seleccionada. • Tipo de unidad: seleccione el tipo de unidad de destino en la lista desplegable: • Extraíble: Archivos de una unidad USB o de otra unidad extraíble conectada al puerto USB, incluidas las que disponen de Windows To

104


Guía del producto


Tabla 3-9

3


Sección Opción

Definición Go. En este tipo de unidad, no se incluyen los archivos de un CD, DVD o disquete. Al bloquear este tipo de unidad, también se bloquean las unidades con Windows To Go.

• Red: Archivos de la red compartida • Fija: archivos del disco duro local o de otro disco duro fijo • CD/DVD: archivos de un CD o DVD • Disquete: archivos de una unidad de disquete Puede utilizar ?, * y ** como caracteres comodín. Prácticas recomendadas de destino de subregla de archivos Por ejemplo, para proteger: • Un archivo o carpeta llamado c:\testap, utilice un destino c:\testap o c: \testap\ • El contenido de una carpeta, utilice el asterisco como carácter comodín (c:\testap\*) • El contenido de una carpeta y de sus subcarpetas, utilice dos asteriscos (c:\testap\**) Se iten las variables de entorno del sistema. Las variables de entorno se pueden especificar en uno de estos formatos: • $(EnvVar) - $(SystemDrive), $(SystemRoot) • %EnvVar% - %SystemRoot%, %SystemDrive% No todas las variables de entorno definidas por el sistema son accesibles mediante la sintaxis $(var), específicamente las que contienen los caracteres or. Para evitar este problema, puede usar la sintaxis %var%. No se iten variables de entorno del .


Guía del producto

105

3


Tabla 3-9


Sección Opción

Definición

Si ha Define las claves de registro mediante claves raíz. Se iten estas seleccionado el claves raíz: tipo de subregla • HKLM o HKEY_LOCAL_MACHINE Clave de Registro... • HKCU o HKEY_CURRENT_ • HKCR o HKEY_CLASSES_ROOT • HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/ SYSTEM/ControlSet00X • HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a HKLM/Software/Wow6432Node solo en sistemas de 64 bits • HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a HKCU/Software/Wow6432Node solo en sistemas de 64 bits • HKULM tratada como HKLM y HKCU • HKULMS tratada como HKLMS y HKCUS • HKALL tratada como HKLM y HKU Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical) como carácter de escape. Prácticas recomendadas de destino de subregla de clave de registro Por ejemplo, para proteger: • Una clave del registro denominada HKLM\SOFTWARE\testap, utilice un destino HKLM\SOFTWARE\testap o HKLM\SOFTWARE\testap\ • El contenido de una clave de registro, utilice el asterisco como carácter comodín (HKLM\SOFTWARE\testap\*) • El contenido de una clave de registro y de sus subclaves, utilice dos asteriscos (HKLM\SOFTWARE\testap\**) • Las claves de registro y los valores de una clave de registro, permiten la operación Escribir

106


Guía del producto

3


Tabla 3-9


Sección Opción

Definición

Si ha Define los valores de registro mediante claves raíz. Se iten estas seleccionado el claves raíz: tipo de subregla • HKLM o HKEY_LOCAL_MACHINE Valor de Registro... • HKCU o HKEY_CURRENT_ • HKCR o HKEY_CLASSES_ROOT • HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/ SYSTEM/ControlSet00X • HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a HKLM/Software/Wow6432Node solo en sistemas de 64 bits • HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a HKCU/Software/Wow6432Node solo en sistemas de 64 bits • HKULM tratada como HKLM y HKCU • HKULMS tratada como HKLMS y HKCUS • HKALL tratada como HKLM y HKU Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical) como carácter de escape. Prácticas recomendadas de destino de subregla de valor de registro Por ejemplo, para proteger: • Un valor de registro llamado HKLM\SOFTWARE\testap, utilice un destino HKLM\SOFTWARE\testap • Los valores de registro de una clave de registro, utilice un asterisco como carácter comodín (HKLM\SOFTWARE\testap\*) • Los valores de registro de una clave de registro y de sus subclaves, utilice dos asteriscos (HKLM\SOFTWARE\testap\**)


Guía del producto

107

3


Tabla 3-9


Sección Opción

Definición

Si ha Especifica el nombre del archivo o la ruta del proceso, el hash MD5 o el seleccionado el firmante de destino para una subregla de Procesos. tipo de subregla Puede utilizar ?, *, y ** como caracteres comodín para todos excepto de Procesos... para hash MD5. Prácticas recomendadas de destino de subregla de procesos Por ejemplo, para proteger: • Un proceso denominado c:\testap.exe, utilice una ruta o un nombre de archivo de destino c:\testap.exe • Todos los procesos de una carpeta, utilice el asterisco como carácter comodín (c:\testap\*) • Todos los procesos de una carpeta y de sus subcarpetas, utilice dos asteriscos (c:\testap\**) Si ha Especifica el nombre del servicio o el nombre para mostrar de una regla seleccionado el de Servicios. tipo de subregla • Nombre registrado del servicio: contiene el nombre del servicio de la clave de Servicios... Registro correspondiente situada en HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\. • Nombre para mostrar del servicio: contiene el nombre para mostrar del servicio del valor de Registro DisplayName situado en HKLM_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\<nombre_del_servicio>\. Se trata del nombre que aparece en el de servicios. Por ejemplo, "Adobe Acrobat Update Service" es el nombre para mostrar correspondiente al nombre del servicio "AdobeARMservice". Puede utilizar ? y * como caracteres comodín. Procedimientos recomendados para destinos de subreglas de Servicios Por ejemplo, para proteger todos los servicios de Adobe por nombre para mostrar, utilice el carácter comodín asterisco: Adobe* Véase también Agregar subregla o Editar subregla en la página 100

Agregar exclusión o Editar exclusión Agregue o edite un ejecutable que se deba excluir en el nivel de la directiva, o bien incluir o excluir en el nivel de la regla. Al especificar exclusiones e inclusiones, tenga en cuenta lo siguiente:

108

•

Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.

•


•

Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash MD5 no se aplican al mismo archivo), la exclusión o inclusión no es válida.

•

Las exclusiones e inclusiones no distinguen mayúsculas de minúsculas.

•



Guía del producto

3


Tabla 3-10

Opciones

Opción

Definición

Nombre

Especifica el nombre que le da al ejecutable. Este campo es obligatorio junto con, al menos, otro campo: Nombre de archivo o ruta, Hash MD5 o Firmante.


Determina el estado de inclusión del ejecutable. • Incluir: Activa la regla si el ejecutable infringe una subregla. • Excluir: No activa la regla si el ejecutable infringe una subregla. Estado de inclusión solo aparece cuando se agrega un ejecutable a una regla o al destino de la subregla de Procesos.

Nombre de archivo o ruta

Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar. Haga clic en Examinar para seleccionar el ejecutable. La ruta del archivo puede incluir caracteres comodín.

Hash MD5

Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).

Firmante

Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado desde que se firmó con un hash criptográfico. Si esta opción está activada, especifique: • Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso. • Firmado por: permite solo los archivos firmados por el firmante de proceso especificado. Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente con las entradas en el campo adjunto, incluidos comas y espacios. El firmante del proceso aparece en el formato correcto en los eventos del Registro de eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazas de McAfee ePO. Por ejemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obtener el nombre distintivo del firmante de un ejecutable: 1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades. 2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles. 3 En la ficha General haga clic en Ver certificado. 4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo del firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del firmante: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US

Notas


Véase también Agregar regla o Editar regla en la página 98


Guía del producto

109

3


Prevención de amenazas: Prevención de exploits Active y configure Prevención de exploits para impedir que los exploits de desbordamiento del búfer ejecuten código arbitrario en el equipo. Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión 10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en la configuración de la directiva.

Tabla 3-11

Opciones

Sección

Opción

Definición

PREVENCIÓN DE EXPLOITS Activar Prevención de exploits Activa la función Prevención de exploits. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware.


Opción

Definición

Prevención genérica de la escalación de privilegios

Activar prevención genérica de la escalación de privilegios

Activa la compatibilidad con la prevención genérica de la escalación de privilegios (GPEP, por sus siglas en inglés). (Opción desactivada de manera predeterminada) GPEP usa firmas GPEP en el contenido de Prevención de exploits para ofrecer cobertura a los exploits de la escalación de privilegios en el modo kernel y el modo de . Al activar esta opción se eleva la gravedad de la firma de desbordamiento del búfer GPEP 6052 a Alta, de modo que se bloquee o informe, dependiendo de la acción especificada. Debido a que GPEP podría generar informes de falsos positivos, esta opción está desactivada de forma predeterminada.

Prevención de ejecución de datos de Windows

Activar la Prevención de ejecución de datos de Windows

Activa la integración de la Prevención de ejecución de datos (DEP, por sus siglas en inglés) de Windows. (Opción desactivada de manera predeterminada) Seleccione esta opción para: • Activar DEP para aplicaciones de 32 bits en la lista de protección de aplicaciones de McAfee, si aún no está activada, y utilizarla en lugar de protección genérica contra desbordamiento del búfer (GBOP). La validación del autor de la llamada y la supervisión de API dirigida siguen implementadas. • Supervisar las detecciones de DEP en aplicaciones de 32 bits con DEP activado. • Supervisar las detecciones de DEP en aplicaciones de 64 bits de la lista de protección de aplicaciones de McAfee. • Registrar las detecciones de DEP y enviar un evento a McAfee ePO. La desactivación de esta opción no afecta a ningún proceso que tenga la Prevención de ejecución de datos activada como resultado de esta directiva de Windows.

110


Guía del producto

3



Opción

Definición Especifica el proceso, el módulo autor de llamada, la API o la firma que se deben excluir.

Exclusiones

Las exclusiones con Módulo autor de llamada o API no se aplican a DEP. • Agregar: crea una exclusión y la agrega a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado. Cambia la acción (Bloquear o Informar) de las firmas de Prevención de exploits definidas por McAfee.

Firmas

No se puede cambiar la gravedad ni crear firmas. Para desactivar la firma, anule la selección de Bloquear e Informar. Mostrar Filtra la lista de Firmas por gravedad o estado de desactivación: firmas cuya • Alta gravedad sea • Media • Baja • Informativa • Desactivado No puede activar firmas cuya gravedad sea Desactivado.

(Solo) Bloquear

Bloquea el comportamiento que coincida con la firma sin registrarlo.

(Solo) Informar

Registra el comportamiento que coincida con la firma sin bloquearlo. No se permite la selección de solo Informar para el ID de firma 9990.

Bloquear e Informar Reglas de protección de aplicaciones

Bloquea y registra el comportamiento que coincida con la firma. Configura reglas de protección de aplicaciones. • Agregar: crea una regla de protección de aplicaciones y la agrega a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. (Solo reglas definidas por el ) • Duplicar: Crea una copia del elemento seleccionado. (Solo reglas definidas por el )

Véase también Configuración de las opciones de Prevención de exploits en la página 77 Agregar exclusión o Editar exclusión en la página 112


Guía del producto

111

3


Agregar exclusión o Editar exclusión Agregue o edite exclusiones de Prevención de exploits. Al especificar exclusiones, tenga en cuenta lo siguiente: •

Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.

•

Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.

•

Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.

•


•


•


•

Se aceptan caracteres comodín para todo excepto para hash MD5 e ID de firma.

•

Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas. Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.

Tabla 3-13

Opciones

Sección

Opción

Definición

Proceso

Nombre

Especifica el nombre del proceso que se debe excluir. Prevención de exploits excluye el proceso, sea cual sea su ubicación. Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o ruta, Hash MD5 o Firmante.


Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar. Haga clic en Examinar para seleccionar el ejecutable.

Hash MD5

112



Guía del producto

3


Tabla 3-13 Sección

Opciones (continuación) Opción

Definición

Firmante


Módulo autor de llamada

Nombre

Especifica el nombre del módulo (archivo DLL) que carga un ejecutable que es propietario de la memoria grabable que realiza la llamada. Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o ruta, Hash MD5 o Firmante.



Hash MD5



Guía del producto

113

3


Tabla 3-13 Sección


Definición

Firmante


API

Nombre

Especifica el nombre de la API (interfaz de programación de aplicaciones) a la que se llama.

Firmas

ID de firma

Especifica identificadores de firmas de Prevención de exploits (separados por comas). Proporciona más información sobre el elemento.

Notas

Véase también Exclusión de procesos de Prevención de exploits en la página 78

Agregar regla o Editar regla Agregue o edite reglas de protección de aplicaciones definidas por el . Tabla 3-14 Sección

114

Opciones

Opción

Definición

Nombre

Especifica o indica el nombre de la regla. (Obligatorio)

Estado

Activa o desactiva el elemento.


Guía del producto

3


Tabla 3-14 Sección


Opción

Definición


Especifica el estado de inclusión del ejecutable. • Incluir: activa la regla si se ejecuta un ejecutable de la lista Ejecutables. • Excluir: no activa la regla si se ejecuta un ejecutable de la lista Ejecutables. Especifica ejecutables para la regla.

Ejecutables

• Agregar: agrega un ejecutable a la lista. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado. Proporciona más información sobre el elemento.

Notas

Para las reglas de Protección de aplicaciones definidas por McAfee, este campo contiene el nombre del ejecutable que se está protegiendo.

Agregar ejecutable o Editar ejecutable Agregue o edite un ejecutable en una regla de Protección de aplicaciones. Al configurar ejecutables, tenga en cuenta lo siguiente: •


•


•

Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash MD5 no se aplican al mismo archivo), la definición del ejecutable no es válida.

Tabla 3-15 Sección

Opciones

Opción

Propiedades Nombre

Definición Especifica el nombre del proceso. Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o ruta, Hash MD5 o Firmante.



Hash MD5



Guía del producto

115

3


Tabla 3-15 Sección


Opción

Definición

Firmante

Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado desde que se firmó con un hash criptográfico. Si esta opción está activada, especifique: • Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso. • Firmado por: permite solo los archivos firmados por el firmante de proceso especificado. Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente con las entradas en el campo adjunto, incluidos comas y espacios. El firmante del proceso aparece en el formato correcto en los eventos del Registro de eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazas de McAfee ePO. Por ejemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obtener el nombre distintivo del firmante de un ejecutable: 1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades. 2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles. 3 En la ficha General haga clic en Ver certificado. 4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo del firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del firmante: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US Proporciona más información sobre el elemento.

Notas

Prevención de amenazas: Análisis en tiempo real Active y configure el análisis en tiempo real. Tabla 3-16

116

Opciones

Sección

Opción

Definición

ANÁLISIS EN TIEMPO REAL

Activar análisis en tiempo real

Activa la función Análisis en tiempo real.

Activar análisis en tiempo real al iniciar el sistema

Activa la función Análisis en tiempo real cada vez que se inicia el equipo.


(Opción activada de forma predeterminada)


Guía del producto

3


Tabla 3-16 Sección


Definición

Especificar el número Limita el análisis de cada archivo al número especificado de máximo de segundos segundos. para el análisis de los (Opción activada de forma predeterminada) archivos El valor predeterminado es 45 segundos. Si un análisis excede el límite de tiempo, se detiene sin problemas y se registra un mensaje. Analizar sectores de arranque

Analiza el sector de arranque del disco. (Opción activada de forma predeterminada) Procedimiento recomendado: Anule la selección del análisis del sector de arranque cuando un disco contenga un sector de arranque único o anómalo que no se pueda analizar.

Analizar los procesos Vuelve a analizar todos los procesos que se encuentren en la al iniciar servicios y memoria cada vez que: actualizar contenido • Se vuelven a activar los análisis en tiempo real. • Los archivos de contenido se actualizan. • El sistema se inicia. • Se inicia el proceso McShield.exe. (Opción desactivada de forma predeterminada) Procedimiento recomendado: Dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anule la selección de esta opción para reducir el tiempo de inicio del sistema.

Cuando se activa el analizador en tiempo real, este analiza siempre todos los procesos cuando se ejecutan. Analizar instaladores de confianza

Analiza los archivos MSI (instalados por msiexec.exe y firmados por McAfee o Microsoft) o los archivos del servicio Instalador de confianza de Windows. (Opción desactivada de forma predeterminada) Procedimiento recomendado: Anule la selección de esta opción para mejorar el rendimiento de los instaladores de aplicaciones de Microsoft de gran tamaño.

Analizar al copiar Analiza los archivos cuando el copia de una carpeta local a entre carpetas locales otra. Si esta opción está: • Desactivada: solo se analizan los elementos de la carpeta de destino. • Desactivada: se analizan los elementos tanto en la carpeta de origen (lectura) como en la de destino (escritura). (Opción desactivada de forma predeterminada)


Guía del producto

117

3


Tabla 3-16


Sección

Opción

Definición

Analizar al copiar Analiza los archivos cuando el los copia desde una carpeta desde carpetas de red de red o una unidad USB extraíble. y unidades extraíbles Si no se selecciona esta opción, el sistema será vulnerable a los ataques de malware.

(Opción activada de forma predeterminada) Activa y define la configuración de McAfee GTI.

McAfee GTI ScriptScan

Activar ScriptScan

Activa el análisis de scripts JavaScript y VBScript en Internet Explorer para impedir que se ejecuten scripts no deseados. (Opción desactivada de forma predeterminada) Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts maliciosos.

Excluir estas URL o las URL parciales

Especifica exclusiones de ScriptScan por URL. Agregar: agrega una URL a la lista de exclusiones. Eliminar : quita una URL de la lista de exclusiones. Las URL no pueden incluir caracteres comodín. No obstante, se excluirá también cualquier URL que contenga una cadena de una URL excluida. Por ejemplo, si se excluye la URL msn.com, también se excluirán las siguientes URL: • http://weather.msn.com • http://music.msn.com


Opción

Definición

Mensajería de de detección de amenazas

Mostrar la ventana de análisis en tiempo real a los s cuando se detecta una amenaza

Muestra la página de Análisis en tiempo real con el mensaje especificado a los s de los clientes cuando se produce una detección. (Opción activada de forma predeterminada) Cuando se selecciona esta opción, los s pueden abrir esta página desde la página Analizar ahora en cualquier momento en que la lista de detecciones incluya al menos una amenaza. La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema.

Mensaje

Especifica el mensaje que se debe mostrar a los s de los clientes cuando se produce una detección. El mensaje predeterminado es: McAfee Endpoint Security ha detectado una amenaza.

Configuración de procesos

118

Usar la configuración Estándar para todos los procesos

Aplica la misma configuración a todos los procesos cuando se realiza un análisis en tiempo real.

Configurar opciones distintas para procesos de riesgo alto y de riesgo bajo

Configura diferentes opciones de análisis para cada tipo de proceso que se identifique.


Guía del producto

3



Opción

Definición

Estándar

Configura opciones para los procesos que no están identificados como de riesgo alto o bajo. (Opción activada de forma predeterminada)

Análisis

Riesgo alto

Configura opciones de procesos que son de riesgo alto.

Riesgo bajo

Configura opciones de procesos que son de riesgo bajo.

Agregar

Agrega un proceso a la lista Riesgo alto o Riesgo bajo.

Eliminar

Quita un proceso de la lista Riesgo alto o Riesgo bajo.

Cuándo analizar Al escribir en el disco

Intenta analizar todos los archivos a medida que se escriban o se cambien en el equipo o en otro dispositivo de almacenamiento de datos.

Al leer el disco

Analiza todos los archivos a medida que se leen en el equipo o en otro dispositivo de almacenamiento de datos.

Dejar que McAfee decida

Permite que McAfee decida si se debe analizar un archivo mediante la lógica de confianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento al evitar análisis innecesarios. Procedimiento recomendado: Active esta opción para obtener la mejor protección y el mejor rendimiento.

No analizar al leer o escribir desde el disco

Especifica que no se analicen procesos de Riesgo bajo.

Qué analizar Todos los archivos

Analiza todos los archivos, independientemente de su extensión. Si no se selecciona esta opción, el sistema será vulnerable a los ataques de malware.

Tipos de archivo predeterminados y especificados

Análisis: • La lista predeterminada de extensiones de archivos definida en el archivo de AMCore Content actual, incluidos los archivos sin extensión • Las extensiones de archivos adicionales que especifique Separe las extensiones con una coma. • (Opcional) Amenazas de macros conocidas en la lista de extensiones de archivo predeterminadas y especificadas

Solo tipos de archivos especificados

Analiza una de las opciones siguientes o ambas: • Solo los archivos con las extensiones (separadas por comas) que especifique • Todos los archivos sin extensión

En unidades de red

Analiza recursos en unidades de red asignadas. Procedimiento recomendado: Anule la selección de esta opción para mejorar el rendimiento.


Guía del producto

119

3



Opción

Definición

Abierto para copia de seguridad

Analiza los archivos al acceder mediante el software de copia de seguridad. Procedimiento recomendado: En la mayoría de los entornos no es necesario seleccionar esta configuración.

Archivos de almacenamiento comprimidos

Examina el contenido de archivos de almacenamiento (comprimidos), incluidos los archivos .jar. Procedimiento recomendado: Dado que el análisis de archivos de almacenamiento comprimidos puede afectar negativamente al rendimiento del sistema, anule la selección de esta opción para mejorar dicho rendimiento.

Archivos comprimidos codificados mediante MIME

Detecta, descodifica y analiza archivos cifrados con extensiones Multipurpose Internet Mail Extensions (MIME).

Opciones de análisis adicionales Detectar programas no deseados

Permite que el analizador detecte programas potencialmente no deseados. El analizador utiliza la información que ha configurado en los parámetros de Prevención de amenazas de Prevención de amenazas para detectar programas potencialmente no deseados.

Detectar amenazas de programas desconocidos

Utiliza McAfee GTI para detectar archivos ejecutables que tengan código similar al malware.

Detectar amenazas de macros desconocidas

Utiliza McAfee GTI para detectar virus de macros desconocidos.

Acciones

Especifica cómo responde el analizador cuando detecta una amenaza.

Exclusiones

Especifica archivos, carpetas y unidades que excluir del análisis. Agregar

Agrega un elemento a la lista de exclusión.

Eliminar

Quita un elemento de la lista de exclusión.

Véase también Configure Análisis en tiempo real en la página 83 McAfee GTI en la página 126 Acciones en la página 127 Agregar exclusión o Editar exclusión en la página 128

Prevención de amenazas: Análisis bajo demanda Defina la configuración de Análisis bajo demanda para los análisis personalizados y preconfigurados que se ejecutan en el sistema. Consulte la configuración en el módulo Ajustes generales para configurar el registro.

120


Guía del producto

3


Estos parámetros especifican el comportamiento del analizador al: •

Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Cliente de Endpoint Security.

•

Como , ejecutar una tarea de análisis bajo demanda desde Configuración | Ajustes generales | Tareas desde Cliente de Endpoint Security.

•

Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca de amenazas en el menú emergente.

Tabla 3-18

Opciones

Sección

Opción

Definición

Qué analizar

Sectores de arranque

Analiza el sector de arranque del disco. Procedimiento recomendado: Anule la selección del análisis del sector de arranque cuando un disco contenga un sector de arranque único o anómalo que no se pueda analizar.

Archivos que se han migrado al almacenamiento

Analiza archivos que gestiona el Almacenamiento remoto. Algunas soluciones de almacenamiento de datos sin conexión sustituyen los archivos con un archivo stub. Cuando el analizador se encuentra con un archivo stub, que indica que se ha migrado el archivo, el analizador restaura el archivo al sistema local antes de proceder con el análisis. El proceso de restauración puede afectar negativamente al rendimiento del sistema. Procedimiento recomendado: Anule la selección de esta opción a menos que necesite específicamente analizar los archivos del almacenamiento.

Archivos comprimidos codificados mediante MIME

Detecta, descodifica y analiza archivos cifrados con extensiones Multipurpose Internet Mail Extensions (MIME).

Archivos de almacenamiento comprimidos

Examina el contenido de archivos de almacenamiento (comprimidos), incluidos los archivos .jar. Procedimiento recomendado: Seleccione esta opción solo en análisis planificados en horas de inactividad, cuando el sistema no se esté utilizando, ya que el análisis de archivos de almacenamiento comprimidos puede afectar negativamente al rendimiento del sistema.

