Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4. Guía de aplicación de parches y seguridad

Transcripción

1 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4 Guía de aplicación de parches y seguridad Octubre de 2012

2 Dell Inc. Todos los derechos reservados. La reproducción de estos materiales de cualquier manera sin el consentimiento escrito de Dell Inc. está estrictamente prohibida. Dell y el logo de DELL son marcas comerciales de Dell Inc. Es posible que se utilicen otras marcas y nombres comerciales en este documento para referirse a las entidades que se adjudican las marcas y nombres de sus productos. Dell Inc. rechaza cualquier interés de propiedad sobre las marcas y nombres comerciales, excepto los propios. 2 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

3 Contenido 1 Introducción al componente de administración de parches 7 Acerca del componente Administración de parches Flujo de trabajo de la aplicación de parches Acerca de los archivos de firma para parches Acerca de los paquetes de parches Acerca de las pruebas y la seguridad de parches Acerca del entorno de pruebas de parches Acerca de las pruebas de evaluación Acerca de las pruebas de implementación Mejores prácticas para la aplicación de parches Revisión de parches antes de implementarlos Prueba de parches antes de implementarlos Use las etiquetas para organizar máquinas y parches Use Windows Update o el dispositivo K1000 para aplicar parches a los sistemas operativos Windows Minimización del tiempo de inactividad durante la aplicación de parches Notificación a usuarios cuando se están aplicando parches a las máquinas Establecimiento de límites de tiempo para trabajos de aplicación de parches para reducir el impacto en los usuarios Uso de recursos compartidos de replicación para optimizar recursos de la red Búsqueda de información en la base de conocimientos de Dell KACE Uso de ITNinja.com para conectarse con otros profesionales de TI Suscripción y descarga de parches 15 Acerca de la suscripción a parches y las descargas Aplicaciones que K1000 debe admitir por contrato Información general del flujo de trabajo de la primera suscripción a parches Recopilación de información sobre sistemas operativos y aplicaciones instalados Suscripción a parches Selección de los ajustes de descarga de parches Visualización de los parches disponibles Visualización del estado de la descarga de parches Creación y administración de programas de aplicación de parches 27 Cómo programar parches críticos del sistema operativo para equipos de escritorio y servidores Flujo de