Opciones de análisis adicionales

Ubicaciones de análisis

Subcarpetas (solo Análisis con el botón derecho del ratón)

Examina todas las subcarpetas de la carpeta especificada.

Detectar programas no deseados

Permite que el analizador detecte programas potencialmente no deseados. El analizador utiliza la información que ha configurado en los parámetros de Prevención de amenazas de Prevención de amenazas para detectar programas potencialmente no deseados.

Detectar amenazas de programas desconocidos

Utiliza McAfee GTI para detectar archivos ejecutables que tengan código similar al malware.

Detectar amenazas de macros desconocidas

Utiliza McAfee GTI para detectar virus de macros desconocidos.

(solo Análisis completo y Análisis rápido)

Especifica las ubicaciones que analizar.


Estas opciones solo se aplican a Análisis completo, Análisis rápido y análisis personalizados.

Guía del producto

121

3


Tabla 3-18


Sección

Opción

Definición

Tipos de archivos que analizar

Todos los archivos

Analiza todos los archivos, independientemente de su extensión. McAfee recomienda encarecidamente la activación de Todos los archivos. Si no se selecciona esta opción, el sistema será vulnerable a los ataques de malware.

Tipos de archivo predeterminados y especificados

Análisis: • La lista predeterminada de extensiones de archivos definida en el archivo de AMCore Content actual, incluidos los archivos sin extensión • Las extensiones de archivos adicionales que especifique Separe las extensiones con una coma. • (Opcional) Amenazas de macros conocidas en la lista de extensiones de archivo predeterminadas y especificadas

Solo tipos de archivos especificados

Analiza una de las opciones siguientes o ambas: • Solo los archivos con las extensiones (separadas por comas) que especifique • Todos los archivos sin extensión

McAfee GTI

Activa y define la configuración de McAfee GTI.

Exclusiones

Especifica archivos, carpetas y unidades que excluir del análisis. Agregar

Agrega un elemento a la lista de exclusión.

Eliminar

Quita un elemento de la lista de exclusión. Especifica cómo responde el analizador cuando detecta una amenaza.

Acciones Rendimiento

Usar caché de análisis

Permite que el analizador utilice los resultados de análisis existentes. Procedimiento recomendado: Seleccione esta opción para reducir la duplicación de los análisis y mejorar el rendimiento.

122


Guía del producto

3


Tabla 3-18 Sección


Definición

Utilización del sistema

Permite al sistema operativo especificar la cantidad de tiempo de U que el analizador recibe durante el análisis. Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas. • Baja: el rendimiento del resto de las aplicaciones en ejecución es superior. Práctica recomendada: Seleccione esta opción para sistemas con actividad del final.

• Por debajo de lo normal: establece los valores predeterminados de McAfee ePO en cuanto a la utilización del sistema para el análisis. • Normal (predeterminado): permite que el análisis finalice más rápido. Práctica recomendada: Seleccione esta opción para sistemas que tienen grandes volúmenes y poca actividad del final.

Opciones del análisis planificado

Estas opciones solo se aplican a Análisis completo, Análisis rápido y análisis personalizados. Analizar solo cuando el Ejecuta el análisis solo cuando el sistema está inactivo. sistema está inactivo Prevención de amenazas pausa el análisis cuando el accede al sistema mediante el teclado o ratón. Prevención de amenazas reanuda el análisis cuando el (y la U) está inactivo durante cinco minutos. Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los s acceden mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante el escritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para evitar este problema, los s pueden iniciar McTray (de manera predeterminada en C:\Archivos de programa\McAfee \Agent\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto. Analizar en cualquier momento

Ejecuta el análisis incluso si el está activo y especifica opciones para el análisis. Los s pueden aplazar el análisis: Permite al aplazar análisis planificados y especificar opciones de aplazamiento de análisis. • Máximo número de veces que el puede aplazar el análisis una hora: especifica el número de veces (de 1 a 23) que el puede aplazar el análisis a una hora más tarde. • Mensaje de : especifica el mensaje que aparecerá cuando un análisis esté a punto de comenzar. El mensaje predeterminado es: McAfee Endpoint Security va a analizar el sistema. • Duración del mensaje (segundos): especifica cuánto tiempo (en segundos) aparece el mensaje de cuando un análisis está a punto de comenzar. El intervalo válido de duración es de 30 a 300; la duración predeterminada es de 45 segundos.


Guía del producto

123

3


Tabla 3-18 Sección


Definición No analizar si el sistema está en modo de presentación: pospone el análisis mientras el sistema está en modo de presentación.

No analizar si el sistema funciona mediante la batería

Pospone el análisis cuando el sistema está alimentándose con batería.

Véase también Configurar Análisis bajo demanda en la página 90 Configure, planifique y ejecute tareas de análisis en la página 95 Ejecución de un Análisis completo o un Análisis rápido en la página 56 Analizar un archivo o carpeta en la página 58 Ubicaciones de análisis en la página 124 McAfee GTI en la página 126 Acciones en la página 127 Agregar exclusión o Editar exclusión en la página 128

Ubicaciones de análisis Especifique las ubicaciones que analizar. Estas opciones solo se aplican a Análisis completo, Análisis rápido y análisis personalizados. Tabla 3-19

Opciones

Sección

Opción

Definición

Ubicaciones de análisis

Analizar subcarpetas

Examina todas las subcarpetas de los volúmenes especificados cuando está seleccionada alguna de estas opciones: • Carpeta de inicio

• Carpeta Temp

• Carpeta de perfil del

• Archivo o carpeta

• Carpeta Archivos de programa Cancele la selección de esta opción para analizar solo el nivel raíz de los volúmenes. Especificar ubicaciones

Especifica las ubicaciones que se deben analizar. • Agregar: Agrega una ubicación al análisis. Haga clic en Agregar y seleccione la ubicación en el menú desplegable. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Quita una ubicación del análisis. Seleccione la ubicación y haga clic en Eliminar.

Memoria para rootkits

Analiza la memoria del sistema para buscar rootkits instalados, procesos ocultos y otros comportamientos que puedan sugerir que un malware está intentando ocultarse. Este análisis se produce antes que los demás análisis. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware.

124


Guía del producto

3


Tabla 3-19


Sección

Opción

Definición

Procesos en ejecución Analiza la memoria de todos los procesos en ejecución. Las acciones que no sean Limpiar archivos se tratan como Continuar analizando. Si no se activa esta opción, el sistema quedará desprotegido ante los ataques de malware.

Archivos registrados

Analiza los archivos a los que hace referencia el Registro de Windows. El analizador busca nombres de archivo en el registro, determina si el archivo existe, crea una lista de archivos para analizar y analiza los archivos.

Mi equipo

Analiza todas las unidades conectadas físicamente al equipo o asignadas de forma lógica a una letra de unidad en el equipo.

Todas las unidades locales

analiza todas las unidades del equipo, así como sus subcarpetas.

Todas las unidades de Analiza todas las unidades conectadas físicamente al equipo. disco duro Todas las unidades extraíbles

Analiza todas las unidades extraíbles o cualquier otro dispositivo de almacenamiento conectado al ordenador, excepto las incluyen Windows To Go.

Todas las unidades asignadas

Analiza las unidades de red asignadas lógicamente a una unidad de red del equipo.

Carpeta de inicio

Analiza la carpeta de inicio del que inicie el análisis.

Carpeta de perfil del

Analiza el perfil del que empieza el análisis, incluida la carpeta Mis documentos del .

Carpeta Windows

Analiza el contenido de la carpeta Windows.

Carpeta Archivos de programa

Analiza el contenido de la carpeta Archivos de programa.

Carpeta Temp

Analiza el contenido de la carpeta Temp.

Papelera de reciclaje

Analiza el contenido de la papelera de reciclaje.

Archivo o carpeta

analiza el archivo o la carpeta especificados.

Registro

Analiza las claves y los valores de Registro.

Véase también Prevención de amenazas: Análisis bajo demanda en la página 120


Guía del producto

125

3


McAfee GTI Activa y configura los ajustes de McAfee GTI (Global Threat Intelligence). Tabla 3-20 Sección

Opciones Opción Definición Activa y desactiva las comprobaciones heurísticas.

Activar McAfee GTI

• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a McAfee Labs para determinar si se trata de malware. Al enviar hashes, la detección podría estar disponible antes que la próxima publicación de archivos de AMCore content, cuando McAfee Labs publique la actualización. • Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs. Configura el nivel de sensibilidad que se debe utilizar para determinar si una muestra detectada es malware.

Nivel de sensibilidad

Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan más resultados de falsos positivos. Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con archivos de contenido de AMCore normales. Puede disponer de una detección para Prevención de amenazas cuando McAfee Labs la publique en lugar en la siguiente actualización de archivos de AMCore Content. Utilice esta configuración para los equipos de sobremesa y servidores con derechos de restringidos y fuertes configuraciones de seguridad. Esta configuración da lugar a una media de entre 10 y 15 consultas al día por equipo. Baja

Esta configuración es la recomendación mínima para portátiles o equipos de escritorio y servidores con fuertes configuraciones de seguridad. Esta configuración da lugar a una media de entre 10 y 15 consultas al día por equipo.

Media

Utilice esta configuración cuando el riesgo normal de exposición a malware sea superior al riesgo de un falso positivo. Las comprobaciones heurísticas propietarias de McAfee Labs generan detecciones que probablemente son malware. No obstante, algunas detecciones podrían producir un falso positivo. Con esta configuración, McAfee Labs comprueba que las aplicaciones y los archivos del sistema operativo conocidos no produzcan falsos positivos. Esta configuración es la recomendación mínima para portátiles, equipos de sobremesa y servidores. Esta configuración da lugar a una media de entre 20 y 25 consultas al día por equipo.

Alta

Utilice esta configuración para el despliegue en sistemas o áreas que se infectan con frecuencia. Esta configuración da lugar a una media de entre 20 y 25 consultas al día por equipo.

Muy alto

Utilice esta configuración en volúmenes que no contengan sistemas operativos. Las detecciones que se encuentran con este nivel son supuestamente maliciosas, pero no se han comprobado completamente para determinar si son falsos positivos. Utilice esta configuración únicamente para analizar volúmenes y directorios que no itan la ejecución de programas ni sistemas operativos. Esta configuración da lugar a una media de entre 20 y 25 consultas al día por equipo.

126


Guía del producto

3


Véase también Prevención de amenazas: Análisis en tiempo real en la página 116 Prevención de amenazas: Análisis bajo demanda en la página 120 Control web: Opciones en la página 173

Acciones Especifica cómo responde el analizador cuando detecta una amenaza. Tabla 3-21

Opciones

Sección

Opción

Definición

Tipo de análisis Análisis en tiempo real

Primera respuesta al detectar una amenaza

Especifica la primera acción que debe realizar el analizador al detectar una amenaza. Negar el a los archivos

Impide que los s accedan a archivos con amenazas potenciales.

Continuar con el análisis

Continúa con el análisis de archivos cuando se detecta una amenaza. El analizador no pone elementos en cuarentena.

Limpiar archivos

Quita la amenaza del archivo detectado, si es posible.

Eliminar archivos

Elimina los archivos con amenazas potenciales. Especifica la acción que desea que realice el analizador al detectarse una amenaza si la primera acción no resuelve el problema.

Si la primera respuesta falla Negar el a los archivos




Eliminar archivos

Elimina los archivos con amenazas potenciales. Especifica la primera acción que el analizador debe realizar al detectarse un programa potencialmente no deseado.

Primera respuesta al detectar programa no deseado



Esta opción solo está disponible si se ha seleccionado Detectar programas no deseados. Negar el a los archivos


Permitir el a los archivos

Permite que los s accedan a archivos con amenazas potenciales.



Guía del producto

127

3


Tabla 3-21 Sección


Definición

Tipo de análisis Análisis en tiempo real

Limpiar archivos

Quita la amenaza del archivo de programa potencialmente no deseado, si es posible.

Eliminar archivos

Quita archivos de programas potencialmente no deseados.


Especifica la acción que el analizador debe realizar al detectarse un programa potencialmente no deseado si la primera acción no resuelve el problema.

Si la primera respuesta falla

Esta opción solo está disponible si se ha seleccionado Detectar programas no deseados. Negar el a los archivos


Permitir el a los archivos

Permite que los s accedan a archivos con amenazas potenciales.



Eliminar archivos

Elimina automáticamente archivos de programas potencialmente no deseados.

Véase también Prevención de amenazas: Análisis en tiempo real en la página 116 Prevención de amenazas: Análisis bajo demanda en la página 120

Agregar exclusión o Editar exclusión Agregue o edite una definición de exclusión. Tabla 3-22 Sección

Opciones Opción

Definición

Tipo de análisis En tiempo real

Bajo demanda

Especifica el tipo de exclusión y los detalles de la misma.

Qué excluir

Ruta o nombre de Especifica el nombre de archivo o la ruta archivo que se debe excluir. La ruta del archivo puede incluir caracteres comodín. Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.

Seleccione Excluir también subcarpetas si es necesario.

128


Guía del producto


Tabla 3-22 Sección

3


Definición

Tipo de análisis En tiempo real

Tipo de archivo

Especifica tipos de archivo (extensiones de archivo) que excluir.

Antigüedad del archivo

Especifica el tipo de (Modificación, Con [solo Análisis bajo demanda] o Creación) de los archivos que excluir y la Antigüedad mínima en días.

Bajo demanda

Especifica cuándo excluir el elemento seleccionado.

Cuándo excluir Al escribir o leer del disco

Excluye del análisis cuando los archivos se escriban o lean en el disco u otro dispositivo de almacenamiento de datos.

Al leer el disco

Excluye del análisis cuando los archivos se lean en el equipo u otro dispositivo de almacenamiento de datos.

Al escribir en el disco

Excluye del análisis cuando los archivos se escriban o modifiquen en el disco u otro dispositivo de almacenamiento de datos.

Véase también Prevención de amenazas: Análisis en tiempo real en la página 116 Prevención de amenazas: Análisis bajo demanda en la página 120 Caracteres comodín en exclusiones en la página 65 Configuración de exclusiones en la página 64

Prevención de amenazas: Opciones Configure los parámetros que se aplican a la función Prevención de amenazas, como cuarentena, programas potencialmente no deseados y exclusiones. Esta sección solo incluye opciones avanzadas.

Tabla 3-23

Opciones avanzadas

Sección

Opción

Definición

de cuarentena

Carpeta de cuarentena

Especifica la ubicación de la carpeta de cuarentena o acepta la ubicación predeterminada: c:\Quarantine La carpeta de cuarentena tiene un límite de 190 caracteres.

Especificar el número máximo de días que se guardarán los datos en cuarentena


Especifica el número de días (entre 1 y 999) que se guardan los elementos en cuarentena antes de eliminarlos automáticamente. El valor predeterminado es 30 días.

Guía del producto

129

3


Tabla 3-23

Opciones avanzadas (continuación)

Sección

Opción

Definición

Exclusiones por nombre de detección

Excluir estos nombres de detección

Especifica exclusiones de detección por nombre de detección. Por ejemplo, para especificar que los analizadores en tiempo real y bajo demanda no detecten amenazas de Comprobación de instalación, introduzca Comprobación de instalación. Agregar : agrega un nombre de detección a la lista de exclusiones. Haga clic en Agregar; a continuación, introduzca el nombre de detección. Hacer doble clic en un elemento: Modifica el elemento seleccionado. Eliminar : quita un nombre de detección de la lista de exclusión. Seleccione el nombre y, después, haga clic en Eliminar.

Detecciones de programas potencialmente no deseados

Excluir los programas no deseados personalizados

Especifica los archivos o programas individuales que se consideran programas potencialmente no deseados. Los analizadores detectan tanto los programas que especifique como los especificados en los archivos de AMCore content.

El analizador no detecta un programa no deseado de cero bytes definido por el . • Agregar: define un programa no deseado personalizado. Haga clic en Agregar, introduzca el nombre y pulse la tecla Tab para introducir la descripción. • Nombre: especifica el nombre de archivo del programa potencialmente no deseado. • Descripción: especifica la información que se mostrará como nombre de detección cuando se produzca una detección. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: quita de la lista un programa potencialmente no deseado. Seleccione el programa de la lista y haga clic en Eliminar. Análisis proactivo de datos

130

Envía datos de uso y diagnóstico anónimos a McAfee. Comentarios sobre McAfee GTI


Permite los comentarios de telemetría relacionados con McAfee GTI para recopilar datos anónimos de archivos y procesos que se ejecutan en el sistema cliente.

Guía del producto

3


Tabla 3-23

Opciones avanzadas (continuación)

Sección

Opción

Definición

Comprobación regular de la seguridad

Efectúa una comprobación de la salud del sistema cliente antes y después de las actualizaciones de archivos de AMCore Content, así como a intervalos regulares, y envía los resultados a McAfee. Los resultados se cifran y se envían a McAfee mediante SSL. A continuación, McAfee agrega y analiza los datos de estos informes para identificar anomalías que pudieran suponer problemas potenciales relativos al contenido. La identificación precoz de dichos problemas es fundamental para proporcionar la contención y la corrección oportunas. Comprobación regular de la seguridad recopila los tipos de datos siguientes: • Versión del sistema operativo y configuración regional • Versión del producto de McAfee • Versión del motor y de AMCore Content • Información de procesos de ejecución de McAfee y Microsoft

Reputación de AMCore Content

Efectúa una búsqueda de reputación de McAfee GTI en el archivo de AMCore Content antes de actualizar el sistema cliente. • Si McAfee GTI permite el al archivo, Endpoint Security actualiza AMCore Content. • Si McAfee GTI no permite el al archivo, Endpoint Security no actualiza AMCore Content.

Véase también Configurar parámetros de análisis de ajustes generales en la página 82

Revertir contenido de AMCore Cambia AMCore content a una versión anterior. Las actualizaciones de contenido de Prevención de exploits no se pueden revertir. Opción

Definición

Seleccione la versión que cargar

Especifica el número de versión de un archivo de AMCore content anterior que hay que cargar. Endpoint Security conserva las dos versiones previas en el sistema cliente. Cuando cambia a una versión anterior, Endpoint Security elimina la versión actual de AMCore content del sistema.

Véase también Cambio de la versión de AMCore content en la página 28


Guía del producto

131

3


132


Guía del producto

4

Uso de Firewall

Firewall actúa como filtro entre su equipo y la red o Internet. Contenido Cómo funciona Firewall Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee istrar Firewall Referencia de la interfaz del Cliente de Endpoint Security: Firewall

Cómo funciona Firewall El Firewall analiza todo el tráfico entrante y saliente. A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es un conjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla, el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall. La información sobre detecciones de amenazas se guarda para crear informes que notifican al sobre cualquier problema de seguridad relativo al equipo. Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan las reglas de firewall para una istración más fácil. Si el Modo de interfaz cliente se establece en total o ha iniciado sesión como , puede configurar las reglas y grupos mediante Cliente de Endpoint Security. Para los sistemas gestionados, las reglas o grupos que cree podrían sobrescribirse cuando el despliegue una directiva actualizada. Véase también Configurar opciones deFirewall en la página 135 Cómo funcionan las reglas de firewall en la página 139 Cómo funcionan los grupos de reglas de firewall en la página 141

Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee Según la configuración definida, puede activar o desactivar el Firewall en el icono de la bandeja del sistema de McAfee. Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.


Guía del producto

133

4

Uso de Firewall Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee

Procedimiento •

Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione Desactivar Firewall de Endpoint Security una opción del menú Configuración rápida. Si el Firewall está activado, la opción es Desactivar Firewall de Endpoint Security. Dependiendo de la configuración, es posible que deba proporcionar un motivo al para desactivar el Firewall.

Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee Active, desactive o visualice los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee. Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.

Procedimiento •

Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione una opción del menú Configuración rápida. •

Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante un período determinado para permitir el a Internet antes de que se apliquen las reglas que restringen el . Cuando los grupos sincronizados están activados, la que se muestra es Desactivar grupos sincronizados de firewall. Cada vez que selecciona esta opción, se restablece el tiempo asignado a los grupos. Dependiendo de la configuración, es posible que se le pida que proporcione al un motivo para activar los grupos sincronizados.

•

Ver grupos sincronizados de firewall: muestra los nombres de los grupos sincronizados y el tiempo restante de activación de cada grupo.

Información acerca de los grupos sincronizados Los grupos sincronizados son grupos de reglas de Firewall que se activan por un periodo de tiempo establecido. Por ejemplo, se puede activar un grupo sincronizado para permitir que un sistema cliente se conecte a una red pública y establezca una conexión VPN. Dependiendo de la configuración de la , se pueden activar los grupos: •

En una planificación específica.

•

De forma manual, seleccionando las opciones del icono de la bandeja del sistema de McAfee.

istrar Firewall Como , puede configurar las opciones de Firewall y crear reglas y grupos en Cliente de Endpoint Security. En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los cambios de la página Configuración.

134


Guía del producto

4

Uso de Firewall istrar Firewall

Modificar opciones de Firewall Como , puede modificar las opciones de Firewall desde el Cliente de Endpoint Security. Procedimientos •

Configurar opciones deFirewall en la página 135 Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo de adaptación y configure otras opciones de Firewall.

•

Bloqueo del tráfico DNS en la página 136 Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio.

•

Definir redes para usar en reglas y grupos en la página 137 Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los grupos. También puede especificar las redes que son de confianza.

•

Configuración de ejecutables de confianza en la página 138 Defina o edite la lista de ejecutables de confianza que se consideren seguros para su entorno.

Véase también Preguntas frecuentes: McAfee GTI y Firewall en la página 136

Configurar opciones deFirewall Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo de adaptación y configure otras opciones de Firewall. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2

Haga clic en Firewall en la página Estado principal. O, en el menú Acción Configuración.

3

, seleccione Configuración y, a continuación, haga clic en Firewall en la página

Seleccione Activar Firewall para activarlo y modificar sus opciones. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión 10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint Security aunque esté activado en la configuración de la directiva.

4


5




Guía del producto

135

4


Bloqueo del tráfico DNS Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2

Haga clic en Firewall en la página Estado principal. O bien en el menú Acción página Configuración.

, seleccione Configuración y, a continuación, haga clic en Firewall en la

3

En Bloqueo de DNS, haga clic en Agregar.

4

Introduzca los nombres de dominio completos que desea bloquear y haga clic en Guardar. Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com. Las entradas duplicadas se eliminan automáticamente.

5

Haga clic en Guardar.

6


Preguntas frecuentes: McAfee GTI y Firewall A continuación se incluyen las respuestas a las preguntas más frecuentes. La configuración de las Opciones de Firewall le permite bloquear el tráfico entrante y saliente de una conexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentes explican qué hace McAfee GTI y cómo afecta al firewall. ¿Qué es McAfee GTI? McAfee GTI es un sistema global de información sobre reputación de Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa análisis en tiempo real de patrones mundiales de comportamiento y envío con respecto al correo electrónico, la actividad web, el malware y el comportamiento de sistema a sistema. Mediante los datos obtenidos del análisis, McAfee GTI calcula de forma dinámica las puntuaciones de reputación que representan el nivel de riesgo para su red cuando visita una página web. El resultado es una base de datos de puntuaciones de reputación para direcciones IP, dominios, mensajes específicos, URL e imágenes. Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735. ¿Cómo funciona McAfee GTI con Firewall? Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitir servicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexión a McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y el umbral de bloqueo configurado. ¿Qué quiere decir "reputación"?

136


Guía del producto

4


Por cada dirección IP de Internet, McAfee GTI calcula un valor de reputación. McAfee GTI basa este valor en el comportamiento de alojamiento o envío y en diversos datos de entorno recopilados de los clientes y partners en relación con el estado del panorama de amenazas en Internet. La reputación se expresa con cuatro clases que se basan en nuestro análisis: •

No bloquear (riesgo mínimo): se trata de un origen o destino legítimos de contenido/tráfico.

•

Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que McAfee considera de riesgo.

•

Riesgo medio: este origen/destino muestra un comportamiento que McAfee considera sospechoso. Cualquier contenido/tráfico procedente del sitio web requiere un escrutinio especial.

•

Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico, pero también muestra algunas propiedades que sugieren la necesidad de una inspección adicional.

¿McAfee GTI provoca alguna latencia? ¿Cuánta? Cuando se a con McAfee GTI para que realice una búsqueda de reputación, algo de latencia es inevitable. McAfee ha hecho todo lo posible para minimizarla. McAfee GTI: •

Comprueba las reputaciones solo cuando se seleccionan las opciones.

•

Utiliza una arquitectura de almacenamiento en caché inteligente. Con los patrones de uso normal de la red, la mayoría de las conexiones más importantes se resuelven mediante la caché, sin una consulta de reputación activa.

Si el firewall no puede conectar con los servidores de McAfee GTI, ¿el tráfico se detiene? Si el firewall no puede conectar con ninguno de los servidores de McAfee GTI, asigna automáticamente a todas las conexiones aplicables una reputación predeterminada para permitirlas. A continuación, el firewall sigue con un análisis de las reglas posteriores.

Definir redes para usar en reglas y grupos Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los grupos. También puede especificar las redes que son de confianza. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2


3




Guía del producto

137

4


4

En Redes definidas, realice cualquiera de las siguientes acciones: Para...

Pasos

Definir una nueva red.

Haga clic en Agregar e introduzca la información de la red de confianza. Para definir la red como de confianza, seleccione Sí en el menú desplegable De confianza. Si selecciona No, la red se define para su uso en reglas y grupos, pero el tráfico entrante y saliente de la red no se considera de confianza automáticamente.

5

Cambiar una definición de red.

En cada columna, haga doble clic en el elemento y, a continuación, introduzca la nueva información.

Eliminar una red.

Seleccione una fila y haga clic en Eliminar.


Acerca de las redes de confianza Las redes de confianza son las direcciones IP, intervalos de direcciones IP y subredes que su organización considera seguras. Al definir una red como de confianza, se crea una regla bidireccional Permitir para dicha red remota en la primera posición de la lista de reglas de Firewall. Una vez definidas, puede crear reglas de firewall que se aplicarán a estas redes de confianza. Las redes de confianza también funcionan como excepciones a McAfee GTI en el firewall. Práctica recomendada: Al añadir redes a las reglas o grupos de Firewall, seleccione Redes definidas en el Tipo de red al que quiere aplicar esta función.

Configuración de ejecutables de confianza Defina o edite la lista de ejecutables de confianza que se consideren seguros para su entorno. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2


3

138




Guía del producto

4


4

5

En Ejecutables de confianza, realice cualquiera de las siguientes acciones: Para...

Pasos

Definir un ejecutable de confianza nuevo.

Haga clic en Agregar y, a continuación, introduzca la información del ejecutable.

Cambiar una definición de ejecutable.

En cada columna, haga doble clic en el elemento y, a continuación, introduzca la nueva información.

Eliminar un ejecutable.

Seleccione una fila y haga clic en Eliminar.


A cerca de aplicaciones y ejecutables de confianza Los ejecutables de confianza son archivos ejecutables que no tienen vulnerabilidades conocidas y se consideran seguros. Al configurar un ejecutable de confianza, se crea una regla bidireccional Permitir para dicho ejecutable en la primera posición de la lista de reglas de Firewall. Mantener una lista de ejecutables seguros en un sistema reduce o elimina la mayoría de los falsos positivos. Por ejemplo, cuando se ejecuta una aplicación de copias de seguridad, pueden darse muchos eventos de falsos positivos. Para evitar que se produzcan falsos positivos, convierta la aplicación de copias de seguridad en un ejecutable de confianza. Un ejecutable de confianza puede sufrir vulnerabilidades comunes como desbordamiento del búfer y uso ilegal. Por lo tanto, Firewall supervisa los ejecutables de confianza y puede desencadenar eventos para prevenir exploits.

El Catálogo de Firewall contiene tanto ejecutables como aplicaciones. Los ejecutables del catálogo se pueden asociar a una aplicación contenedora. Puede agregar ejecutables y aplicaciones del catálogo a la lista de ejecutables de confianza. Una vez definidos, puede hacer referencia a los ejecutables en reglas y grupos.

istración de directivas y grupos de Firewall Como , puede configurar las reglas y grupos de Firewall desde Cliente de Endpoint Security. Procedimientos •

Creación y istración de directivas y grupos de Firewall en la página 145 Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Security podrían sobrescribirse cuando el despliegue una directiva actualizada.

•

Creación de grupos de aislamiento de conexión en la página 147 Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados.

•

Creación de grupos sincronizados en la página 148 Cree grupos sincronizados de Firewall para restringir el a Internet hasta que un sistema cliente se conecte a través de una conexión VPN.

Cómo funcionan las reglas de firewall Las reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece un conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el tráfico. Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acción asociada.


Guía del producto

139

4


Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (por ejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones. Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para así facilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red, transporte, aplicación, programa y localización. Firewall usa la prioridad para aplicar reglas: 1

Firewall aplica la regla situada en primera posición en la lista de reglas de firewall. Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intenta aplicar ninguna otra regla de la lista.

2

No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguiente regla de la lista hasta que encuentre una regla que coincida con el tráfico.

3

Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente.

Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, el tráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewall aplique solo la primera regla coincidente de la lista.

Recomendaciones Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este orden asegura que Firewall filtra el tráfico adecuadamente.

140


Guía del producto

4


Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, la dirección IP 10.10.10.1), cree dos reglas: •

Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla es específica.

•

Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.

Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewall que la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde la dirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico a través del firewall. Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraría una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de bloqueo. Permitiría el tráfico, aunque lo que el deseara fuera bloquear las solicitudes HTTP provenientes de una dirección específica.

Cómo funcionan los grupos de reglas de firewall Utilice los grupos de reglas de Firewall para organizar las reglas de firewall y facilitar así la istración. Los grupos de reglas de Firewall no afectan a la forma en que Firewall trata las reglas incluidas en ellos; Firewall sigue procesando las reglas de arriba a abajo. Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas que contiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.

Hacer que los grupos detecten la ubicación Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento de conexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detecten el adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador para equipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre, los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientes para cada adaptador de red: Ubicación: •

Requerir el a McAfee ePO

•

Dirección IP de Servidor WINS principal

•

Sufijo DNS específico de conexión

•

Dirección IP de Servidor WINS secundario

•

Dirección IP de Gateway predeterminada

•

Posibilidad de alcance del dominio (HTTPS)

•

Dirección IP de Servidor DH

•

Clave de Registro

•

Servidor DNS consultado para resolver las URL

Redes: •

Dirección IP de Red local

•

Tipos de conexión

Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en el primer grupo, prosigue con el procesamiento de la regla.


Guía del producto

141

4


Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado, el firewall las omite. Si esta opción está seleccionada...

Entonces...

Activar detección de ubicación

Se requiere un nombre de localización.

Requerir el a McAfee ePO

El servidor de McAfee ePO es accesible y se ha resuelto el nombre de dominio completo del servidor.

Red local

La dirección IP del adaptador debe coincidir con una de las entradas de la lista.

Sufijo DNS específico de conexión

El sufijo DNS del adaptador debe coincidir con una de las entradas de la lista.

Gateway predeterminada

La dirección IP de gateway predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.

Servidor DH

La dirección IP del servidor DH del adaptador debe coincidir al menos con una de las entradas de la lista.

Servidor DNS

La dirección IP del servidor DNS del adaptador debe coincidir con cualquiera de las entradas de la lista.

Servidor WINS principal

La dirección IP del servidor WINS principal del adaptador debe coincidir al menos con una de las entradas de la lista.

Servidor WINS secundario

La dirección IP del servidor WINS secundario del adaptador debe coincidir al menos con una de las entradas de la lista.

Posibilidad de alcance del dominio (HTTPS)

El dominio especificado debe ser accesible mediante HTTPS.

Grupos de reglas y aislamiento de conexión de Firewall Use el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una red designada. Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con: •

Permitir reglas anteriores al grupo en la lista de reglas de firewall

•

Criterios de grupo

El resto del tráfico se bloquea. Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporte ni ejecutables.

142


Guía del producto

4


Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en este orden: 1

Reglas para una conexión básica

2

Reglas para una conexión VPN

3

Grupo con reglas de conexión de LAN corporativa

4

Grupo con reglas de conexión VPN


Guía del producto

143

4


Ejemplo: aislamiento de conexión en la red corporativa Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LAN corporativa. Este grupo contiene esta configuración: •

Tipo de conexión = con cable

•

Sufijo DNS específico de conexión: mycompany.com

•

Gateway predeterminada

•

Aislamiento de conexión = Activado

El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa con una conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que se conecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas de básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que no pasa por la LAN queda bloqueado.

Ejemplo: aislamiento de conexión en un hotel Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Este grupo contiene esta configuración: •

Tipo de conexión = virtual

•

Sufijo DNS específico de conexión: vpn.mycompany.com

•

Dirección IP: una dirección en un intervalo específico para el concentrador VPN

•

Aislamiento de conexión = Activado

Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma inalámbrica.

Grupos de reglas de firewall predefinidos Firewall incluye varios grupos de reglas predefinidos. Grupo de Firewall

Descripción

Redes principales de McAfee

Contiene las reglas de redes principales proporcionadas por McAfee e incluye reglas para itir DNS y aplicaciones de McAfee. Estas reglas no se pueden modificar ni eliminar. Se puede desactivar el grupo en las Firewall de firewall, pero hacerlo podría deteriorar las comunicaciones de red en el cliente.

Agregado por

Contiene reglas definidas por el en el servidor de istración. Estas reglas no se pueden modificar ni eliminar en Cliente de Endpoint Security.

Agregado por

Contiene reglas definidas en Cliente de Endpoint Security. Dependiendo de la configuración de directiva, estas reglas podrían sobrescribirse al implementarse la directiva.

144


Guía del producto

4


Grupo de Firewall

Descripción

Adaptación

Contiene reglas de excepciones de cliente que se crean automáticamente cuando el sistema está en modo de adaptación. Dependiendo de la configuración de directiva, estas reglas podrían sobrescribirse al implementarse la directiva.

Predeterminado

Contiene reglas predeterminadas proporcionadas por McAfee. Estas reglas no se pueden modificar ni eliminar.

Creación y istración de directivas y grupos de Firewall Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Security podrían sobrescribirse cuando el despliegue una directiva actualizada. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar las reglas por columna.



2


3


Use estas tareas para gestionar reglas y grupos de firewall. Para hacer esto...

Siga estos pasos

Vea las reglas en un grupo del firewall.

Haga clic en

.

Contraiga un grupo de firewall.

Haga clic en

.

Modificar una regla existente.

1 Expandir el grupo Agregado por .

Puede modificar las reglas solo en el grupo Agregado por el .

2 Haga doble clic en la regla. 3 Cambie la configuración de reglas. 4 Haga clic en Aceptar para guardar los cambios.

Ver una regla existente en cualquier grupo.


1 Expanda el grupo. 2 Seleccione la regla para ver sus detalles en el inferior.

Guía del producto

145

4


Para hacer esto...

Siga estos pasos

Crear una regla.

1 Haga clic en Agregar regla. 2 Especifique la configuración de reglas. 3 Haga clic en Aceptar para guardar los cambios. La regla aparece al final del grupo Agregado por el .

Crear copias de reglas.

1 Seleccione la regla o reglas y haga clic en Duplicar. Las reglas copiadas aparecen con el mismo nombre al final del grupo Agregado por el . 2 Modificar las reglas para cambiar el nombre y la configuración.

Eliminar reglas. Puede eliminar reglas solo desde los grupos Agregado por el y Adaptación.

Crear un grupo.

1 Expanda el grupo. 2 Seleccione la regla o reglas y haga clic en Eliminar.

1 Haga clic en Agregar grupo. 2 Especifique la configuración del grupo. 3 Haga clic en Aceptar para guardar los cambios. El grupo aparece en el grupo Agregado por el .

Mover reglas y grupos dentro y entre grupos. Puede modificar las reglas y grupos solo en el grupo Agregado por el .

Para mover elementos: 1 Seleccione los elementos que mover. El control de ajuste aparece a la izquierda de los elementos que puedan moverse. 2 Arrastre y coloque los elementos en su nueva ubicación. Una línea azul aparece entre elementos allí donde pueda colocar los elementos arrastrados.

4


Véase también Caracteres comodín en reglas de firewall en la página 146 Iniciar sesión como en la página 26 Creación de grupos de aislamiento de conexión en la página 147

Caracteres comodín en reglas de firewall Puede usar caracteres comodín para representar caracteres para algunos valores en las reglas de firewall.

Caracteres comodín en valores de ruta y dirección Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientes caracteres comodín. Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen los valores de los comodines.

146


Guía del producto

4


?

Signo de interrogación Un solo carácter.

*

Asterisco

Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utilice este carácter para hacer coincidir los contenidos del nivel raíz de una carpeta sin subcarpetas.

** Doble asterisco

Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).

|

Escape de caracteres comodín.

canalización

Para el asterisco doble (**), el escape es |*|*.

Caracteres comodín en todos los demás valores Para los valores que normalmente no contienen información de ruta con barras, use los siguientes caracteres comodín. ? Signo de interrogación

Un solo carácter.

* Asterisco

Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).

| canalización

Escape de caracteres comodín.

Creación de grupos de aislamiento de conexión Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2



3

En REGLAS, haga clic en Agregar grupo.

4

En Descripción, especifique las opciones para el grupo.

5

En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación, seleccione los criterios de ubicación para la búsqueda de coincidencias.

6

Bajo Redes, para Tipos de conexión, seleccione el tipo de conexión (Con cable, Inalámbrica o Virtual) para aplicar a las reglas de este grupo. La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.

7

Haga clic en Aceptar.


Guía del producto

147

4


8

Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglas de firewall.

9


Véase también Grupos de reglas y aislamiento de conexión de Firewall en la página 142 Cómo funcionan los grupos de reglas de firewall en la página 141

Creación de grupos sincronizados Cree grupos sincronizados de Firewall para restringir el a Internet hasta que un sistema cliente se conecte a través de una conexión VPN. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1


2


3


Cree un grupo deFirewall con una configuración predeterminada que permita la conexión a Internet. Por ejemplo, puede permitir el tráfico HTTP en el puerto 80.

4

En la sección Planificación, seleccione la forma de activar el grupo. •

Activar planificación: especifica la hora de inicio y de finalización del grupo que se va a activar.

•

Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee: permite que los s activen el grupo en la bandeja del sistema de McAfee y mantiene el grupo activado durante un periodo de minutos concreto. Si permite que los s istren los grupos sincronizados, puede, de manera opcional, solicitar que proporcionen una justificación antes de activar el grupo.

5

Haga clic en Aceptar para guardar los cambios.

6

Cree un grupo de aislamiento de conexión correspondiente a la red VPN para permitir el tráfico necesario. Práctica recomendada: Para dejar tráfico saliente únicamente del grupo de aislamiento de la conexión en el sistema cliente, no coloque reglas de Firewall bajo este grupo.

7


Véase también Creación de grupos de aislamiento de conexión en la página 147

148


Guía del producto

4

Uso de Firewall Referencia de la interfaz del Cliente de Endpoint Security: Firewall

Referencia de la interfaz del Cliente de Endpoint Security: Firewall Proporciona ayuda contextual para las páginas de la interfaz del Cliente de Endpoint Security. Contenido Firewall: Opciones Firewall: Reglas

Firewall: Opciones Activa y desactiva el módulo de Firewall, establece las opciones de protección y defines las redes y los ejecutables de confianza. Para restablecer la configuración predeterminada de McAfee y cancelar los cambios, haga clic en Restablecer a predeterminado. Consulte la configuración en el módulo Ajustes generales para configurar el registro. Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión 10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint Security aunque esté activado en la configuración de la directiva.

Tabla 4-1

Opciones

Sección

Opción

Definición

Activar Firewall

Activa y desactiva el módulo Firewall.

Permitir tráfico de protocolos incompatibles

Permite el tráfico que usa protocolos no itidos. Si esta opción está desactivada, todo el tráfico que use protocolos no itidos se bloqueará.

Permitir tráfico saliente hasta que los servicios de firewall se hayan iniciado

Permite el tráfico saliente, pero no el tráfico entrante, hasta que el servicio Firewall se haya iniciado.

Permitir tráfico mediante puentes

Permite:

Opciones de protección

Si se desactiva esta opción, Firewall permite todo el tráfico antes de iniciar los servicios, lo que podría volver el sistema vulnerable.

• Paquetes entrantes si la dirección MAC de destino se encuentra en el intervalo de dirección MAC de VM itido y no en una dirección MAC local del sistema. • Paquetes salientes si la dirección MAC de origen se encuentra en el intervalo de dirección MAC itido y no en una dirección MAC local del sistema.


Guía del producto

149

4


Tabla 4-1 Sección

Bloqueo de DNS


Definición

Activar alertas de intrusión de firewall

Muestra las alertas automáticamente cuando Firewall detecta un posible ataque.

Nombre de dominio

Define nombres de dominio a bloquear. Cuando se aplica, esta opción agrega una regla cerca de la parte superior de las reglas de firewall que bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio. • Agregar: agrega un nombre de dominio a la lista de bloqueados. Separe los dominios entre sí con una coma (,) o un retorno de carro. Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com. Las entradas duplicadas se eliminan automáticamente. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: elimina el nombre de dominio seleccionado de la lista de bloqueados.


Opción

Definición

Opciones de ajuste

Activar el modo de adaptación

Crea reglas automáticamente para permitir el tráfico. Procedimiento recomendado: Active el modo de adaptación temporalmente solo en algunos sistemas mientras configura el Firewall. La activación de este modo puede generar varias reglas de cliente, que el servidor de McAfee ePO debe procesar, lo que afecta de forma negativa al rendimiento.

Desactivar las reglas Desactiva las reglas de red integradas de McAfee (en el grupo de de redes principales reglas Redes principales de McAfee). de McAfee (Opción desactivada de forma predeterminada) Activar esta opción podría deteriorar las comunicaciones de red en el cliente.

Registrar todo el tráfico bloqueado

Registra todo el tráfico bloqueado en el registro de eventos de Firewall (FirewallEventMonitor.log) en el Cliente de Endpoint Security. (Opción activada de forma predeterminada)

Registrar todo el tráfico permitido

Registra todo el tráfico permitido en el registro de eventos de Firewall (FirewallEventMonitor.log) en el Cliente de Endpoint Security. (Opción desactivada de forma predeterminada) Activar esta opción puede tener un efecto negativo en el rendimiento.

150


Guía del producto

4



Opción

Definición

Reputación de Tratar coincidencia El tráfico que coincide con la configuración del umbral de bloqueo de red McAfee de McAfee GTI como McAfee GTI se trata como una intrusión. Al activar esta opción, se GTI intrusión muestra una alerta, se envía un evento al servidor de istración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. Todas las direcciones IP de una red de confianza quedan excluidas de la búsqueda de McAfee GTI. (Opción activada de forma predeterminada) Registrar tráfico coincidente

El tráfico que coincide con la configuración del umbral de bloqueo de McAfee GTI se trata como una detección. Al activar esta opción, se envía un evento al servidor de istración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. (Opción activada de forma predeterminada) Todas las direcciones IP de una red de confianza quedan excluidas de la búsqueda de McAfee GTI.

Bloquear todos los ejecutables no fiables

Bloquea todos los ejecutables que no están firmados o cuya reputación de McAfee GTI es desconocida.

Umbral de reputación de red entrante

Especifica el umbral de riesgo de McAfee GTI a partir del cual debe bloquearse el tráfico entrante o saliente desde una conexión de red.

Umbral de reputación de red saliente

• No bloquear: este sitio web es una fuente o un destino legítimo de contenido/tráfico. • Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que McAfee considera de riesgo. • Riesgo medio: este origen/destino muestra un comportamiento que McAfeeMcAfee considera sospechoso. Cualquier contenido/tráfico procedente del sitio web requiere un escrutinio especial. • Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico, pero también muestra algunas propiedades que sugieren la necesidad de una inspección adicional.

Firewall con seguimiento de estado

Usar inspección de protocolo FTP

Permite rastrear conexiones FTP, de modo que solo se requiera una regla de Firewall para el tráfico FTP de cliente saliente y el tráfico FTP de servidor entrante. Si esta opción no está seleccionada, las conexiones FTP requerirán una regla adicional para el tráfico FTP de cliente entrante y otra para el tráfico FTP de servidor saliente.

Número de segundos (1 a 240) antes de que la conexión T agote el tiempo de espera

Especifica el tiempo en segundos durante el cual sigue activa una conexión T no establecida si no se envían ni reciben más paquetes que coincidan con la conexión. El intervalo válido es de 1 a 240.

Número de segundos (1 a 300) antes de que las conexiones virtuales de eco UDP e ICMP agoten el tiempo de espera

Especifica el tiempo en segundos durante el cual sigue activa una conexión virtual de eco UDP o ICMP si no se envían ni reciben más paquetes que coincidan con la conexión. Esta opción restablece el valor configurado cada vez que se envía o recibe un paquete que coincide con la conexión virtual. El intervalo válido es de 1 a 300.


Guía del producto

151

4



Opción

Definición Establece las direcciones de red, las subredes o los intervalos que usar en reglas y grupos.

Redes definidas

• Agregar: Agrega una dirección de red, subred o intervalo a la lista de redes definidas. Haga clic en Agregar y rellene los campos de la fila para definir la red. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: elimina la dirección seleccionada de la lista de redes definidas. Tipo de dirección

Especifica el tipo de dirección de la red por definir.

De confianza

• Sí: Permite todo el tráfico de la red. Al definir una red como de confianza, se crea una regla bidireccional Permitir para dicha red remota en la primera posición de la lista de reglas de Firewall. • No: agrega la red a la lista de redes definidas para crear reglas.

Propietario Ejecutables de confianza

Especifica ejecutables que son seguros en cualquier entorno y que no tienen vulnerabilidades conocidas. Estos ejecutables tienen permiso para realizar todas las operaciones excepto aquellas que indiquen que los ejecutables están en peligro. Al configurar un ejecutable de confianza, se crea una regla bidireccional Permitir para dicho ejecutable en la primera posición de la lista de reglas de Firewall. • Agregar: agrega un ejecutable de confianza. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el ejecutable de la lista de confianza.

Véase también Configurar opciones deFirewall en la página 135 Definir redes para usar en reglas y grupos en la página 137 Configuración de ejecutables de confianza en la página 138 Agregar ejecutable o Editar ejecutable en la página 158

Firewall: Reglas istre grupos y reglas de firewall. Solo puede agregar y eliminar reglas y grupos en el grupo Agregado por . Firewall mueve de manera automática a este grupo las reglas que se acaban de agregar. Para restablecer la configuración a la configuración predeterminada de fábrica y cancelar los cambios, haga clic en Restablecer a predeterminado. Tabla 4-3 Opciones

152

Sección Opción

Definición

REGLAS

Agregar regla

Crea una regla de firewall.

Agregar grupo

Crea un grupo de firewall.


Regla Grupo

Guía del producto

4


Tabla 4-3 Opciones (continuación) Sección Opción

Definición



Duplicar

Crea una copia del elemento seleccionado.

Eliminar

Elimina un elemento de firewall seleccionado.

Regla Grupo

Indica elementos que pueden moverse en la lista. Seleccione elementos y arrástrelos hasta la nueva ubicación. Aparecerá una línea azul entre elementos en los puntos en los que se pueden colocar los elementos arrastrados. Véase también Creación y istración de directivas y grupos de Firewall en la página 145 Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 153

Agregar regla o Editar regla, Agregar grupo o Editar grupo Agregue o edite grupos y reglas de firewall. Tabla 4-4

Opciones

Sección

Opción

Definición

Regla Grupo

Descripción

Nombre

Especifica el nombre descriptivo del elemento (obligatorio).

Estado

Activa o desactiva el elemento.

Especificar acciones

Permitir: permite el tráfico a través del firewall si el elemento coincide. Bloquear: impide el tráfico a través del firewall si el elemento coincide. Tratar coincidencia como intrusión: trata el tráfico que coincida con la regla como una intrusión. Al activar esta opción, se muestra una alerta, se envía un evento al servidor de istración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. Práctica recomendada: No active esta opción en una regla Permitir porque da lugar a numerosos eventos.

Registrar tráfico coincidente: el tráfico que coincide con la regla se trata como una detección. Al activar esta opción, se envía un evento al servidor de istración y se agrega el elemento al archivo de registro de Cliente de Endpoint Security. Dirección

Especifica la dirección: • Cualquiera: supervisa tanto el tráfico entrante como el saliente. • En: supervisa el tráfico entrante. • Salida: supervisa el tráfico saliente.

Notas



Guía del producto

153

4


Tabla 4-4


Sección

Opción

Definición

Regla Grupo

Ubicación

Activar detección de ubicación

Activa o desactiva la información de ubicación para el grupo.

Nombre

Especifica el nombre de la ubicación (obligatorio).

Activar aislamiento de conexión

Bloquea el tráfico de los adaptadores de red que no coincidan con el grupo cuando haya un adaptador que sí coincida con el grupo. La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.

Uno de los usos de esta opción consiste en bloquear el tráfico generado por fuentes potencialmente no deseadas fuera de la red corporativa y evitar que acceda a ella. Solo se puede bloquear el tráfico de esta manera si no hay una regla anterior al grupo en el firewall que sí le permita el . Cuando el aislamiento de conexión se activa y una tarjeta de interfaz de red coincide con el grupo, el tráfico se permite únicamente en estos casos: • El tráfico coincide con una regla Permitir anterior al grupo. • El tráfico que se mueve por una tarjeta de interfaz de red coincide con el grupo y hay una regla en dicho grupo (o posterior a este) que permite el tráfico. Si no hay ninguna tarjeta de interfaz de red que coincida con el grupo, este se omitirá y se proseguirá con la coincidencia de reglas. Requerir el a McAfee ePO

154


Permite al grupo que coincida solamente si hay comunicación con el servidor McAfee ePO y se ha resuelto el nombre de dominio completo del servidor.

Guía del producto

4


Tabla 4-4 Sección


Definición

Regla Grupo

Criterios de ubicación

• Sufijo DNS específico de conexión: especifica un sufijo DNS específico de la conexión en el formato: ejemplo.com. • Gateway predeterminada: especifica una dirección IP única para una gateway predeterminada en formato IPv4 o IPv6. • Servidor DH: especifica una dirección IP única para un servidor DH en formato IPv4 o IPv6. • Servidor DNS: especifica una dirección IP única para un servidor de nombre de dominio en formato IPv4 o IPv6. • Servidor WINS principal: especifica una dirección IP única para un servidor WINS principal en formato IPv4 o IPv6. • Servidor WINS secundario: especifica una dirección IP única para un servidor WINS secundario en formato IPv4 o IPv6. • Posibilidad de alcance del dominio (HTTPS): exige que el dominio especificado sea accesible mediante HTTPS. • Clave de Registro: especifica la clave de Registro y el valor de la clave. 1 Haga clic en Agregar. 2 En la columna Valor, especifique la clave de Registro con el siguiente formato: \ \[VALUE_NAME] • En , debe utilizar el nombre completo de la raíz, como por ejemplo HKEY_LOCAL_MACHINE y no la abreviación HKLM. • es el nombre de clave bajo la raíz. • [VALUE_NAME] es el nombre del valor de clave. Si no se incluye el nombre del valor, se presupone que tiene el valor predeterminado. Formatos de ejemplo: • IPv4: 123.123.123.123 • IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Especifica las opciones de host de red que corresponden al elemento.

Redes

Protocolo de red Especifica el protocolo de red que se aplica al elemento. Cualquier protocolo

Permite tanto el protocolo IP como protocolos distintos de IP. Si se especifica un protocolo de transporte o una aplicación, solo se permiten protocolos IP.


Guía del producto

155

4


Tabla 4-4 Sección


Definición

Protocolo IP

Excluye los protocolos distintos de IP.

Regla Grupo

• Protocolo IPv4 • Protocolo IPv6 Si no se activa ninguna casilla, se aplica cualquier protocolo IP. Se puede seleccionar tanto IPv4 como IPv6. Protocolo distinto de IP

Solo incluye protocolos distintos de IP. • Seleccionar EtherType de la lista: especifica un EtherType. • Especificar EtherType personalizado: especifica los cuatro caracteres de valor hexadecimal EtherType del protocolo distinto de IP. Consulte los números de Ethernet para ver los valores EtherType. Por ejemplo, escriba 809B para AppleTalk, 8191 para NetBEUI u 8037 para IPX.

Tipos de conexión

Indica si se aplican uno o todos los tipos de conexión: • Con cable • Inalámbrico • Virtual Una conexión de tipo Virtual es un adaptador presentado por un VPN o una aplicación de máquina virtual, como VMware, en lugar de un adaptador físico.

Especificar redes

Especifica las redes que se aplican al elemento. • Agregar: crea y agrega una red. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: elimina la red de la lista.

Transporte

156


Especifica las opciones de transporte que se aplican al elemento.

Guía del producto

4


Tabla 4-4 Sección


Definición

Regla Grupo

Protocolo de transporte

Especifica el protocolo de transporte asociado al elemento. Seleccione el protocolo, haga clic en Agregar para agregar puertos. • Todos los protocolos: permite protocolos IP, distintos de IP y no itidos. • T y UDP: Seleccione una opción del menú desplegable: • Puerto local: especifica el puerto o servicio de tráfico local que corresponde al elemento. • Puerto remoto: especifica el puerto o servicio de tráfico en otro equipo al que se aplica el elemento. Puerto local y Puerto remoto pueden ser: • Un único servicio. Por ejemplo, 23. • Un intervalo. Por ejemplo, 1–1024. • Una lista separada por comas con los puertos individuales y los intervalos de puertos. Por ejemplo: 80, 8080, 1–10, 8443 (hasta 4 elementos). De manera predeterminada, las reglas se aplican a todos los servicios y puertos. • ICMP: en el elemento desplegable Tipo de mensaje, especifique un tipo de mensaje ICMP. Consulte ICMP. • ICMPv6: en el elemento desplegable Tipo de mensaje, especifique un tipo de mensaje ICMP. Consulte ICMPv6. • Otros: ofrece una lista de protocolos menos comunes. Especifica los ejecutables que se aplican a la regla.

Ejecutables

• Agregar: crea y agrega un ejecutable. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: elimina un ejecutable de la lista. Especifica la configuración de la planificación correspondiente a la regla o al grupo.

Planificación Planificación activada

Activa la planificación de la regla o el grupo sincronizado. Cuando la planificación está desactivada, la regla o las reglas del grupo no se aplican. • Hora de inicio: especifica la hora de inicio para la activación de la planificación. • Hora de finalización:: especifica la hora para la desactivación de la planificación. • Días de la semana: especifica los días de la semana para la activación de la planificación. Para las horas de inicio y finalización, utilice el formato de 24 horas. Por ejemplo, 13:00 = 1:00 p.m. Puede planificar grupos sincronizados de Firewall o permitir al activarlos desde el icono de la bandeja del sistema de McAfee.


Guía del producto

157

4


Tabla 4-4 Sección


Definición

Regla Grupo

Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee

Especifica que el puede activar el grupo sincronizado durante un número de minutos determinado mediante el icono de la bandeja del sistema de McAfee en lugar de usar la planificación. Procedimiento recomendado: Utilice esta opción a fin de permitir un amplio a la red (por ejemplo, en un hotel) para que se pueda establecer una conexión VPN.

Al seleccionar esta opción se muestran más opciones de menú en Configuración rápida mediante el icono de la bandeja del sistema de McAfee: • Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante un período determinado para permitir el a Internet antes de que se apliquen las reglas que restringen el . Cuando los grupos sincronizados están activados, la que se muestra es Desactivar grupos sincronizados de firewall. Cada vez que selecciona esta opción, se restablece el tiempo asignado a los grupos. Dependiendo de la configuración, es posible que se le pida que proporcione al un motivo para activar los grupos sincronizados. • Ver grupos sincronizados de firewall: muestra los nombres de los grupos sincronizados y el tiempo restante de activación de cada grupo. Número de minutos (1 - 60) para activar el grupo

Especifica el número de minutos (de 1 a 60) que debe estar activado el grupo sincronizado después de seleccionar Activar grupos sincronizados de firewall en el icono de la bandeja del sistema de McAfee.

Véase también Creación y istración de directivas y grupos de Firewall en la página 145 Creación de grupos sincronizados en la página 148 Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee en la página 134 Agregar red o Editar red en la página 159 Agregar ejecutable o Editar ejecutable en la página 158

Agregar ejecutable o Editar ejecutable Agregue o edite un ejecutable asociado a una regla o un grupo. Tabla 4-5

Opciones

Opción

Definición

Nombre

Especifica el nombre que le da al ejecutable. Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo, Descripción del archivo, Hash MD5 o firmante.



158


Guía del producto

4


Tabla 4-5


Opción

Definición

Descripción del archivo

Indica la descripción del archivo.

Hash MD5


Firmante

Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado desde que se firmó con un hash criptográfico. Si esta opción está activada, especifique: • Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso. • Firmado por: permite solo los archivos firmados por el firmante de proceso especificado. Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente con las entradas en el campo adjunto, incluidos comas y espacios. El firmante del proceso aparece en el formato correcto en los eventos del Registro de eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazas de McAfee ePO. Por ejemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obtener el nombre distintivo del firmante de un ejecutable: 1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades. 2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles. 3 En la ficha General haga clic en Ver certificado. 4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo del firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del firmante: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US Proporciona más información sobre el elemento.

Notas

Agregar red o Editar red Agrega o edita una red asociada a una regla o un grupo. Tabla 4-6

Opciones

Opción

Definición

Regla Grupo

Nombre

Especifica el nombre de la dirección de la red (obligatorio).

Tipo

Selecciona una de esta opciones: • Red local: crea y agrega una red local. • Red remota: crea y agrega una red remota.

Agregar


Agrega un tipo de red a la lista de redes.

Guía del producto

159

4


Tabla 4-6


Opción

Definición

Regla Grupo



Eliminar

Elimina el elemento seleccionado.

Tipo de dirección

Especifica el origen o el destino del tráfico. Seleccione un elemento de la lista desplegable Tipo de dirección.

Dirección

Especifica la dirección IP que agregar a la red. Se aceptan caracteres comodín.

Véase también Tipo de dirección en la página 160

Tipo de dirección Especifique el tipo de dirección de una red definida. Tabla 4-7

Opciones

Opción

Definición

Dirección IP única

Especifica una dirección IP concreta. Por ejemplo: • IPv4: 123.123.123.123 • IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Subred

Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo: • IPv4: 123.123.123.0/24 • IPv6: 2001:db8::0/32

Subred local

Especifica la dirección de subred del adaptador local.

Intervalo

Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final del intervalo. Por ejemplo: • IPv4: 123.123.1.0 – 123.123.255.255 • IPv6: 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff

160

Nombre de dominio completo

Especifica el FQDN. Por ejemplo, www.ejemplo.com.

Cualquier dirección IP local

Especifica cualquier dirección IP local.

Cualquier dirección IPv4

Especifica cualquier dirección IPv4.

Cualquier dirección IPv6

Especifica cualquier dirección IPv6.


Guía del producto

5

Uso de Control web

Las funciones de Control web se muestran en el navegador mientras navega o busca. Contenido Acerca de las funciones de Control web a las funciones de Control web istrar Control web Referencia de la interfaz del Cliente de Endpoint Security: Control web

Acerca de las funciones de Control web Dado que Control web se ejecuta en cada sistema gestionado, notifica a los s si hay amenazas mientras navegan o hacen búsquedas en sitios web. Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadas con colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio. El software utiliza los resultados de las pruebas para notificar a los s sobre posibles amenazas basadas en web. En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El color del icono indica la calificación de seguridad del sitio web. Los s pueden acceder a información adicional a través de los iconos. En la ventana del navegador: aparece un botón en el navegador. El color del botón indica la calificación de seguridad del sitio web. Los s pueden acceder a información adicional haciendo clic en el botón. El botón también notifica a los s cuando se producen problemas de comunicación y proporciona rápido a pruebas que ayudan a identificar problemas comunes. En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación de seguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otros datos. En los sistemas gestionados, los es crean directivas para: •

Activar y desactivar Control web en el sistema, y permitir o impedir la desactivación del complemento de navegador.

•

Controlar el a sitios web, páginas y descargas, según su calificación de seguridad o tipo de contenido. Por ejemplo, bloquear los sitios web rojos y advertir a los s que intentan acceder a los sitios web amarillos.

•

Identificar sitios web como bloqueados o permitidos, en función de las direcciones URL y los dominios.


Guía del producto

161

5

Uso de Control web Acerca de las funciones de Control web

•

Impedir que los s desinstalen o cambien archivos de Control web, claves y valores de Registro, servicios y procesos.

•

Personalizar la notificación que aparece cuando los s intentan acceder a un sitio web bloqueado.

•

Supervisar y regular la actividad del navegador en los equipos de red y crear informes detallados acerca de sitios web.

En los sistemas autogestionados, puede establecer la configuración para: •

Activar y desactivar Control web en el sistema.

•

Controlar el a sitios web, páginas y descargas, según su calificación de seguridad o tipo de contenido. Por ejemplo, bloquear los sitios web rojos y advertir a los s que intentan acceder a los sitios web amarillos.

Navegadores compatibles o no compatibles Control web es compatible con estos navegadores: •

Microsoft Internet Explorer 11

•

Google Chrome: versión actual Chrome no ite la opción Mostrar globo.

•

Mozilla Firefox: versión actual

•

Mozilla Firefox ESR (Extended Release): versión actual y versión anterior Como Google y Mozilla publican frecuentemente versiones nuevas, es posible que Control web no funcione con una actualización nueva. Se publicará un parche de Control web tan pronto como sea posible para que sea compatible con los cambios realizados en Google o Mozilla.

Control web no es compatible con Microsoft Edge. Para obtener la información más reciente sobre los navegadores compatibles con Control web, consulte KB82761. En los sistemas autogestionados se permiten todos los navegadores de forma predeterminada, tanto los compatibles como los no compatibles.

Véase también El botón de Control web identifica las amenazas durante la navegación en la página 163 Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164 Los informes de sitio web proporcionan detalles en la página 165 Modo de compilación de las clasificaciones de seguridad en la página 166

162


Guía del producto

5


Cómo Control web bloquea o advierte de un sitio web o descarga Cuando un visita un recurso, o bien accede a él, de un sitio web que se ha bloqueado o que tiene una advertencia, Control web muestra una página o mensaje emergente que indica el motivo. Si las acciones de calificación para un sitio web están establecidas en: •

Advertir: Control web muestra una advertencia para notificar a los s de daños potenciales asociados con el sitio web. Cancelar vuelve al sitio web al que se ha navegado previamente. Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible. Continuar: continúa con el al sitio web.

•

Bloquear: Control web muestra un mensaje de que el sitio web está bloqueado e impide a los s acceder al sitio web. Aceptar vuelve al sitio web al que se ha navegado previamente. Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible.

Si las acciones de calificación para las descargas de un sitio web están establecidas en: •

Advertir: Control web muestra una advertencia para notificar a los s de daños potenciales asociados con el archivo descargado. Bloquear: impide la descarga y vuelve al sitio web. Continuar: continúa con la descarga.

•

Bloquear: Control web muestra un mensaje que indica que el sitio web está bloqueado e impide la descarga. Aceptar: vuelve al sitio web.

El botón de Control web identifica las amenazas durante la navegación Al navegar a un sitio web, aparece en el navegador un botón codificado por colores color del botón corresponde a la calificación de seguridad del sitio web.

. El

La calificación de seguridad es aplicable a URL de protocolos HTTP y HTTPS únicamente.

Internet Explorer y Safari (Macintosh)

Firefox y Chrome

Descripción

McAfee SECURE prueba y certifica la seguridad de este sitio web a diario. (Solo Windows) ™

El sitio web es seguro. Puede que este sitio web presente algunos problemas. Este sitio tiene algunos problemas graves. No hay calificación disponible para este sitio web. Este botón aparece para URL de protocolo FILE (file://). Se ha producido un error de comunicación con el servidor de McAfee GTI que contiene información de calificación.


Guía del producto

163

5


Internet Explorer y Safari (Macintosh)

Firefox y Chrome

Descripción

Control web no ha enviado ninguna consulta a McAfee GTI acerca de este sitio, lo que indica que el sitio web es interno o corresponde a un intervalo de direcciones IP privadas. El sitio web es un sitio de phishing. El phishing es un intento de adquirir información confidencial, por ejemplo, nombres de , contraseñas o datos de tarjetas de crédito. Los sitios web de phishing se hacen pasar por entidades de confianza en las comunicaciones electrónicas.

Este sitio está autorizado por una opción de configuración. Una opción de configuración ha desactivado Control web. La ubicación del botón depende del navegador: •

Internet Explorer: barra de herramientas de Control web

•

Firefox: esquina derecha de la barra de herramientas de Firefox

•

Chrome: barra de dirección

Véase también Ver información acerca de un sitio al navegar en la página 167

Los iconos de seguridad identifican las amenazas durante la búsqueda Cuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!, Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página de resultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web. Las pruebas no detectaron problemas importantes. Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio ha intentado cambiar los valores predeterminados de los analizadores para el navegador, ha mostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correo electrónico no considerados spam. Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes de acceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correo electrónico spam o adware incluido en las descargas. Este sitio está bloqueado por una . Este sitio web no tiene clasificación. Véase también Ver informe de sitio web durante la búsqueda en la página 168

164


Guía del producto

5


Los informes de sitio web proporcionan detalles Usted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazas concretas. Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienen la información indicada a continuación. Este elemento...

Indica...

Descripción general

La calificación global del sitio web, determinada por estas pruebas: • Evaluación de las prácticas de correo electrónico y descarga del sitio web usando nuestras técnicas patentadas de recopilación y análisis de datos. • Examen del propio sitio web en busca de prácticas molestas como, por ejemplo, un exceso de ventanas emergentes o solicitudes para cambiar la página de inicio del . • Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitios sospechosos. • Combinación de la revisión de sitios sospechosos de McAfee con los comentarios de los servicios Threat Intelligence.

Afiliaciones online

Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a los s para que vayan a otros sitios web marcados con una calificación roja de McAfee. Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. La finalidad primaria de un sitio web "alimentador" es conseguir que el visite el sitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo, cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Control web considera el sitio web rojo por asociación.

Pruebas de spam a través de la Web

La calificación global de las prácticas relacionadas con el correo electrónico de un sitio web en función de los resultados de las pruebas.

Pruebas de descarga

La calificación global del impacto que tiene el software descargable de un sitio web en el equipo de pruebas, en función de sus resultados.

McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibe tras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam. Si alguna de estas medidas está por encima de lo que consideramos aceptable, McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellas parece especialmente notoria, McAfee le otorga una calificación roja.

McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadas con virus o que agregan software no relacionado que podría considerarse adware o spyware. La calificación también considera los servidores de red con los que a un programa descargado durante su funcionamiento, además de cualquier modificación realizada a la configuración del navegador o los archivos de Registro de un equipo. Véase también Ver informe de sitio web durante la búsqueda en la página 168 Ver información acerca de un sitio al navegar en la página 167


Guía del producto

165

5

Uso de Control web a las funciones de Control web

Modo de compilación de las clasificaciones de seguridad Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criterios para cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes. Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante las siguientes acciones: •

Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidos en la descarga.

•

Introducción de información de o en formularios de registro y comprobación del spam resultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio o sus asociados.

•

Comprobación del exceso de ventanas emergentes.

•

Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.

•

Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web.

El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además, lo siguiente: •

Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de las medidas de seguridad que emplea el sitio o las respuestas a los comentarios de los s.

•

Comentarios enviados por los s del sitio web, que pueden incluir informes de fraudes de phishing o experiencias negativas de compra.

•

Más análisis de los expertos de McAfee.

El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.

a las funciones de Control web Puede acceder a las funciones de Control web desde el navegador. Procedimientos •

Activar el complemento Control web en el navegador en la página 166 Dependiendo de la configuración, deberá activar manualmente el complemento Control web para recibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas.

•

Ver información acerca de un sitio al navegar en la página 167 Utilice el botón Control web del navegador para ver información acerca de un sitio. Este botón funciona de forma distinta según el navegador.

•

Ver informe de sitio web durante la búsqueda en la página 168 Use el icono de seguridad en la página de resultados de búsqueda para ver más información acerca del sitio web.

Activar el complemento Control web en el navegador Dependiendo de la configuración, deberá activar manualmente el complemento Control web para recibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas. Antes de empezar El módulo Control web debe estar activado. Los complementos de Internet Explorer no se denominan complementos en Firefox y Chrome, sino extensiones.

166


Guía del producto

5

Uso de Control web a las funciones de Control web

Cuando se inicia Internet Explorer o Chrome por primera vez, es posible que se le solicite que active los complementos. Para obtener la información más reciente, véase el artículo KB87568 de la base de conocimiento. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. •

Dependiendo del navegador, active el complemento. Internet Explorer

• Haga clic en Activar.

Chrome

Haga clic en Activar extensión.

• Si hay más de un complemento disponible, haga clic en Elegir complementos y luego en Activar para la barra de herramientas de Control web.

Si no se le solicita que active el complemento Control web, puede hacerlo manualmente. 1 Haga clic en Configuración | Extensiones. 2 Haga clic en Activar para activar Control web de Endpoint Security. 3 Reinicie Firefox. Firefox

1 En la Página de inicio de Mozilla Firefox, Complementos | Extensiones. 2 Seleccione Activar para activar Control web de Endpoint Security. En Internet Explorer, si desactiva la barra de herramientas de Control web, se le solicitará que desactive también el complemento Control web. En los sistemas gestionados, si la configuración de directiva impide desinstalar o desactivar el complemento, Control web permanece activado aunque la barra de herramientas no sea visible.

Ver información acerca de un sitio al navegar Utilice el botón Control web del navegador para ver información acerca de un sitio. Este botón funciona de forma distinta según el navegador. Antes de empezar •

El módulo Control web debe estar activado.

•

El complemento de Control web debe estar activado en el navegador.

•

La opción Ocultar la barra de herramientas en el navegador del cliente en la configuración de Opciones debe estar desactivada. Si Internet Explorer se encuentra en modo de pantalla completa, no aparece la barra de herramientas de Control web.

Para mostrar el menú de Control web: Internet Explorer y Firefox Chrome


Haga clic en el botón Haga clic en el botón

de la barra de herramientas. de la barra de dirección.

Guía del producto

167

5

Uso de Control web istrar Control web

Procedimiento 1

Mostrar un globo con un resumen de la calificación de seguridad del sitio: mantenga el cursor sobre el botón en la barra de herramientas de Control web. (Solo Internet Explorer y Firefox)

2

Mostrar el informe de sitio web detallado, con más información sobre la calificación de seguridad del sitio: •

Haga clic en el botón Control web.

•

Seleccione Ver informe de sitio web en el menú Control web.

•

Haga clic en el vínculo Leer informe de sitio web en el globo del sitio web. (Solo Internet Explorer y Firefox)

Véase también El botón de Control web identifica las amenazas durante la navegación en la página 163 Los informes de sitio web proporcionan detalles en la página 165

Ver informe de sitio web durante la búsqueda Use el icono de seguridad en la página de resultados de búsqueda para ver más información acerca del sitio web. Procedimiento 1

Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informe de seguridad para el sitio web.

2

Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otra ventana del navegador.

Véase también Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164 Los informes de sitio web proporcionan detalles en la página 165

istrar Control web Como , puede especificar la configuración de Control web para activar y personalizar la protección, bloquear basándose en las categorías web y configurar el registro. En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los cambios de la página Configuración.

Configuración de las opciones de Control web Puede activar y configurar las opciones de Control web desde Cliente de Endpoint Security. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .

168


Guía del producto

5




2

Haga clic en Control web en la página principal Estado. O bien en el menú Acción página Configuración.

3


4



, seleccione Configuración y, a continuación, haga clic en Control web en la

Guía del producto

169

5


5

Seleccione Activar Control web para activar Control web y modificar sus opciones. Para...

Haga esto...

Ocultar la barra de herramientas de Control web en el navegador sin desactivar la protección.

Seleccione Ocultar la barra de herramientas en el navegador del cliente.

Rastrear eventos de navegador para usar en los informes.

Ajuste la configuración en la sección Registro de eventos.

Bloquear o avisar de direcciones URL desconocidas.

En Implementación de acciones, seleccione la acción (Bloquear, Permitir o Advertir) para los sitios web que aún no hayan sido verificados por McAfee GTI.

Notas

Configure los eventos de Control web enviados desde los sistemas cliente al servidor de istración para usar en consultas e informes.

Analizar archivos antes En Implementación de acciones, de su descarga. seleccione Permitir análisis de archivos para las descargas de archivos y luego seleccione el nivel de riesgo de McAfee GTI que bloquear. Agregar sitios externos En Implementación de acciones, en a la red privada local. Especificar direcciones IP e intervalos adicionales a los que conceder permiso, haga clic en Agregar e introduzca la dirección IP externa o el intervalo. Bloquear vínculos a sitios peligrosos en los resultados de la búsqueda.

En Búsqueda segura, seleccione Activar búsqueda segura, seleccione el motor de búsqueda, y luego especifique si se deben bloquear los vínculos a los sitios web peligrosos.

Búsqueda segura filtra automáticamente los sitios maliciosos de los resultados de búsqueda basándose en su calificación de seguridad. Control web usa Yahoo como motor de búsqueda predeterminado y es compatible con Búsqueda segura únicamente en Internet Explorer. Si cambia el motor de búsqueda predeterminado, reinicie el navegador para que los cambios surtan efecto. La próxima vez que el abra Internet Explorer, Control web mostrará un aviso emergente que insta al a cambiar a la Búsqueda segura de McAfee con el motor de búsqueda especificado. Para versiones de Internet Explorer en las que el motor de búsqueda está bloqueado, no aparece la ventana emergente Búsqueda segura.

6

Seleccione otras opciones según sea necesario.

7


Véase también Cómo se analizan las descargas de archivos en la página 171 Iniciar sesión como en la página 26

170


Guía del producto


5

Cómo se analizan las descargas de archivos Control web envía solicitudes de descarga de archivos a Prevención de amenazas para su análisis antes de la descarga.


Guía del producto

171

5


Cómo funciona McAfee GTI El servidor de McAfee GTI almacena las calificaciones de sitios web y los informes de Control web. Si configura Control web para analizar los archivos descargados, el analizador utiliza la reputación de archivos proporcionada por McAfee GTI para buscar archivos sospechosos. El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central alojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, es posible que la detección esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee Labs publique la actualización. Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en Muy alto de manera predeterminada. Establezca el nivel de sensibilidad para analizar descargas de archivos en la configuración de directiva Opciones de Control web. Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la información de reputación de McAfee GTI en la configuración de Ajustes generales. Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.

Especificar acciones de calificación y bloquear el al sitio web según la categoría web Configure las opciones de Acciones según contenido para especificar las acciones que desea aplicar a los sitios web y las descargas de archivos según las calificaciones de seguridad. También tiene la opción de bloquear o permitir sitios web en cada categoría web. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2

Haga clic en Control web en la página principal Estado. O bien en el menú Acción página Configuración.

, seleccione Configuración y, a continuación, haga clic en Control web en la

3


4

Haga clic en Acciones según contenido.

5

En la sección Bloqueo de categorías web, para cada una de las Categorías web, active o desactive la opción Bloquear. Para los sitios web en las categorías no bloqueadas, Control web aplica las acciones de calificación.

172


Guía del producto

5

Uso de Control web Referencia de la interfaz del Cliente de Endpoint Security: Control web

6

En la sección Acciones de calificación, especifique las acciones que desea aplicar a los sitios web y las descargas de archivos según las calificaciones de seguridad definidas por McAfee. Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoría web.

7


Véase también Uso de categorías web para el control de en la página 173 Uso de calificaciones de seguridad para controlar el en la página 173 Iniciar sesión como en la página 26

Uso de categorías web para el control de Las categorías web le permiten controlar el a los sitios web según las categorías definidas por McAfee. Puede especificar opciones para permitir o bloquear el a sitios según la categoría de su contenido. Cuando activa el bloqueo de categorías web en la configuración de Acciones según contenido, el software bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas, Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105 categorías web. Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitio web pertenece a una de las categorías definidas, el se bloquea o se permite según la configuración de la Acciones según contenido. A los sitios web y las descargas de archivos de las categorías no bloqueadas se les aplican las Acciones de calificación especificadas.

Uso de calificaciones de seguridad para controlar el Configure las acciones según las calificaciones de seguridad para determinar si los s pueden acceder a un sitio o a recursos de un sitio web. En la configuración de Acciones según contenido, especifique si los sitios web y las descargas de archivos se deben permitir, advertir o bloquear en función de la calificación de seguridad. Esto permite un mayor nivel de granularidad para proteger a los s contra archivos que pueden presentar una amenaza para los sitios web con calificación global verde.

Referencia de la interfaz del Cliente de Endpoint Security: Control web Proporciona ayuda contextual para las páginas de la interfaz del Cliente de Endpoint Security. Contenido Control web: Opciones Control web: Acciones según contenido

Control web: Opciones Configure las opciones de Control web, entre las que se incluyen la implementación de acciones, la Búsqueda segura y las anotaciones de correo electrónico. Consulte la configuración en el módulo Ajustes generales para configurar el registro.


Guía del producto

173

5


Tabla 5-1

Opciones

Sección

Opción

Definición

OPCIONES

Activar Control web

Desactiva o activa Control web. (Opción activada de manera predeterminada)

Ocultar la barra de herramientas en el navegador del cliente

Oculta la barra de herramientas de Control web en el navegador sin desactivar su funcionalidad. (Opción desactivada de manera predeterminada)

Registrar categorías web para sitios web con calificación verde

Registra categorías de contenido para todos los sitios web con calificación verde.

Registrar eventos de iFrame de Control web

Registra cuando se bloquean los sitios web maliciosos (Rojo) y de advertencia (Amarillo) que aparecen en un iFrame de HTML.

Aplicar esta acción a sitios aún no verificados por McAfee GTI

Especifica la acción predeterminada que aplicar a sitios web que McAfee GTI todavía no ha calificado.

Registro de eventos

Implementación de acciones

Activar esta función podría afectar negativamente al rendimiento del servidor de McAfee ePO.

• Permitir (opción predeterminada): permite que los s tengan al sitio web. • Advertir: muestra una advertencia que informa a los s sobre los peligros potenciales asociados con el sitio web. Los s deben descartar la advertencia antes de continuar. • Bloquear: evita que los s tengan al sitio web y muestra un mensaje que indica que el sitio de descargas está bloqueado.

Permitir compatibilidad con iFrame de HTML

Bloquea el a sitios web maliciosos (color Rojo) y con advertencias (color Amarillo) que aparecen en un iFrame HTML. (Opción activada de manera predeterminada)

Bloquear sitios predeterminados si el servidor de calificaciones McAfee GTI no está accesible

Bloquea el a sitios web de forma predeterminada si Control web no puede acceder al servidor de McAfee GTI.

Bloquear páginas de phishing para todos los sitios

Bloquea todas las páginas de phishing, con independencia de las acciones de calificaciones de contenido. (Opción activada de manera predeterminada)

Permitir análisis de archivos para las descargas de archivos

Analiza todos los archivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scr y .com) antes de descargarlos. (Opción activada de manera predeterminada) Esta opción impide que los s accedan a un archivo descargado hasta que Control web y Prevención de amenazas lo marquen como limpio. Control web realiza una búsqueda de McAfee GTI del archivo. Si McAfee GTI permite el archivo, Control web envía el archivo a Prevención de amenazas para su análisis. Si un archivo descargado se identifica como una amenaza, Endpoint Security realiza una acción en el archivo y alerta al .

Nivel de sensibilidad de McAfee GTI

174


Especifica el nivel de sensibilidad de McAfee GTI que Control web utiliza para descargar archivos.

Guía del producto

5


Tabla 5-1


Sección

Opción

Definición

Exclusiones

Especificar direcciones IP o intervalos que excluir de la calificación o bloqueo de Control web

Agrega direcciones IP e intervalos concretos a la red privada local y los excluye de la calificación o bloqueo. Las direcciones IP privadas se excluyen de forma predeterminada. Procedimiento recomendado: Utilice esta opción para tratar los sitios web externos como si perteneciesen a la red local.

• Agregar: agregue una dirección IP a la lista de direcciones privadas de la red local. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: elimina una dirección IP de la lista de direcciones privadas de la red local. Búsqueda segura

Activar Búsqueda segura

Activa la Búsqueda segura, y así bloquea automáticamente los sitios web maliciosos de los resultados de búsqueda según su calificación de seguridad.

Establezca el motor de Especifica el motor de búsqueda predeterminado en los búsqueda predeterminado navegadores compatibles: en los navegadores • Yahoo compatibles • Google • Bing • Ask Bloquear vínculos a sitios Evita que los s hagan clic en vínculos a sitios web peligrosos en los peligrosos en los resultados de la búsqueda. resultados de la búsqueda Tabla 5-2 Opciones avanzadas Sección

Opción

Definición

Anotaciones de correo electrónico

Activar anotaciones en correo electrónico basado en navegador

Anota direcciones URL en clientes de correo electrónico basados en el navegador (p. ej. Yahoo Mail y Gmail).

Activar anotaciones en clientes de correo electrónico no basados en Web

Anota las URL de las herramientas de istración de correo electrónico de 32 bits, tales como Microsoft Outlook u Outlook Express.

Véase también Configuración de las opciones de Control web en la página 168 Cómo se analizan las descargas de archivos en la página 171 McAfee GTI en la página 176


Guía del producto

175

5


McAfee GTI Active y configure las opciones de McAfee GTI (Global Threat Intelligence). Tabla 5-4 Sección

Opciones Opción Definición Configura el nivel de sensibilidad que se debe utilizar para determinar si una muestra detectada es malware.

Nivel de sensibilidad

Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan más resultados de falsos positivos. Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con archivos de contenido de AMCore normales. Puede disponer de una detección para Prevención de amenazas cuando McAfee Labs la publique en lugar en la siguiente actualización de archivos de AMCore Content. Utilice esta configuración para los equipos de sobremesa y servidores con derechos de restringidos y fuertes configuraciones de seguridad. Baja

Esta configuración es la recomendación mínima para portátiles o equipos de escritorio y servidores con fuertes configuraciones de seguridad.

Media

Utilice esta configuración cuando el riesgo normal de exposición a malware sea superior al riesgo de un falso positivo. Las comprobaciones heurísticas propietarias de McAfee Labs generan detecciones que probablemente son malware. No obstante, algunas detecciones podrían producir un falso positivo. Con esta configuración, McAfee Labs comprueba que las aplicaciones y los archivos del sistema operativo conocidos no produzcan falsos positivos. Esta configuración es la recomendación mínima para portátiles, equipos de sobremesa y servidores.

Alta

Utilice esta configuración para el despliegue en sistemas o áreas que se infectan con frecuencia.

Muy alto

Utilice esta configuración en volúmenes que no contengan sistemas operativos. Las detecciones que se encuentran con este nivel son supuestamente maliciosas, pero no se han comprobado completamente para determinar si son falsos positivos. Utilice esta configuración únicamente para analizar volúmenes y directorios que no itan la ejecución de programas ni sistemas operativos.

Véase también Control web: Opciones en la página 173

Control web: Acciones según contenido Define las acciones que debe realizar Control web para los sitios web calificados, las categorías de contenido web y los complementos. Para los sitios web y las descargas de archivos, Control web aplica las acciones de calificación.

176


Guía del producto

5


Tabla 5-5

Opciones

Sección

Opción

Definición

Acciones de calificación

Acciones de calificación para sitios

Especifica acciones para los sitios web cuyo valor de calificación es Rojo o Amarillo, o bien que no tienen calificación. Los sitios web y las descargas con calificación verde se permiten automáticamente. • Permitir: permite que los s tengan al sitio web. (Opción predeterminada para los sitios web Sin calificar) • Advertir: muestra una advertencia que informa a los s sobre los peligros potenciales asociados con el sitio web. Los s deben hacer clic en Cancelar para volver al sitio que habían visitado antes o en Continuar para acceder al sitio. Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible. (Opción predeterminada para los sitios web Amarillo) • Bloquear: evita que los s tengan al sitio web y muestra un mensaje que indica que el sitio web está bloqueado. Los s deben hacer clic en Aceptar para volver al sitio que habían visitado antes. Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible. (Opción predeterminada para los sitios web Rojo)

Acciones de calificación para descargas de archivos

Especifica acciones para las descargas de archivos cuyo valor de calificación es Rojo o Amarillo, o bien que no tienen calificación. Estas Acciones de calificación solo se aplican si la opción Permitir análisis de archivos para las descargas de archivos está activada en la configuración de Opciones. • Permitir: permite que los s continúen con la descarga. (Opción predeterminada para los sitios web Sin calificar) • Advertir: muestra una advertencia que informa a los s sobre los peligros potenciales asociados con la descarga del archivo. Los s deben descartar la advertencia para finalizar o continuar la descarga. (Opción predeterminada para los sitios web Amarillo) • Bloquear: muestra un mensaje que indica que la descarga se ha bloqueado y que evita que los s descarguen el archivo. (Opción predeterminada para los sitios web Rojo)


Opción

Bloqueo de categorías web Activar bloqueo de categorías web


Definición Activa el bloqueo de sitios web basado en la categoría de contenido.

Bloquear

Evita que los s tengan a cualquier sitio web en esta categoría y muestra un mensaje que indica que el sitio web está bloqueado.

Categorías web

Lista las categorías web.

Guía del producto

177

5


Véase también Especificar acciones de calificación y bloquear el al sitio web según la categoría web en la página 172 Uso de calificaciones de seguridad para controlar el en la página 173 Uso de categorías web para el control de en la página 173

178


Guía del producto

6

Utilización de Protección adaptable frente a amenazas

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que analiza el contenido de su empresa y decide qué hacer en función de la reputación de los archivos, las reglas y los umbrales de reputación. Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.

Contenido Acerca de Protección adaptable frente a amenazas Respuesta a un aviso de reputación de archivos istración de Protección adaptable frente a amenazas Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas

Acerca de Protección adaptable frente a amenazas Protección adaptable frente a amenazas analiza el contenido de su empresa y decide qué hacer en función de la reputación de los archivos, las reglas y los umbrales de reputación. Protección adaptable frente a amenazas dispone de la capacidad de contener, bloquear o limpiar los archivos en función de la reputación. Protección adaptable frente a amenazas se integra con el análisis de Real Protect para llevar a cabo análisis de reputación automatizados en la nube y en los sistemas cliente. Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer de más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat Intelligence Exchange. Para obtener información, póngase en o con su reseller o representante de ventas. Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.

Ventajas de Protección adaptable frente a amenazas Protección adaptable frente a amenazas le permite determinar qué ocurre cuando en su entorno se detecta un archivo con una reputación maliciosa o desconocida. También puede ver información sobre el historial de amenazas y las acciones realizadas. Protección adaptable frente a amenazas ofrece estas ventajas: •

Detección rápida y protección frente a las amenazas de seguridad y el malware.

•

La capacidad de saber qué sistemas o dispositivos están comprometidos, y cómo se ha propagado la amenaza por el entorno.


Guía del producto

179

6

Utilización de Protección adaptable frente a amenazas Acerca de Protección adaptable frente a amenazas

•

La capacidad de contener, bloquear o limpiar inmediatamente determinados archivos y certificados en función de sus reputaciones de amenaza y los criterios de riesgo.

•

Integración con el análisis de Real Protect para llevar a cabo análisis de reputación automatizados en la nube y en los sistemas cliente.

•

Integración en tiempo real con McAfee Advanced Threat Defense y McAfee GTI a fin de proporcionar evaluaciones y datos detallados sobre la clasificación del malware. Esta integración permite responder a las amenazas y compartir la información en todo el entorno. ®

Componentes de Protección adaptable frente a amenazas Protección adaptable frente a amenazas puede incluir estos componentes adicionales: Servidor de TIE y Data Exchange Layer. Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que le permite crear directivas para contener, bloquear o limpiar archivos o certificados en función de la reputación. Además, Protección adaptable frente a amenazas se integra con el análisis de Real Protect para llevar a cabo análisis de reputación automatizados en la nube y en los sistemas cliente. Protección adaptable frente a amenazas también se integra con: •

Servidor de TIE: servidor que almacena información sobre reputaciones de archivos y certificados, información que después transmite a otros sistemas. El Servidor de TIE es opcional. Para obtener información sobre el servidor, véase la Guía del producto de Threat Intelligence Exchange.

•

Data Exchange Layer: clientes y brókers que permiten la comunicación bidireccional entre el módulo Protección adaptable frente a amenazas del sistema gestionado y el servidor de TIE. Data Exchange Layer es opcional, pero es necesario para la comunicación con el servidor de TIE. Para obtener detalles al respecto, véase la Guía del producto de McAfee Data Exchange Layer.

Estos componentes incluyen extensiones de McAfee ePO que incorporan diversos informes y funciones nuevos.

180


Guía del producto

6


Si Servidor de TIE y Data Exchange Layer están presentes, Protección adaptable frente a amenazas y el servidor se comunican información sobre reputación de archivos. El marco de Data Exchange Layer transmite inmediatamente esa información a los endpoints gestionados. Asimismo, comparte información con otros productos de McAfee que acceden a Data Exchange Layer, tales como McAfee Enterprise Security Manager (McAfee ESM) y McAfee Network Security Platform. ®

®

Figura 6-1 Protección adaptable frente a amenazas con Servidor de TIE y Data Exchange Layer


Guía del producto

181

6


Si Servidor de TIE y Data Exchange Layer no están presentes, Protección adaptable frente a amenazas se comunica con McAfee GTI para transmitir información sobre reputación de archivos.

Figura 6-2 Protección adaptable frente a amenazas con McAfee GTI

Cómo funciona Protección adaptable frente a amenazas Protección adaptable frente a amenazas utiliza reglas para determinar qué acciones se llevan a cabo en función de diversos puntos de datos, tales como reputaciones, inteligencia local e información contextual. Las reglas se pueden gestionar de forma independiente. Protección adaptable frente a amenazas funciona de manera diferente dependiendo de si se comunica con TIE o no: •

Si el Servidor de TIE está disponible, Protección adaptable frente a amenazas utiliza el marco de Data Exchange Layer para compartir la información sobre los archivos y las amenazas instantáneamente en toda la empresa. Puede ver el sistema concreto donde se ha detectado una amenaza por primera vez, a qué ubicaciones se ha dirigido desde allí y detenerla inmediatamente. Protección adaptable frente a amenazas con el Servidor de TIE le permite controlar la reputación de los archivos en un nivel local, en su entorno. Usted decide qué archivos se pueden ejecutar y cuáles se bloquean, y Data Exchange Layer comparte la información de manera inmediata en todo el entorno.

182

•

Si el Servidor de TIE no está disponible y el sistema está conectado a Internet, Protección adaptable frente a amenazas utiliza McAfee GTI para las decisiones relacionadas con la reputación.

•

Si Si el Servidor de TIE no está disponible y el sistema no está conectado a Internet, Protección adaptable frente a amenazas determina la reputación de los archivos sirviéndose de la información sobre el sistema local.


Guía del producto

6


Escenarios de uso de Protección adaptable frente a amenazas •

Bloquear un archivo inmediatamente: Protección adaptable frente a amenazas alerta al de la red sobre un archivo desconocido en el entorno. En lugar de enviar la información del archivo a McAfee para su análisis, el bloquea el archivo de inmediato. El puede utilizar entonces el Servidor de TIE, si está disponible, para averiguar cuántos sistemas han ejecutado el archivo y Advanced Threat Defense para determinar si el archivo constituye una amenaza.

•

Permitir que un archivo personalizado se ejecute: una empresa utiliza habitualmente un archivo cuya reputación predeterminada es sospechosa o maliciosa; por ejemplo, un archivo personalizado creado para la empresa. Dado que este archivo está permitido, en lugar de enviar la información del archivo a McAfee y recibir un archivo DAT actualizado, el puede asignar al archivo una reputación de confianza y permitir que se ejecute sin advertencias ni avisos.

•

Permitir que un archivo se ejecute en un contenedor: cuando una empresa utiliza por primera vez un archivo cuya reputación se desconoce, el puede decidir permitir que se ejecute en un contenedor. En este caso, el configura las reglas de contención en la configuración de Contención dinámica de aplicaciones. Las reglas de contención definen las acciones que la aplicación contenida no puede realizar.

Comprobación del estado de la conexión Para determinar si Protección adaptable frente a amenazas en el sistema cliente obtiene las reputaciones de archivo desde Servidor de TIE o McAfee GTI, consulte la página Cliente de Endpoint Security: Acerca de. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1


2

En el menú Acción

3

Haga clic en Protección adaptable frente a amenazas, en la parte izquierda.

, seleccione Acerca de.

El campo Estado de la conexión indica uno de los siguientes estados para Protección adaptable frente a amenazas: •

Conectividad de Inteligencia de amenazas: está conectado a Servidor de TIE para transmitir información de reputación en el nivel de la empresa.

•

Solo conectividad de McAfee GTI: está conectado a McAfee GTI para transmitir información de reputación en un nivel global.

•

Desconectado: no está conectado a Servidor de TIE o McAfee GTI. Protección adaptable frente a amenazas determina la reputación de los archivos sirviéndose de la información del sistema local.

Cómo se determina una reputación La reputación de archivos y certificados se determina cuando un archivo intenta ejecutarse en un sistema gestionado. A la hora de determinar la reputación de un archivo o certificado, se realizan los pasos siguientes. 1

Un o un sistema intentan ejecutar un archivo.

2

Endpoint Security comprueba las exclusiones para determinar si debe inspeccionar o no el archivo.


Guía del producto

183

6


3

Endpoint Security inspecciona el archivo y no puede determinar su validez ni su reputación.

4

El módulo Protección adaptable frente a amenazas inspecciona el archivo y recopila las propiedades de interés del archivo y del sistema local.

5

El módulo busca el hash del archivo en la caché de reputación local. Si se encuentra el hash del archivo, el módulo obtiene de la caché los datos de reputación y la prevalencia de Enterprise correspondientes al archivo. •

Si no se encuentra el hash del archivo en la caché de reputación local, el módulo envía una consulta al servidor de TIE. Si se encuentra el hash, el módulo obtiene los datos de prevalencia de Enterprise (y las reputaciones disponibles) correspondientes a ese hash del archivo.

•

Si no se encuentra el hash del archivo en la base de datos o el Servidor de TIE, el servidor envía una consulta a McAfee GTI sobre la reputación del hash del archivo. McAfee GTI envía la información disponible, por ejemplo, "desconocido" o "malicioso", y el servidor almacena esa información. El servidor envía el archivo para su análisis si se dan estas dos circunstancias: •

Advanced Threat Defense está disponible o activado como proveedor de reputaciones, el servidor busca localmente si la reputación de Advanced Threat Defense está presente; si no lo está, marca el archivo como candidato para el envío.

•

La directiva del endpoint está configurada para enviar el archivo a Advanced Threat Defense.

Puede consultar los pasos adicionales en Si Advanced Threat Defense está presente. 6

El servidor devuelve al módulo la antigüedad, los datos de prevalencia y la reputación de empresa correspondientes al hash del archivo en función de los datos encontrados. Si el archivo es nuevo en el entorno, el servidor también envía un indicador de primera instancia al módulo Protección adaptable frente a amenazas. Si McAfee Web Gateway está presente y envía una calificación de reputación, el Servidor de TIE devuelve la reputación del archivo.

7

El módulo evalúa estos metadatos a fin de determinar la reputación del archivo: •

Propiedades del archivo y del sistema

•

Datos de prevalencia y antigüedad de Enterprise

•

Reputación

8

El módulo actúa de acuerdo con la directiva asignada al sistema que ejecuta el archivo.

9

El módulo actualiza el servidor con la información de reputación, además de indicar si el archivo se permite, se bloquea o contiene. Además, envía los eventos de amenaza a McAfee ePO mediante McAfee Agent.

10 El servidor publica el evento de cambio de reputación para el hash del archivo.

184


Guía del producto

6

Utilización de Protección adaptable frente a amenazas Respuesta a un aviso de reputación de archivos

Si Advanced Threat Defense está presente Si Advanced Threat Defense está presente, se producen los procesos siguientes. 1

Si el sistema se ha configurado para enviar archivos a Advanced Threat Defense y el archivo es nuevo en el entorno, el sistema envía el archivo al Servidor de TIE. A continuación, el Servidor de TIE lo envía a Advanced Threat Defense para su análisis.

2

Advanced Threat Defense analiza el archivo y envía los resultados relativos a la reputación del archivo al Servidor de TIE mediante Data Exchange Layer. El servidor también actualiza la base de datos y envía la información de reputación actualizada a todos los sistemas con Protección adaptable frente a amenazas activado a fin de proteger su entorno de forma inmediata. Protección adaptable frente a amenazas o cualquier otro producto de McAfee pueden iniciar este proceso. En cualquier caso, Protección adaptable frente a amenazas procesa la reputación y la guarda en la base de datos.

Para obtener información sobre cómo se integra Advanced Threat Defense con Protección adaptable frente a amenazas, consulte la Guía del producto de McAfee Advanced Threat Defense.

Si McAfee Web Gateway está presente Si McAfee Web Gateway está presente, ocurre lo siguiente. •

Cuando se descargan archivos, McAfee Web Gateway envía un informe al Servidor de TIE, el cual guarda la calificación de reputación en la base de datos. Cuando el servidor recibe una solicitud de reputación de archivos del módulo, devuelve la reputación recibida de McAfee Web Gateway y otros proveedores de reputación. Para obtener información sobre cómo McAfee Web Gateway intercambia información mediante un Servidor de TIE, consulte el capítulo sobre los servidores proxy de la Guía del producto de McAfee Web Gateway.

¿Cuándo se vacía la caché? •

•

Toda la caché de Protección adaptable frente a amenazas se vacía cuando cambia la configuración de las reglas: •

El estado de una o varias reglas ha cambiado; por ejemplo, de activada a desactivada.

•

La asignación del conjunto de reglas ha cambiado; por ejemplo, de Equilibrio a Seguridad.

Se vacía la caché de un archivo o certificado individual cuando: •

La caché tiene más de 30 días de antigüedad.

•

El archivo ha cambiado en el disco.

•

El Servidor de TIE publica un evento de cambio de reputación.

La siguiente vez que Protección adaptable frente a amenazas recibe un aviso sobre el archivo, se vuelve a calcular la reputación.

Respuesta a un aviso de reputación de archivos Cuando un archivo con un nivel de reputación determinado intente ejecutarse en su sistema, es posible que Protección adaptable frente a amenazas solicite su intervención para continuar. Tal


Guía del producto

185

6

Utilización de Protección adaptable frente a amenazas istración de Protección adaptable frente a amenazas

solicitud solo aparece si Protección adaptable frente a amenazas está instalada y configurada para ello. El configura el umbral de reputación, momento en el que se muestra una confirmación. Por ejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación para todos los archivos con una reputación desconocida e inferior. Si no selecciona una opción, Protección adaptable frente a amenazas realiza la acción predeterminada configurada por el . La solicitud, el tiempo de espera y la acción predeterminada dependen de cómo esté configurada Protección adaptable frente a amenazas. Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.


(Opcional) Cuando se le solicite, introduzca un mensaje para enviar al . Por ejemplo, utilice el mensaje para describir el archivo o para explicar su decisión de permitir o bloquear el archivo en el sistema.

2

Haga clic en Permitir o Bloquear. Permitir

Permitir el archivo.

Bloquear

Bloquear el archivo en el sistema.

Para que Protección adaptable frente a amenazas no vuelva a preguntar en relación con el archivo, seleccione Recordar esta decisión. Protección adaptable frente a amenazas actúa, bien según su elección o bien conforme a la acción predeterminada, y cierra la ventana de la solicitud.

istración de Protección adaptable frente a amenazas En tanto que , puede especificar la configuración de Protección adaptable frente a amenazas; por ejemplo, seleccionando grupos de reglas, estableciendo umbrales de reputación, activando Real Protect y configurando Contención dinámica de aplicaciones. En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los cambios de la página Configuración.

Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer de más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat Intelligence Exchange. Para obtener información, póngase en o con su reseller o representante de ventas. Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO Cloud.

Introducción Después de instalar Protección adaptable frente a amenazas, ¿qué hay que hacer? Para empezar a utilizar Protección adaptable frente a amenazas, haga lo siguiente:

186


Guía del producto

6


1

Cree directivas de Protección adaptable frente a amenazas para determinar lo que se permite, se bloquea o se contiene.

2

Ejecute Protección adaptable frente a amenazas en el modo de evaluación para crear la prevalencia de archivos y observar lo que Protección adaptable frente a amenazas detecta en el entorno. Protección adaptable frente a amenazas genera eventos Bloquearía, Limpiaría y Contendría para mostrar qué acciones realizaría. La prevalencia de un archivo indica la frecuencia con la que se detecta en su entorno.

3

Supervise y ajuste las directivas, o bien las reputaciones de archivos o certificados individuales, para controlar lo que se permite en su entorno.

Creación de la prevalencia de archivos y observación Tras la instalación y el despliegue, empiece a crear la prevalancia de archivos y la información sobre amenazas actual. Puede ver qué se está ejecutando en su entorno y agregar información de reputación de archivos y certificados a la base de datos del Servidor de TIE. Esta información también rellena los gráficos y es disponibles en el módulo donde se visualiza la información de reputación detallada sobre los archivos y los certificados. Para empezar, cree una o varias directivas de Protección adaptable frente a amenazas a fin de ejecutarlas en unos pocos sistemas de su entorno. Las directivas determinan lo siguiente: •

Cuándo se permite que un archivo o certificado con una reputación concreta se ejecuten en un sistema

•

Cuándo se bloquea un archivo o certificado

•

Cuándo se contiene una aplicación

•

Cuándo se solicita confirmación al sobre qué hacer

•

Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis

Mientras crea la prevalencia de los archivos, puede ejecutar las directivas en el modo de evaluación. Se agregan las reputaciones de archivos y certificados a la base de datos, y se generan eventos Bloquearía, Limpiaría y Podría contener, pero no se lleva a cabo ninguna acción. Puede ver lo que Protección adaptable frente a amenazas bloquea, permite o contiene si se implementa la directiva.

Supervisión y realización de ajustes A medida que las directivas se ejecutan en su entorno, se agregan datos de reputación a la base de datos. Utilice los es y las vistas de eventos de McAfee ePO para ver los archivos y certificados bloqueados, permitidos o contenidos en función de las directivas. Puede visualizar información detallada por endpoint, archivo, regla o certificado, además de ver con rapidez el número de elementos identificados y las acciones realizadas. Puede acceder a información detallada haciendo clic en un elemento, así como ajustar la configuración de reputación para archivos o certificados concretos de manera que se realice la acción adecuada.


Guía del producto

187

6


Por ejemplo, si un archivo de reputación predeterminada es sospechosa o desconocida, pero sabe que es un archivo de confianza, puede cambiar la reputación a de confianza. A partir de ese momento, la aplicación tiene permiso para ejecutarse en su entorno sin que se bloquee o se solicite confirmación al para llevar a cabo la acción. Puede cambiar la reputación de los archivos internos o personalizados utilizados en su entorno. •

Utilice la función Reputaciones de TIE para buscar el nombre de un archivo o certificado específicos. Puede ver detalles sobre el archivo o certificado, como el nombre de la empresa, valores de hash SHA-1 y SHA-256, MD5, descripción e información de McAfee GTI. En el caso de los archivos, también puede acceder a los datos de VirusTotal directamente desde la página de detalles de Reputaciones de TIE para ver más información.

•

Utilice la página Informes - es para ver diversos tipos de información sobre reputación a la vez. Puede ver el número de archivos nuevos detectados en su entorno en la última semana, los archivos por reputación, los archivos cuya reputación ha cambiado recientemente, los sistemas que han ejecutado recientemente archivos nuevos, etc. Al hacer clic en un elemento en el , aparece información detallada.

•

Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo han ejecutado y podrían estar comprometidos.

•

Cambie la reputación de un archivo o certificado según proceda en su entorno. La información se actualiza de inmediato en la base de datos y se envía a todos los dispositivos gestionados por McAfee ePO. Los archivos y los certificados se bloquean, se permiten o se contienen en función de su reputación. Si no está seguro de qué hacer con un archivo o certificado concreto, puede: •

Bloquear la ejecución mientras obtiene más información sobre este. Al contrario que una acción de limpieza de Prevención de amenazas que podría eliminar el archivo, al bloquearlo se conserva el archivo, pero no se permite su ejecución. El archivo permanece intacto mientras lo investiga y decide qué hacer.

•

Permitir la ejecución de los elementos contenidos. La contención de aplicación dinámica ejecuta aplicaciones con reputaciones específicas en un contenedor, lo que bloquea acciones según las reglas de contención. La aplicación tiene permiso para ejecutarse; sin embargo, algunas de las acciones podrían provocar un error, según las reglas.

•

Importe las reputaciones de archivos o certificados a la base de datos para permitir o bloquear archivos o certificados concretos en función de otros orígenes de reputación. Esto permite utilizar la configuración importada para archivos y certificados concretos sin tener que establecerla individualmente en el servidor.

•

La columna Reputación compuesta de la página Reputaciones de TIE muestra la reputación con mayor prevalencia y su proveedor. (Servidor de TIE 2.0 y posterior)

•

La columna Regla aplicada más reciente de la página Reputaciones de TIE muestra y rastrea la información de reputación basándose en la regla de detección más reciente aplicada para cada archivo del endpoint.

Puede personalizar esta página seleccionando Acciones | Elegir columnas.

Envío de archivos para un análisis más detallado Si la reputación de un archivo es desconocida, puede enviarlo a Advanced Threat Defense para que se realice un análisis más detenido. Especifique en la directiva del Servidor de TIE qué archivos se deben enviar.

188


Guía del producto

6


Advanced Threat Defense detecta malware de tipo zero-day y combina firmas antivirus, reputación y defensas de emulación en tiempo real.Puede enviar automáticamente archivos desde Protección adaptable frente a amenazas a Advanced Threat Defense en función de su nivel de reputación y tamaño de archivo. La información de reputación de archivos enviada desde Advanced Threat Defense se agrega a la base de datos del Servidor de TIE.

Información de telemetría de McAfee GTI La información sobre archivos y certificados que se envía a McAfee GTI se utiliza para comprender y mejorar la información sobre reputación. Consulte la tabla para obtener detalles sobre la información que proporciona McAfee GTI para los archivos y certificados, solo para los archivos o solo para los certificados. Categoría

Descripción

Archivos y certificados

• Versiones del módulo y del servidor de TIE • Configuración de omisión de reputación realizada con el servidor de TIE • Información de reputación externa, por ejemplo, de Advanced Threat Defense

Solo archivos

• Nombre, tipo, ruta, tamaño, producto, publicador y prevalencia del archivo • Información sobre SHA-1, SHA-256 y MD5 • Versión del sistema operativo del equipo que ha informado del archivo • Reputación máxima, mínima y promedio del archivo • Si el módulo de generación de informes está en el modo de evaluación • Si el archivo se ha permitido, bloqueado, contenido o limpiado • Producto que ha detectado el archivo; por ejemplo, Advanced Threat Defense o Prevención de amenazas

Solo certificados

• Información sobre SHA-1 • El nombre del emisor del certificado y el sujeto • La fecha en el que certificado era válido y su fecha de caducidad

McAfee no recopila información de identificación personal y no comparte la información fuera de McAfee.

Contención de aplicaciones de forma dinámica Contención de aplicación dinámica le permite especificar las aplicaciones con una reputación concreta que se ejecutan en un contenedor. Según el umbral de reputación, Protección adaptable frente a amenazas solicita que Contención dinámica de aplicaciones ejecute la aplicación en un contenedor. Las aplicaciones contenidas no pueden ejecutar determinadas acciones, según se especifique en las reglas de contención. Esta tecnología posibilita evaluar las aplicaciones desconocidas y potencialmente no seguras permitiendo su ejecución en el entorno, pero limitando a la vez las acciones que pueden realizar. Los s pueden utilizar las aplicaciones, pero su funcionamiento podría no ser el esperado si Contención dinámica de aplicaciones bloquea determinadas acciones. Una vez haya determinado que la aplicación es segura, puede configurar Protección adaptable frente a amenazas de Endpoint Security o Servidor de TIE para permitir su ejecución con normalidad.


Guía del producto

189

6


Para utilizar Contención dinámica de aplicaciones: 1

Active Protección adaptable frente a amenazas y especifique el umbral de reputación para activar Contención dinámica de aplicaciones en Opciones.

2

Configure las reglas y las exclusiones de contención definidas por McAfee en Contención dinámica de aplicaciones.

Véase también Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la página 192 Configuración de reglas de contención definidas por McAfee en la página 193 Activación del umbral de activación de Contención de aplicación dinámica en la página 192

Cómo funciona la Contención dinámica de aplicaciones Protección adaptable frente a amenazas utiliza la reputación de una aplicación para determinar si se debe solicitar que Contención dinámica de aplicaciones ejecute la aplicación con restricciones. Cuando en su entorno se ejecuta un archivo con la reputación especificada, Contención dinámica de aplicaciones bloquea o registra las acciones no seguras, en función de las reglas de contención. Cuando las aplicaciones activan reglas de bloqueo de contención, Contención dinámica de aplicaciones utiliza esta información para contribuir a la reputación general de las aplicaciones contenidas. Otras tecnologías, tales como McAfee Active Response, pueden solicitar la contención. Si varias tecnologías registradas con Contención dinámica de aplicaciones solicitan que se contenga una aplicación, cada solicitud es acumulativa. La aplicación continúa como contenida hasta que todas las tecnologías la liberen. Si se desactiva o quita una tecnología que ha solicitado la contención, Contención dinámica de aplicaciones libera esas aplicaciones.

Flujo de trabajo de Contención de aplicación dinámica 1

Se inicia el proceso.

2

Protección adaptable frente a amenazas comprueba la reputación del archivo. Protección adaptable frente a amenazas utiliza el servidor de TIE, si está disponible, para comprobar la reputación de la aplicación. Si el servidor de TIE no está disponible, Protección adaptable frente a amenazas utiliza McAfee GTI para obtener la información de reputación. Si no se conoce la reputación y los analizadores de Real Protect basado en la nube y basado en el cliente están activados, Protección adaptable frente a amenazas consulta la reputación a Real Protect.

3

Si la reputación de la aplicación coincide con el umbral de reputación de contención o se encuentra por debajo de él, Protección adaptable frente a amenazas notifica a Contención dinámica de aplicaciones que el proceso se ha iniciado y solicita la contención.

4

Contención dinámica de aplicaciones contiene el proceso. Puede ver Contención de aplicación dinámica en el Registro de eventos de amenazas de McAfee ePO.

5

190

Si considera que la aplicación contenida es segura, puede permitir que se ejecute con normalidad (no como si estuviese calificada como contenida).


Guía del producto


6

Véase también Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la página 192


Guía del producto

191

6


Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad Una vez que determine que una aplicación contenida es segura, puede permitir que se ejecute en el entorno con normalidad. •

Agregue la aplicación a la lista de Exclusiones globales de la configuración de Contención dinámica de aplicaciones. En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, independientemente del número de tecnologías que solicitaron su contención.

•

Configure Protección adaptable frente a amenazas para aumentar el umbral de reputación y liberarla de la contención. En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que otra tecnología haya solicitado la contención de esta aplicación.

•

Si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita su ejecución, como Conocido de confianza. En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que otra tecnología haya solicitado la contención de esta aplicación. Consulte la Guía del producto de McAfee Threat Intelligence Exchange.

Véase también Exclusión de los procesos de Contención de aplicación dinámica en la página 194

Activación del umbral de activación de Contención de aplicación dinámica Con la tecnología Contención dinámica de aplicaciones, puede especificar que las aplicaciones con reputaciones específicas se ejecuten en un contenedor, lo que limita las acciones que pueden llevar a cabo. Active la implementación de acciones de Contención dinámica de aplicaciones y especifique el umbral de reputación al que se deben las aplicaciones se deben ejecutar en un contenedor. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2

Haga clic en Protección adaptable frente a amenazas en la página principal Estado. , seleccione Configuración y, a continuación, haga clic en Protección adaptable O bien, en el menú Acción frente a amenazas en la página Configuración.

192

3


4


5

Verifique que Protección adaptable frente a amenazas está activada.

6

Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.


Guía del producto

6


7

Especifica el umbral de reputación en el que se deben contener las aplicaciones. •

Posiblemente de confianza

•

Desconocido (valor predeterminado para el grupo de reglas Seguridad)

•

Posiblemente malicioso (valor predeterminado para el grupo de reglas Equilibrado)

•

Probablemente malicioso (valor predeterminado para el grupo de reglas Productividad)

•

Conocido malicioso

El umbral de reputación de la contención de aplicación dinámica debe ser mayor que el de Bloquear y Limpiar. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la contención de aplicación dinámica debe ser Probablemente malicioso o superior. 8


Configuración de reglas de contención definidas por McAfee Las reglas de contención definidas por McAfee bloquean o registran las acciones que las aplicaciones contenidas pueden ejecutar. Puede modificar la configuración de bloqueo e información, pero por lo demás no es posible modificar ni eliminar estas reglas. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Para obtener información sobre las reglas de Contención dinámica de aplicaciones, incluidos los procedimientos recomendados para saber cuándo configurar una regla de informe o bloqueo, véase KB87843. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1


2

Haga clic en Protección adaptable frente a amenazas en la página principal Estado. O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable frente a amenazas en la página Configuración.

3


4

Haga clic en Contención dinámica de aplicaciones.

5

En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones para la regla.

6

•


•


En la sección Exclusiones, configure los ejecutables que excluir de Contención de aplicación dinámica. Los procesos en la lista de Exclusiones se ejecutan con normalidad (no como los contenidos).

7


Véase también Exclusión de los procesos de Contención de aplicación dinámica en la página 194


Guía del producto

193

6


istración de aplicaciones contenidas Cuando en la Contención dinámica de aplicaciones se incluye la aplicación de confianza, puede excluirla de la contención en el Cliente de Endpoint Security. Al excluir la aplicación, se libera, se quita de las Aplicaciones contenidas y se añade a Exclusiones, lo que impide que se contenga en un futuro. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como .



2


3


4

Haga clic en Contención dinámica de aplicaciones.

5

En la sección Aplicaciones contenidas, seleccione la aplicación y, a continuación, haga clic en Excluir.

6

En la página Agregar ejecutable, configure las propiedades del ejecutable y, a continuación, haga clic en Guardar. La aplicación aparecerá en la lista Exclusiones. La aplicación permanece en la lista Aplicaciones contenidas hasta que haga clic en Aplicar. Cuando vuelva a la página Configuración, la aplicación solo aparece en la lista Exclusiones.

7


Exclusión de los procesos de Contención de aplicación dinámica Si un programa de confianza está contenido, exclúyalo creando una exclusión de Contención de aplicación dinámica. Las exclusiones creadas mediante el Cliente de Endpoint Security solo son de aplicación al sistema cliente. Estas exclusiones no se envían a McAfee ePO ni aparecen en la sección Exclusiones de la configuración de Contención dinámica de aplicaciones. En los sistemas gestionados, cree exclusiones globales en la configuración de Contención dinámica de aplicaciones en McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1


2


3

194



Guía del producto

6


4

Haga clic en Contención de aplicación dinámica.

5

En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.

6

En la página Agregar ejecutable, configure las propiedades del ejecutable.

7

Haga clic en Guardar y luego en Aplicar para guardar la configuración.

Configuración de las opciones de Protección adaptable frente a amenazas La configuración de Protección adaptable frente a amenazas determina cuándo se permite ejecutar, se contiene, se limpia o se bloquea un archivo o certificado, o bien si se pregunta qué hacer a los s. Antes de empezar El modo de interfaz para Cliente de Endpoint Security se establece en total o se debe haber iniciado sesión como . Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la página Configuración.



2


3


4


5


Archivos y certificados bloqueados o permitidos Los archivos y los certificados tienen reputaciones de amenaza basadas en su contenido y sus propiedades. Las directivas de Protección adaptable frente a amenazas determinan si se bloquean o


Guía del producto

195

6


permiten los archivos y los certificados en los sistemas de su entorno en función de los niveles de reputación. Existen tres niveles de seguridad en función de cómo se desee equilibrar las reglas correspondientes a tipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican los archivos y certificados sospechosos y maliciosos. •

Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalaciones de programas de confianza, y que reciben actualizaciones frecuentes. Ejemplos de este tipo de sistemas son los equipos que se utilizan en los entornos de desarrollo. Para esta configuración se emplean menos reglas con las directivas. Los s ven escasos bloqueos y solicitudes de confirmación cuando se detectan nuevos archivos.

•

Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizan cambios con poca frecuencia. Para esta configuración se emplean más reglas con las directivas. Los s experimentan más bloqueos y solicitudes de confirmación.

•

Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios. Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entorno financiero o gubernamental. Esta configuración también se usa para los servidores. Para esta configuración se emplea el número máximo de reglas con las directivas. Los s experimentan aún más bloqueos y solicitudes de confirmación.

Para ver las reglas específicas asociadas con cada nivel de seguridad, seleccione Menú | Configuración del servidor. En la lista Categorías de configuración, seleccione Protección adaptable frente a amenazas. A la hora de determinar qué nivel de seguridad asignar a una directiva, tenga en cuenta el tipo de sistema donde se emplea la directiva y qué cantidad de bloqueos y solicitudes quiere que experimente el . Tras crear una directiva, asígnela a los equipos o dispositivos a fin de determinar qué cantidad de bloqueos y solicitudes de confirmación se producen.

Utilización del análisis de Real Protect El analizador de Real Protect inspeccione los archivos y las actividades sospechosos de un endpoint para detectar patrones maliciosos mediante técnicas de aprendizaje automático. Sirviéndose de esta información, el analizador puede detectar malware de tipo zero-day. La tecnología Real Protect no es compatible con algunos sistemas operativos Windows. Véase KB82761 para obtener información. El analizador de Real Protect ofrece dos opciones para realizar análisis automatizados: •

En la nube Real Protect basado en la nube recopila y envía los atributos y la información relacionada con el comportamiento del archivo al sistema de aprendizaje automático de la nube para realizar un análisis en busca de malware. Esta opción necesita conectividad a Internet para mitigar los falsos positivos utilizando la reputación de McAfee GTI. Procedimiento recomendado: Desactive Real Protect basado en nube en los sistemas que no están conectados a Internet.

196


Guía del producto

6

Utilización de Protección adaptable frente a amenazas Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas

•

En el sistema cliente Real Protect basado en cliente utiliza el aprendizaje automático en el sistema cliente para determinar si el archivo coincide con malware conocido. Si el sistema cliente está conectado a Internet, Real Protect envía información de telemetría a la nube, pero no utiliza la nube para el análisis. Si el sistema cliente utiliza TIE para las reputaciones, no necesita conectividad a Internet para mitigar los falsos positivos. Procedimiento recomendado: Active ambas opciones de Real Protect a menos que el servicio de soporte le recomiende anular la selección de una de ellas o de ambas para reducir los falsos positivos.

No se envía información de identificación personal a la nube.

Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas Proporciona ayuda contextual para las páginas de la interfaz del Cliente de Endpoint Security. Contenido Protección adaptable frente a amenazas: Contención dinámica de aplicaciones Protección adaptable frente a amenazas: Opciones

Protección adaptable frente a amenazas: Contención dinámica de aplicaciones Limite las acciones que las aplicaciones contenidas pueden ejecutar según las reglas configuradas para proteger el sistema. Tabla 6-1 Sección

Opciones Opción Descripción

Reglas de contención

Configura reglas de Contención dinámica de aplicaciones. Puede modificar si las reglas de contención definidas por McAfee bloquean o informan; sin embargo, no podrá cambiar o eliminar estas reglas. • (Solo) Bloquear: bloquea, pero no registra, aplicaciones contenidas para que no ejecuten las acciones específicas de la regla. • (Solo) Informar: registra las aplicaciones que intentan ejecutar acciones recogidas en la regla, pero no evita que las realicen. • Bloquear e informar: Bloquea y registra los intentos de . Procedimiento recomendado: Si no se conoce la repercusión total de una regla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los intentos de . Para determinar si se debe bloquear el , supervise los registros e informes.

Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila. Para desactivar la regla, anule la selección tanto de Bloquear como de Informar. Aplicaciones contenidas


Muestra la lista de aplicaciones que están contenidas actualmente. • Excluir: mueve la aplicación contenida a la lista de exclusiones, lo que las libera de la contención y permite que se ejecuten con normalidad.

Guía del producto

197

6



Opción

Descripción Excluye procesos de la contención.

Exclusiones

• Agregar: agrega un proceso a la lista de exclusión. • Hacer doble clic en un elemento: Modifica el elemento seleccionado. • Eliminar: Elimina el elemento seleccionado. • Duplicar: Crea una copia del elemento seleccionado. Véase también Cómo funciona la Contención dinámica de aplicaciones en la página 190 Agregar exclusión o Editar exclusión en la página 198 Configuración de reglas de contención definidas por McAfee en la página 193 Exclusión de los procesos de Contención de aplicación dinámica en la página 194

Agregar exclusión o Editar exclusión Agregue o edite un ejecutable que se deba excluir de Contención dinámica de aplicaciones. Al especificar exclusiones, tenga en cuenta lo siguiente: •


•


•


•


•


Tabla 6-3

Opciones

Opción

Definición

Nombre

Especifica el nombre que le da al ejecutable. Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o ruta, Hash MD5 o Firmante.



Hash MD5

198



Guía del producto

6


Tabla 6-3


Opción

Definición

Firmante


Notas


Protección adaptable frente a amenazas: Opciones Configure las opciones del módulo Protección adaptable frente a amenazas. Tabla 6-4

Opciones

Sección

Opción

Definición

Opciones

Activar Protección adaptable frente a amenazas

Activa el módulo Protección adaptable frente a amenazas.

Permitir a Threat Intelligence Exchange Server recopilar datos anónimos de diagnóstico y de uso

Permite que el Servidor de TIE envíe información anónima sobre archivos a McAfee.



Guía del producto

199

6


Tabla 6-4


Sección

Opción

Definición

Usar la reputación de Obtiene información de reputación de archivos del proxy de Global archivos de McAfee Threat Intelligence si el Servidor de TIE no está disponible. GTI si Threat Intelligence Exchange Server no está disponible

Asignación de regla

Impedir que los s cambien la configuración (solo clientes de Threat Intelligence Exchange 1.0)

Impide que los s de los sistemas gestionados cambien la configuración de Threat Intelligence Exchange 1.0.

Productividad

Asigna el grupo de reglas Productividad. Utilice este grupo para sistemas con muchos cambios e instalaciones y actualizaciones frecuentes de software de confianza. Este grupo es el que emplea menos reglas. El recibe un mínimo de solicitudes y experimenta el menor número de bloqueos cuando se detectan nuevos archivos.

Equilibrio

Asigna el grupo de reglas Equilibrio. Utilice este grupo para sistemas empresariales típicos en los que los cambios y el software nuevo son poco frecuentes. Este grupo emplea más reglas (y los s reciben más solicitudes y experimentan bloqueos) que el grupo Productividad.

Seguridad

Asigna el grupo de reglas Seguridad. Utilice este grupo para sistemas con pocos cambios, tales como servidores y sistemas istrados por el departamento de TI con un elevado nivel de control. El recibe más solicitudes y experimenta más bloqueos que con el grupo Equilibrio.

Análisis de Real Protect

Activar análisis basado en el cliente

Activa el análisis de Real Protect basado en cliente, que utiliza el aprendizaje automático en el sistema cliente para determinar si el archivo coincide con malware conocido. Si el sistema cliente está conectado a Internet, Real Protect envía información de telemetría a la nube, pero no utiliza la nube para el análisis. Si el sistema cliente utiliza TIE para las reputaciones, no necesita conectividad a Internet para mitigar los falsos positivos. Procedimiento recomendado: Seleccione esta opción a menos que el servicio de soporte le recomiende anular su selección para reducir los falsos positivos.

La tecnología Real Protect no es compatible con algunos sistemas operativos Windows. Véase KB82761 para obtener información.

200


Guía del producto

6


Tabla 6-4 Sección


Definición

Activar análisis basado en la nube

Activa el análisis de Real Protect basado en nube, que recopila y envía los atributos y la información relacionada con el comportamiento del archivo al sistema de aprendizaje automático de la nube para su análisis. Esta opción necesita conectividad a Internet para mitigar los falsos positivos utilizando la reputación de McAfee GTI. Procedimiento recomendado: Desactive Real Protect basado en nube en los sistemas que no están conectados a Internet.

La tecnología Real Protect no es compatible con algunos sistemas operativos Windows. Véase KB82761 para obtener información. Implementación de Activar el modo de acciones evaluación

Genera eventos de Protección adaptable frente a amenazas — Bloquearía, Limpiaría o Contendría— y los envía al servidor, pero no implementa ninguna acción. Active el modo de evaluación temporalmente en unos pocos sistemas solo mientras ajusta Protección adaptable frente a amenazas. Dado que activar este modo hace que Protección adaptable frente a amenazas genere eventos, pero no que implemente acciones, es posible que sus sistemas sean vulnerables a las amenazas.

Activar Contención dinámica de aplicaciones cuando el umbral de reputación alcance

Incluye las aplicaciones cuando la reputación alcanza un umbral concreto: • Posiblemente de confianza • Desconocido (valor predeterminado para el grupo de reglas Seguridad) • Posiblemente malicioso (valor predeterminado para el grupo de reglas Equilibrado) • Probablemente malicioso (valor predeterminado para el grupo de reglas Productividad) • Conocido malicioso El umbral de reputación de la contención de aplicación dinámica debe ser mayor que el de Bloquear y Limpiar. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la contención de aplicación dinámica debe ser Probablemente malicioso o superior. Si una aplicación con un umbral de reputación específico intenta ejecutarse en su entorno, la contención de aplicación dinámica permite que se ejecute en un contenedor y bloquea o registra acciones no seguras, según las reglas de contención.


Guía del producto

201

6


Tabla 6-4 Sección


Definición

Bloquear cuando el Bloquea los archivos cuando la reputación de archivos alcanza un umbral de reputación umbral determinado, y especifica el umbral: alcance • Posiblemente de confianza • Desconocido • Posiblemente malicioso (valor predeterminado para el grupo de reglas Seguridad) • Probablemente malicioso (valor predeterminado para el grupo de reglas Equilibrio) • Conocido malicioso (valor predeterminado para el grupo de reglas Productividad) Cuando un archivo con el umbral de reputación especificado intenta ejecutarse en su entorno, se le impedirá la ejecución, pero se conservará en su lugar. Si un archivo es seguro y desea que se ejecute, cambie su reputación a un nivel que permita su ejecución, como Posiblemente de confianza. Limpiar cuando el Limpia los archivos cuando la reputación de archivos alcanza un umbral de reputación umbral determinado, y especifica el umbral: alcance • Posiblemente malicioso • Probablemente malicioso • Conocido malicioso (valor predeterminado para los grupos de reglas Equilibrado y Seguridad) El valor predeterminado del grupo de reglas Productividad está sin seleccionar. Procedimiento recomendado: Utilice esta opción con las reputaciones de archivo de tipo Conocido malicioso, porque es posible que se elimine un archivo al limpiarlo.

202


Guía del producto

6



Opción

Descripción

Advanced Threat Defense

Enviar archivos que todavía no se han verificado a McAfee Advanced Threat Defense para analizarlos

Envía los archivos ejecutables a McAfee Advanced Threat Defense para su análisis. Cuando esta opción está activada, Protección adaptable frente a amenazas envía los archivos de manera segura a través de HTTPS mediante el puerto 443 a Advanced Threat Defense si: • El Servidor de TIE no tiene información de Advanced Threat Defense sobre el archivo. • El archivo está al nivel de reputación indicado o por debajo. • El archivo alcanza el límite de tamaño indicado o está por debajo. Si no se consigue a través de HTTPS, Protección adaptable frente a amenazas envía los archivos a través de HTTP. Especifique la información del servidor de Advanced Threat Defense en la directiva de istración del Servidor de TIE.

Enviar archivos cuando el umbral de reputación alcance

Envía archivos a Advanced Threat Defense cuando la reputación de archivos alcanza un umbral determinado: • Probablemente de confianza • Desconocido • Probablemente malicioso El valor predeterminado de todos los grupos de reglas es Desconocido.

Limitar tamaño (MB) a

Limita el tamaño de los archivos enviados a Advanced Threat Defense, entre 1 y 10 MB. El valor predeterminado es 5 MB.

Véase también Configuración de las opciones de Protección adaptable frente a amenazas en la página 195 Activación del umbral de activación de Contención de aplicación dinámica en la página 192 Archivos y certificados bloqueados o permitidos en la página 195 Utilización del análisis de Real Protect en la página 196


Guía del producto

203

6


204


Guía del producto

Índice

A acciones, Prevención de amenazas realizar en elementos en cuarentena 60 acciones, Threat Prevention especificar qué sucede cuando se descubre una amenaza 83, 90 permitir que los s limpien y eliminen archivos infectados 83, 90 programas no deseados 81 Acerca de, página 10 actualizaciones botón Actualizar ahora, Cliente de Endpoint Security 22 cancelar 22 Opción Actualizar seguridad 13 qué se actualiza 23 actualizaciones bajo demanda, véase actualizaciones manuales, ejecución actualizaciones de contenido 11 actualizaciones de productos comprobar si hay actualizaciones de forma manual 13, 22 planificar desde el cliente 37 actualizaciones de software comprobar si hay actualizaciones de forma manual 13, 22 planificar desde el cliente 37 actualizaciones manuales, ejecución 22 actualizaciones, Endpoint Security Actualización de cliente predeterminada, configurar 36 configurar comportamiento 34 configurar sitios de origen para actualizaciones 34 configurar y planificar desde el cliente 37 tarea Actualización de cliente predeterminada, acerca de 37 actualizaciones, Firewall comprobación de actualizaciones de forma manual 22 actualizaciones, Prevención de amenazas comprobación de actualizaciones de forma manual 22 comprobar 13 comprobar si hay actualizaciones de forma manual 22 descripción general 11 actualizaciones, Threat Prevention archivos de contenido 11 archivos Extra.DAT 29 adaptadores de red, permitir conexiones 141 es contraseña 27


es (continuación) definición 10 iniciar sesión en el Cliente de Endpoint Security 26 Advanced Threat Defense 188 enviar archivos 195 uso para determinar reputaciones 183 adware, acerca de 62 ajustes actualizaciones, configurar 34 Ajustes generales, Cliente de Endpoint Security 9 Ajustes generales, configurar módulo ajustes de actualización 34 alertas, Firewall 14 alertas, Threat Prevention descripción general de análisis bajo demanda 91 amenazas istrar detecciones 59 aplicaciones de la Tienda Windows 85, 91 archivos de AMCore content 11 Carpeta de cuarentena 60 detecciones durante el análisis 58 infracciones de puntos de 66 obtener información adicional de McAfee Labs 60 proceso de Protección de 66 responder a detecciones 20 tipos 62 volver a analizar elementos en cuarentena 63 y calificaciones de seguridad 166 ampliaciones, componentes de software cliente 11 análisis análisis con el botón derecho del ratón 58 aplazar, pausar, reanudar y cancelar 21 Control web 171 ejecutar en Cliente de Endpoint Security 56 lectura y escritura 85 parámetros de ajustes generales para análisis en tiempo real y bajo demanda 82 personalizados, crear y planificar en el cliente 95 planificación con Cliente de Endpoint Security 95 responder a avisos 21 tipos 55 usar caracteres comodín en exclusiones 65 análisis bajo demanda acerca de 55

Guía del producto

205

Índice

análisis bajo demanda (continuación) análisis con el botón derecho del ratón 58 análisis de Almacenamiento remoto 95 analizar archivos o carpetas 58 archivos de registro 24 configurar 82 descripción general 91 ejecutar Análisis completo o Análisis rápido 56 exclusión de elementos 64 planificación en el cliente 95 programas potencialmente no deseados, activar detección 81

responder a avisos 21 utilización del sistema 94 Análisis completo acerca de 55 configurar 90 ejecutar en Cliente de Endpoint Security 56 planificación en el cliente 95 Análisis con el botón derecho del ratón acerca de 55 analizar desde el Explorador de Windows 58 configurar 90 análisis con impacto cero 93 análisis de Almacenamiento remoto, descripción general 95 análisis de escritura 84 flujo de trabajo 85 análisis de lectura 84 flujo de trabajo 85 análisis del sistema, tipos 55 análisis en tiempo real acerca de 55 análisis de scripts 88 archivos de registro 24 configurar 82, 83 descripción general 85 detecciones de tareas 20 escritura o lectura del disco 84 exclusión de elementos 64 número de directivas de análisis 89 optimización con lógica de confianza 84 programas potencialmente no deseados, activar detección 81

ScriptScan 88 análisis incrementales 93 análisis manual ejecutar en Cliente de Endpoint Security 56 análisis manuales acerca de tipos de análisis 55 ejecución desde Endpoint Security Client 58 análisis personalizados, véase análisis bajo demanda Análisis rápido configurar 90 ejecutar en Cliente de Endpoint Security 56 planificación en el cliente 95 tipos de análisis 55

206


análisis reanudables, véase análisis incrementales análisis, bajo demanda configurar 90 detección de amenazas en las aplicaciones de la Tienda Windows 91 exclusión de elementos 64 reducción del impacto sobre los s 93 utilización del sistema 94 análisis, en tiempo real configurar 83 descripción general 85 detección de amenazas en aplicaciones de la Tienda Windows 85 detecciones de tareas, responder a 20 exclusión de elementos 64 número de directivas 89 optimización con lógica de confianza 84 reducción del impacto en los s 87 ScriptScan 88 análisis, personalizados, véase análisis, bajo demanda analizador de Real Protect 190, 196 actualizaciones de archivos de contenido 11 Analizador de Real Protect istrar 186 analizadores Real Protect 190 analizadores, Real Protect 196 analizar página, mostrar 20 aplazamiento de análisis, descripción general 93 aplicaciones contenidas, Contención de aplicación dinámica gestión en el Cliente de Endpoint Security 194 aplicaciones de la Tienda Windows, detección de amenazas 85, 91

aplicaciones, acerca de 139 aplicaciones, contenidas concesión de permiso para que se ejecuten con normalidad 192

gestión en el Cliente de Endpoint Security 194 aplicaciones, Tienda Windows 85, 91 aprendizaje automático, analizador de Real Protect 196 archivos istración en la cuarentena 60 archivos de registro 24 caracteres comodín en exclusiones 65 cómo se determinan las reputaciones 183 configurar archivos de registro 31 configurar para cuarentena 82 ejecución de análisis 58 exclusión de tipos específicos de los análisis 64 prevención de modificaciones 30 registros de Cliente de Endpoint Security 23 tipos en los que evitar el análisis 93 tipos para evitar el análisis 87 volver a analizar en la Cuarentena 63 archivos de almacenamiento comprimidos, elusión de análisis 93

Guía del producto

Índice

archivos de almacenamiento comprimidos, elusión del análisis

ataques basados en pila, exploits de desbordamiento del búfer

87

archivos de almacenamiento, elusión de análisis 93 archivos de almacenamiento, elusión del análisis 87 archivos de AMCore content analizador y reglas de Protección adaptable frente a amenazas 11 archivos Extra.DAT 28, 29 cambio de la versión 28 descripción general de análisis bajo demanda 91 descripción general del análisis en tiempo real 85 firmas y actualizaciones de motores 11 motor de Real Protect y contenido 11 Archivos de AMCore content acerca de 11 archivos de contenido acerca de 11 actualizaciones para Prevención de exploits 75 archivos Extra.DAT 28, 29 cambio de la versión de AMCore 28 comprobación manual de actualizaciones 22 comprobar si hay actualizaciones de forma manual 13, 22 descripción general de análisis bajo demanda 91 planificar actualizaciones desde el cliente 37 y detecciones 20 archivos de definiciones de detección, véase archivos de contenido archivos de registro configurar 31 errores de actualización 22 ubicaciones 24 ver 23 archivos Extra.DAT acerca de 28 archivos de AMCore Content 11 cargar 29 descargar 29 descripción general de análisis bajo demanda 91 descripción general del análisis en tiempo real 85 usar 28 archivos y certificados, bloquear 195 archivos y certificados, enviar 195 archivos, contenido archivos Extra.DAT 28, 29 cambio de la versión de AMCore content 28 cargar archivos Extra.DAT 29 descripción general de análisis bajo demanda 91 Extra.DAT y AMCore 11 firmas y actualizaciones 11 Prevención de exploits 11 Protección adaptable frente a amenazas 11 uso de archivos Extra.DAT 28 archivos, especificar opciones de análisis 83, 90 ataques basados en montón, exploits de desbordamiento del búfer 75


75

ataques, exploits de desbordamiento del búfer 75 autogestionado, acerca de 22 Autoprotección, configuración 30 avisos, Endpoint Security acerca de 14 responder a análisis 21 respuestas a la reputación de archivos 185 Windows 8 y 10 20 Ayuda, visualización 15, 20

B bajo demanda, análisis análisis de Almacenamiento remoto 95 Bloquear interfaz de cliente al abrir Endpoint Security Client 19 Bloquear modo de interfaz de cliente desbloqueo de la interfaz 27 y configuración de directivas 17 botón Ver detecciones 59 botón Actualizar ahora 23 botón analizar ahora 56 Botón Ver análisis 56 Botón Ver detecciones 59 botones Analizar ahora 56 Ver análisis 56 botones, Control web 163 bromas, acerca de 62 Búsqueda segura, configuración de Control web 168 búsquedas bloqueo de sitios peligrosos en resultados 168 iconos de seguridad 164

C caché de análisis análisis bajo demanda 91 análisis en tiempo real 85 caché de análisis global análisis bajo demanda 91 análisis en tiempo real 85 caché, análisis global análisis bajo demanda 91 análisis en tiempo real 85 calificación, Web Control, véase calificaciones de seguridad calificaciones de seguridad configurar acciones para sitios web y descargas 172 control de a los sitios web 173 Control web y 161 iconos de seguridad 164 calificaciones, seguridad, véase calificaciones de seguridad

Guía del producto

207

Índice

caracteres comodín en exclusiones 65 en exclusiones a nivel de raíz 65 usar en exclusiones 65 usar en reglas de firewall 146 carpetas istración en la cuarentena 60 caracteres comodín en exclusiones 65 configurar para cuarentena 82 ejecución de análisis 58 volver a analizar en la Cuarentena 63 categorías de contenido, véase categorías web categorías web, bloquear o advertir en función de 172, 173 certificados cómo se determinan las reputaciones 183 certificados de confianza, y elusión de análisis 85 certificados, y elusión de análisis 85 Chrome activación del complemento Control web 166 botones de Control web 163 navegadores compatibles 161, 167 ver información acerca de un sitio 167 clasificaciones de seguridad cómo se obtienen las clasificaciones de sitios web 166 cliente, véase Cliente de Endpoint Security Cliente de Endpoint Security abrir 13 acerca de 15 actualización de la protección 22 Análisis completo y Análisis rápido, planificación 95 configuración de directivas 17 configuración de la seguridad 32 configurar sitios de origen para actualizaciones 34 desbloqueo de la interfaz 27 ejecutar análisis 56 iniciar sesión como 26 interactuar con 12 módulos 17 protección con una contraseña 32 registros, acerca de 24 tarea Actualización de cliente predeterminada, acerca de 37 tarea de Actualización de cliente predeterminada, configurar 36 tarea de Actualización de cliente predeterminada, planificar 37

tareas de actualización personalizadas, crear 37 tareas de duplicación, acerca de 39 tareas de duplicación, configurar y planificar 38 tipos de istración 10 ver el Registro de eventos 23 visualización de la ayuda 20 cliente de McAfee, véase Cliente de Endpoint Security cliente de protección de McAfee, véase Endpoint Security Client colores, botones de Control web 163 complementos activación 166

208


complementos del navegador, véase complementos complementos, navegador, véase complementos conectividad, McAfee GTI o Servidor de TIE 183 configuración actualizaciones, configurar para 36 sitios de origen para actualizaciones de cliente, configurar 34

sitios de origen, configurar para 34 configuración de acción según contenido Control web 173 configuración de acciones según contenido, Control web 172 configuración de Firewall Opciones 138 configuración de procesos, análisis bajo demanda 94 configuración, Control web control de a sitios web 172 configuración, Firewall Opciones 138 Configuración, página ajustes de actualización, configurar 34 y Modo de interfaz de cliente 17 configuración, Prevención de amenazas función Protección de 68 configuración, Protección adaptable frente a amenazas Contención dinámica de aplicaciones, tecnología 193 configuración, Threat Prevention análisis bajo demanda 81 análisis en tiempo real 81 configurar programas potencialmente no deseados 80 Contención de aplicación dinámica activación del umbral de activación 192 gestión de aplicaciones contenidas 194 procesos, inclusión y exclusión 194 Contención dinámica de aplicaciones acerca de 189 istrar 186 archivos de registro 24 cómo funciona 190 concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad 192 procedimientos recomendados 193 Protección adaptable frente a amenazas 182 reglas definidas por McAfee, configuración 193 contenido, actualización desde el cliente 22 contraseñas 26, 27 configuración de la seguridad del cliente 32 control del al cliente 32 contraseñas de efectos 32 Control web acerca de 9 activación 168 activar el complemento 166 archivos de registro 24 botones, descripción 163

Guía del producto

Índice

Control web (continuación) Cliente de Endpoint Security 17 cómo se cómo se analizan las descargas de archivos 171 comportamiento, sitios web bloqueados, y descargas 163 comportamiento, sitios web y descargas con advertencia 163

configuración 168 funciones 161 menú 163 registro de actividades 24 registro de depuración 24 ver información acerca de un sitio 167 ver informes de sitios 167 copias de seguridad, especificar opciones de análisis 83, 90 crackers de contraseñas, acerca de 62 credenciales, lista de repositorios 35 Cuarentena, Prevención de amenazas configurar parámetros de ubicación y retención 82 volver a analizar elementos en cuarentena 63 cuentas de , control del al cliente 32

D Data Exchange Layer, y Protección adaptable frente a amenazas 180, 182 definición de redes 137 descargas comportamiento de bloqueo y advertencia 163 descargas de archivos análisis con Prevención de amenazas 171 bloqueo de sitios web desconocidos 168 bloqueo o advertencia de según calificaciones 172 destinos, Protección de ejemplos 73 evaluar con subreglas 73 detecciones istrar 56, 59 excluir por nombre 82 informar al servidor de istración 10 mostrar mensajes a s 83, 90 nombres 62 responder a 20 tipos 56, 58 direcciones IP 137 grupos con reconocimiento de ubicación 141 grupos de reglas 141 Direcciones IP de confianza 138 direcciones URL excluir del análisis de secuencia de comandos 83 directivas al Cliente de Endpoint Security 17 definición 10 funciones de cliente 12 directivas de acción según contenido Control web 173


directivas, Common configurar 29 directivas, Control web control de con calificaciones de seguridad 173 control de con categorías web 173 directivas, Prevención de amenazas análisis bajo demanda, aplazamiento 93 parámetros de análisis de ajustes generales 82 directivas, Threat Prevention análisis en tiempo real 89 dominios, bloqueo 136

E ejecutables configuración de confianza 138 de confianza, véase ejecutables de confianza exclusión de Prevención de exploits 78 exclusión de Protección de 73 ejecutables de confianza configuración 138 definición 139 ejemplos de flujo de trabajo 186 crear prevalencia de archivos y observar 187 enviar archivos para análisis más detallado 188 supervisión y ajuste 187 elusión de análisis certificados de confianza 85 opción de análisis Dejar que McAfee decida 84 procedimientos recomendados para análisis 64 procedimientos recomendados para análisis bajo demanda 93

procedimientos recomendados para análisis en tiempo real 87

Endpoint Security Client abrir 19 istrar detecciones de amenazas 59 análisis del sistema 55 analizar en busca de malware 55 mostrar información de protección 21 Resumen de amenazas 16 tipo de istración 21 Endpoint Security, istrar 26 Endpoint Security, cómo protege su equipo 10 enviar archivos para análisis más detallado Advanced Threat Defense 188 Product Improvement Program 188 errores, actualización 22 Escritorio remoto, y función de análisis durante inactividad 93 estado conexión, comprobación 183 estado de la conexión, comprobación 183 estado, Endpoint Security, estado, Endpoint Security, mostrar con icono de McAfee de la bandeja del sistema 13 eventos modo de evaluación 186, 187

Guía del producto

209

Índice

eventos Bloquearía 186, 187 eventos Contendría 186 eventos Limpiaría 186, 187 eventos Podría contener 187 eventos, rastreo de eventos del navegador de Control web 168 excepciones McAfee GTI 138 excepciones, Prevención de exploits, véase exclusiones Prevención de exploits exclusiones análisis bajo demanda, especificar 90 análisis en tiempo real, especificar archivos, carpetas y unidades 83 configuración 64 Contención de aplicación dinámica 194 especificar URL para ScriptScan 83 globales, Prevención de exploits 79 nivel de raíz 65 nombre de detección 82 Prevención de exploits 79 Prevención de exploits, todas las reglas 78 procedimientos recomendados de ScriptScan 88 Protección de , todas las reglas 73 usar caracteres comodín 65 exclusiones a nivel de raíz, véase exclusiones exclusiones globales, Prevención de exploits 79 exploits bloqueo de desbordamientos del búfer 77 cómo se producen los exploits de desbordamiento del búfer 75

exploits de desbordamiento del búfer, acerca de 75 Extended Release, véase Firefox ESR, navegadores compatibles extensiones del navegador, véase complementos extensiones, navegador, véase complementos

F falsos positivos Firewall, reducir 139 reducción mediante la creación de exclusiones de Prevención de exploits 79 Firefox activación del complemento Control web 166 botones de Control web 163 ESR, navegadores compatibles 161 navegadores compatibles 161, 167 ver información acerca de un sitio 167 firewall acerca de grupos sincronizados 13 activar en el icono de la bandeja del sistema de McAfee 13 Firewall acerca de 9 activación y visualización de grupos sincronizados 134 activar y desactivar en el icono de la bandeja del sistema 133

activar y desactivar protección 135

210


Firewall (continuación) actualización del contenido desde el cliente 22 istración de directivas y grupos 145 istrar 134 alertas de intrusos 14 archivos de registro 24 bloqueo del tráfico DNS 136 Cliente de Endpoint Security 17 cómo funciona 133 cómo funcionan las reglas de firewall 139 creación de grupos sincronizados 148 ejecutables de confianza 139 grupos con reconocimiento de ubicación, acerca de 141 grupos con reconocimiento de ubicación, crear 147 grupos sincronizados, acerca de 134 modificar opciones 135 preguntas frecuentes de McAfee GTI 136 registro de actividades 24 registro de depuración 24 reglas, véase reglas de firewall firewall, grupos de reglas configurar 139 predefinidos 144 firmas información sobre amenazas conocidas 11 firmas de GBOP, véase Firmas de protección genérica contra desbordamiento del búfer Firmas de GPEP, véase Firmas de Prevención genérica de la escalación de privilegios firmas de protección genérica contra desbordamiento del búfer 11

firmas de supervisión de API dirigida 11 firmas, Prevención de exploits acerca de 75 configuración 77 exclusión por el ID de firma 79 función de análisis durante inactividad 21, 93 funciones al Cliente de Endpoint Security basado en directivas 17

activación y desactivación 27

G globos, Web Control 164, 168 Google Chrome 161 iconos de seguridad 164 motores de búsqueda compatibles 164 grupo de reglas agregado por , Firewall 144 grupo de reglas agregado por el , Firewall 145 grupo de reglas agregado por , Firewall 144 grupo de reglas de adaptación, Firewall 144, 145 grupo de reglas de redes principales de McAfee, Firewall 144 grupo de reglas predeterminado, Firewall 144 grupo de reglas, Firewall, véase grupos de reglas de firewall

Guía del producto

Índice

grupos con reconocimiento de ubicación acerca de 141 aislamiento de conexión 142 crear 147 grupos de firewall, véase grupos de reglas de firewall grupos de reglas de firewall istrar grupos sincronizados desde el icono de la bandeja del sistema 13 cómo funciona el Firewall 133 creación de grupos sincronizados 148 gestión de grupos sincronizados mediante el icono de la bandeja del sistema 134 grupos con reconocimiento de ubicación, acerca de 141 grupos sincronizados, acerca de 134 prioridad 141 reconocimiento de ubicación, crear 147 y aislamiento de conexión 142 grupos de reglas predefinidos 144 grupos sincronizados istrar desde el icono de la bandeja del sistema de McAfee 13 grupos sincronizados, Firewall acerca de 134 creación 148 gestión mediante el icono de la bandeja del sistema 134 grupos, firewall, véase grupos de reglas de firewall

H hashes, acerca de 83, 172 herramientas de istración remota, acerca de 62 Host Intrusion Prevention, y Prevención de exploit 74 Host IPS, y Prevención de exploit 74

información, mostrar protección 21 informes de seguridad, véase informes, Web Control informes del sitio, véase informes, Web Control informes, Control web seguridad 161 ver 167 informes, Web Control 165, 166 seguridad de sitios web 165 visualización 168 instaladores de confianza, analizar 83 instaladores, analizar de confianza 83 Internet y el analizador de Real Protect 196 y Protección adaptable frente a amenazas 182 Internet Explorer activación del complemento Control web 166 compatibilidad de ScriptScan 88 navegadores compatibles 161, 167 ver información acerca de un sitio 167 visualización de la ayuda de Endpoint Security 20 intrusiones, activar alertas de Firewall 135

L las reglas personalizadas, véase reglas definidas por , Protección de Lista de aplicaciones contenidas, gestión 194 lista de repositorios descripción general 35 orden de preferencia, lista de repositorios 35 ubicación en cliente 35 lógica de confianza, optimización de análisis en tiempo real 84

M

I icono de la bandeja del sistema opción Actualizar seguridad 23 icono de la bandeja del sistema, definido por McAfee 13 icono de la bandeja del sistema, McAfee 12 abrir Endpoint Security Client 19 activación y visualización de grupos sincronizados 134 activar y desactivar Firewall 133 actualizar seguridad 13 configuración del a Endpoint Security 32 grupos sincronizados de Firewall 13 icono de McAfee, véase icono de la bandeja del sistema de McAfee iconos, McAfee, véase icono de la bandeja del sistema de McAfee iconos, Web Control 164 inclusiones Prevención de exploits, reglas de protección de aplicaciones 78

subreglas de Protección de 73 independiente, véase autogestionado, acerca de información de identificación personal, véase PII


malware analizar en busca de 55 detecciones durante el análisis 56, 58 responder a detecciones 20 marcadores, acerca de 62 McAfee Active Response y Contención dinámica de aplicaciones 190

McAfee Agent tarea de actualización de producto y lista de repositorios 35 McAfee Endpoint Security Client, véase Endpoint Security Client McAfee ePO actualizar protección 11 y tipos de istración 22 McAfee GTI análisis bajo demanda, cómo funcionan 91 análisis bajo demanda, configurar 90 análisis de archivos antes de su descarga 168 análisis en tiempo real, cómo funcionan 85 análisis en tiempo real, configurar 83 analizar archivos antes de su descarga 171 calificaciones de seguridad de Web Control 166

Guía del producto

211

Índice

McAfee GTI (continuación) comentarios de telemetría 82 configurar nivel de sensibilidad 82 descripción general, Control web 172 descripción general, Prevención de amenazas 83 enviar eventos de bloqueo al servidor 135 especificación de la configuración del servidor proxy 33 estado de la conexión de Protección adaptable frente a amenazas 183 excepciones 138 informes de sitio web de Web Control 165 opciones de firewall, configurar 135 preguntas frecuentes, Firewall 136 problema de comunicación de Control web 163 reputación de red para firewall, configurar 135 y categorías web 173 y el analizador de Real Protect 196 y Protección adaptable frente a amenazas 180, 182 McAfee Labs actualizaciones de archivos de AMCore Content 11 descarga de Extra.DAT 28 Extra.DAT 29 obtener más información sobre amenazas 60 y McAfee GTI 83, 136, 172 McAfee SECURE, botón de Control web 163 McTray, inicio 93 Mensajes de error, mensajes de error, estados del icono de la bandeja del sistema 13 mensajes de notificación acerca de 14 interactuar con el Cliente de Endpoint Security 12 Windows 8 y 10 14 mensajes emergentes, y calificaciones de seguridad 166 mensajes, Endpoint Security acerca de 14 mostrar al detectar amenaza 83, 90 Menú Acción, acerca de 15 Menú Inicio, abrir Endpoint Security Client 19 menús Acción 15, 27 Acerca de 21 Ayuda 15, 20 Configuración 15, 17, 135, 145 Control web 167 Microsoft Internet Explorer, véase Internet Explorer modo estándar efectos de establecer una contraseña 32 Modo estándar istrar reglas y grupos de firewall 145 configuración de la seguridad del cliente 32 modo total modificar opciones de firewall 135 modo de Bloquear interfaz de cliente efectos de establecer una contraseña 32 Modo de estándar iniciar sesión como 26

212


Modo de estándar (continuación) y configuración de directivas 17 Modo de total configuración de directivas 17 Modo de adaptación configurar en Firewall 135 prioridad de reglas 139 modo de evaluación eventos de Advanced Threat Protection 187 eventos de Protección adaptable frente a amenazas 186 Modo de interfaz de cliente, opciones 17 modo Escritorio, Windows 8 y 10 mensajes de notificación 14 respuesta a los avisos de detección de amenazas 20 modos de , Cliente de Endpoint Security 17 modos de interfaz estándar 26, 32 Bloquear interfaz de cliente 32 configuración de la seguridad del cliente 32 módulo Ajustes generales, Cliente de Endpoint Security 17 módulo Ajustes generales, configuración Autoprotección 30 configuración del servidor proxy de McAfee GTI 33 seguridad de la interfaz de cliente 32 módulo Ajustes generales, configurar configuración de actualización 36 sitios de origen para actualizaciones de cliente 34 sitios de origen para actualizaciones de cliente, configurar 34

módulo Common, configurar configuración 29 registro 31 módulos al Cliente de Endpoint Security basado en directivas 17

acerca de Endpoint Security 9 instalados en Cliente de Endpoint Security 17 muestra información acerca de 21 módulos, Ajustes generales ajustes de actualización, configurar 34 Autoprotección, configuración 30 configuración de actualización, configurar 36 configuración del servidor proxy de McAfee GTI, especificación 33 configurar sitios de origen para actualizaciones de cliente 34

sitios de origen para actualizaciones de cliente, configurar 34

módulos, Common registro, configurar 31 módulos, Control web cómo funciona McAfee GTI 172 módulos, Prevención de amenazas cómo funciona McAfee GTI 83 motores de análisis, descripción general de archivos de AMCore content 11 Motores de búsqueda Ask, e iconos de seguridad 164

Guía del producto

Índice

Motores de búsquedas Bing, e iconos de seguridad 164 Mozilla Firefox, véase Firefox

N navegador Edge, no compatible con Control web 161 navegadores activación del complemento Control web 166 compatibles 161, 167 comportamiento, sitios web y descargas bloqueados 163 desactivación del complemento de Control web 168 no compatibles 161 ver información acerca de un sitio 167 nivel de sensibilidad, McAfee GTI 83, 172 niveles de seguridad ejemplos 195 no gestionado, véase autogestionado, acerca de notificaciones de alerta, Windows 8 y 10 14, 20

O opción de la bandeja del sistema Actualizar seguridad 23 opciones analizar en busca de malware 55 configurar análisis bajo demanda 90 configurar análisis en tiempo real 83 opciones de análisis, reducción del impacto en el 87 opciones de análisis, reducción del impacto sobre el 93 opciones de Firewall modificación 135 opciones de utilización del sistema, descripción general 94 Opciones, Ajustes generales ajustes de actualización, configurar 34 Autoprotección, configuración 30 configuración de actualización, configurar 36 configuración del servidor proxy, especificación 33 sitios de origen para actualizaciones de cliente, configurar 34

sitios de origen para las actualizaciones de cliente, configurar 34 Opciones, Common configurar 29 parámetros de registro, configurar 31 programación de análisis bajo demanda 55 opciones, Firewall ejecutables de confianza 139 redes definidas 137 Opciones, Prevención de amenazas parámetros de análisis de ajustes generales 82 Opciones, Threat Prevention programas no deseados 80

P página Acerca de estado de la conexión de Protección adaptable frente a amenazas 183 Página Acerca de 21


Página Análisis en tiempo real 59 Página Analizar en busca de amenazas 58 Página Analizar sistema 59 página Configuración Autoprotección, configuración 30 configuración de actualización, configurar 36 configuración del servidor proxy, especificación 33 modificar opciones de firewall 135 registro, configurar 31 seguridad de la interfaz de cliente, configuración 32 Página Configuración istrar reglas y grupos de firewall 145 parámetros de análisis bajo demanda, configurar 90 parámetros de análisis en tiempo real, configurar 83 página de actualización 22 página de análisis, mostrar 56 página de cuarentena 60 Página de estado de seguridad de McAfee, mostrar 13 Página de estado, ver Resumen de amenazas 16 página de iniciar sesión como desbloqueo de la interfaz del cliente 27 Página de iniciar sesión como al abrir Endpoint Security Client 19 página de Scan System 56 página Revertir contenido de AMCore 28 páginas Acerca de 10, 21 Actualizar 22 Análisis en tiempo real 20, 59 análisis, mostrar 56 Analizar en busca de amenazas 58 Analizar sistema 59 Configuración 17, 30–34, 36, 90, 135 cuarentena 60 estado de seguridad de McAfee 13 Registro de eventos 23 Revertir contenido de AMCore 28 Scan System 56 parámetro Windows Set Priority 94 phishing, informes enviados por s del sitio web 166 PII, no enviado a la nube 196 planificaciones, análisis bajo demanda, aplazamiento 93 prácticas recomendadas utilizar redes de confianza 138 preguntas frecuentes, McAfee GTI 136 Prevención adaptable frente a amenazas actualizaciones de archivos de contenido 11 Prevención de amenazas acerca de 9 análisis de archivos antes de su descarga 168 análisis en tiempo real, acerca de 85 analizar archivos antes de su descarga 171 Cliente de Endpoint Security 17 función Prevención de exploits 77 función Protección de 68

Guía del producto

213

Índice

Prevención de exploit y Host IPS 74 Prevención de exploits acerca de las firmas 75 actualizaciones de archivos de contenido 11 archivos de contenido 75 archivos de registro 24 configuración 77 exclusión de procesos 64 procesos, exclusiones 79 procesos, inclusión y exclusión 78 reglas de protección de aplicaciones 77 Prevención de vulnerabilidades acerca de 74 Prevención genérica de la escalación de privilegios 11 prioridad grupos de firewall 141 reglas de firewall 139 prioridades, análisis en tiempo real 94 procedimientos recomendados analizador de Real Protect 196 configuración de la seguridad del cliente 32 Contención dinámica de aplicaciones 193 contraseñas 32 exclusión de McAfee GTI del servidor proxy 33 exclusiones de ScriptScan 88 mejora del rendimiento de los análisis 64 reducción del impacto de los análisis bajo demanda 93 reducción del impacto del análisis en tiempo real 87 reglas de contención definidas por McAfee 193 procesos exclusión de Prevención de exploits 78, 79 inclusión y exclusión en Protección de 73 procesos de alto riesgo, especificar 83 procesos de bajo riesgo, especificar 83 procesos, Contención de aplicación dinámica exclusiones 194 procesos, Prevención de amenazas análisis 85 exclusión 64 incluir y excluir en Protección de 68 procesos, Protección adaptable frente a amenazas inclusión y exclusión en Contención de aplicación dinámica 194

procesos, Threat Prevention análisis 83 especificar alto y bajo riesgo 83 Product Improvement Program 188 programas potencialmente no deseados acerca de 62 activar detección 81, 83, 90 caracteres comodín en exclusiones 65 configurar detección 80 detecciones durante el análisis 56, 58 especificar 80

214


programas potencialmente no deseados (continuación) especificar programas que detectar 82 exclusión de elementos 64 programas, activar detección de potencialmente no deseados 83, 90 protección configuración de autoprotección 30 interactuar con 12 mantener actualizado 11 muestra información acerca de 21 Protección adaptable frente a amenazas acerca de 9, 179 acerca de Real Protect 196 istrar 186 analizador de Real Protect 196 archivos de registro 24 Cliente de Endpoint Security 17 componentes 180 configuración 195 configuración del umbral de activación de Contención de aplicación dinámica 192 ejemplos de flujo de trabajo 186 escenarios 182 registro de actividades 24 registro de depuración 24 tecnología Contención dinámica de aplicaciones 193 ventajas 179 Protección de acerca de 66 archivos de registro 24 ejemplos 66 exclusión de procesos 64 procesos, incluir y excluir 68 procesos, inclusión y exclusión 73 reglas definidas por el , configurar 72 reglas definidas por McAfee, acerca de 69 reglas definidas por McAfee, configurar 68 reglas, acerca de 67

R ransomware creación de reglas de Protección de para proteger contra 72 red privada, inclusión de sitios externos 168 redes de confianza 138 definición 137 redes de confianza, véase redes registradores de pulsaciones de teclado, acerca de 62 registro de cliente 31 registros de actividades, Cliente de Endpoint Security 24 registros de depuración, Cliente de Endpoint Security 24 registros de errores, Cliente de Endpoint Security 24 registros de eventos, Cliente de Endpoint Security acerca de 24

Guía del producto

Índice

registros de eventos, Cliente de Endpoint Security (continuación) errores de actualización 22 ver página Registro de eventos 23 reglas Protección de , exclusiones e inclusiones 73 protección de aplicaciones, exclusiones e inclusiones 78 reglas de contención Contención dinámica de aplicaciones 189 reglas de contención definidas por McAfee procedimientos recomendados 193 reglas de firewall cómo funciona el Firewall 133 cómo funcionan 139 configurar 139 orden y prioridad 139 permitir y bloquear 139 usar caracteres comodín 146 reglas de Protección de exclusiones e inclusiones 73 reglas de protección de aplicaciones 77 configuración 77 exclusiones e inclusiones 78 reglas definidas por el , Protección de configurar 72 reglas definidas por McAfee, Contención dinámica de aplicaciones 193 reglas definidas por McAfee, Protección de 69 reglas, Contención dinámica de aplicaciones configuración 193 procedimientos recomendados 193 reglas, firewall, véase Firewall reglas, Prevención de amenazas configurar 68 reglas, Prevención de exploits reglas de protección de aplicaciones 77 reglas, Protección de tipos 67 reglas, Threat Prevention cómo funciona la protección de 66 regulación, configurar 94 rendimiento, véase rendimiento del sistema rendimiento del sistema reducción del impacto de los análisis 93 reducción del impacto del análisis 87 reputación de archivos respuesta a avisos 185 reputaciones activación del umbral de activación de Contención de aplicación dinámica 192 cómo se determinan 183 Contención dinámica de aplicaciones 189 estado de la conexión para determinarlas 183 requisitos analizador de Real Protect 196


respuestas, configurar para detección de programas no deseados 81 Resumen de amenazas, acerca de 16

S Safari (Macintosh) botones de Control web 163 scripts, análisis 88 ScriptScan acerca de 88 activar 83 compatible solo con Internet Explorer 88 desactivado de manera predeterminada 88 exclusión de URL 64 procedimientos recomendados para las exclusiones 88 sectores de arranque, analizar 83, 90 seguridad configuración de la seguridad de la interfaz de cliente 32 Servidor de Threat Intelligence Exchange, véase Servidor de TIE Servidor de TIE estado de la conexión de Protección adaptable frente a amenazas 183 y el analizador de Real Protect 196 y Protección adaptable frente a amenazas 180, 182 servidor proxy configuración en lista de repositorios 35 configuración para McAfee GTI 33 servidores, proxy, véase servidores proxy sigiloso, acerca de 62 sistemas servidor, y función de análisis durante inactividad 93 sitios protección de navegación 163 ver informes de sitios web de Control web 167 sitios web clasificaciones de seguridad 166 comportamiento de bloqueo y advertencia 163 protección de navegación 163 protección durante la búsqueda 164 ver informes de sitios web de Control web 167 sitios web, advertencia según las calificaciones de seguridad 173 sitios web, advertir según calificaciones 172 sitios web, bloquear según calificaciones 172 según categoría web 172, 173 según las calificaciones de seguridad 173 sitios web, bloqueo según las calificaciones de seguridad 173 sin calificar o desconocidos 168 sitios web peligrosos en los resultados de búsqueda 168 sitios web, control de con calificaciones de seguridad 173 con categorías web 172, 173

Guía del producto

215

Índice

sitios web, controlar con calificaciones de seguridad 173 sitios, advertir según calificaciones 172 sitios, bloquear según calificaciones 172 según categoría web 172, 173 sitios, control de con categorías web 172, 173 software cliente, definición 10 solicitudes de descarga, véase descargas de archivos solicitudes, Endpoint Security respuesta ante 20 respuesta ante detección de amenaza 20 spyware, acerca de 62 subprocesos, prioridad 94 subreglas, Protección de evaluar con destinos 73 exclusión e inclusión 73

Threat Prevention (continuación) análisis en tiempo real, configurar 83 Opciones, programas no deseados 80 programas potencialmente no deseados, detecciones 80 tiempo de U, análisis bajo demanda 94 tipo de istración visualización 21 tipo de istración de McAfee ePO Cloud 22 tipos de istración acerca de 22 tráfico analizados por Firewall 133 permitir saliente hasta inicio de servicios de firewall 135 Tráfico DNS, bloqueo 136 troyanos acerca de 62 detecciones durante el análisis 56, 58

U umbrales activación del umbral de activación de Contención de aplicación dinámica 192

T

tarea Actualización de cliente predeterminada unidades de red, especificar opciones de análisis 83 acerca de 37 URL tarea de Actualización de cliente predeterminada exclusión de los análisis de scripts 64 configurar 36 configurar sitios de origen para actualizaciones 34 V planificación con Cliente de Endpoint Security 37 tareas cliente de actualización de producto virus lista de repositorios 35 acerca de 62 tareas de actualización de producto detecciones durante el análisis 56, 58 acerca de 35 firmas 11 tareas de actualización personalizadas, véase tareas, Cliente de responder a detecciones 20 Endpoint Security vulnerabilidades tareas de duplicación Véase también amenazas acerca de 39 configurar y planificar 38 bloquear desbordamientos del búfer 74 tareas iniciales de Protección adaptable frente a amenazas 186 tareas, Cliente de Endpoint Security W Actualización de cliente predeterminada, configurar 36 Web Control actualización personalizada, configurar y planificar 37 istrar 168 configurar y planificar tareas de duplicación 38 globos e iconos 168 tarea de Actualización de cliente predeterminada, planificar 37 iconos, descripción 164 tareas de duplicación, acerca de 39 informes del sitio 165 tareas, Endpoint Security motores de búsqueda e iconos de seguridad 164 Actualización de cliente predeterminada, acerca de 37 Windows 8 y 10 tareas, Prevención de amenazas abrir Endpoint Security Client 19 Análisis completo y Análisis rápido, planificación 95 acerca de los mensajes de notificación 14 análisis personalizados, planificación 95 respuesta a los avisos de detección de amenazas 20 tareas, Threat Prevention Análisis completos y rápidos, acerca de 55 Y Threat Prevention Yahoo istrar 63 iconos de seguridad 164 análisis bajo demanda, acerca de 91 motor de búsqueda compatible 164 análisis bajo demanda, configurar 90

216


Guía del producto

Índice

Yahoo (continuación) motor de búsqueda predeterminado 168


Guía del producto

217

0-02

Ens_1050_help_0-02_es-es.pdf 3yg5n

Overview 4q3b3c

More details 26j3b

More Documents from "JUAN PORTILLA" sl39

Tiempo De Coagulacion Y Sangria, Curso Bioquimica 181a1a

Ens_1050_help_0-02_es-es.pdf 3yg5n

Ntc 6047 (resumen General) 5u2e4x

Fundamentos De Lubricacion 5xtw

G480 Cb8x4 Heavy Tipper_1 4y1gk

Partes De La Cabeza Ingles 6g5j26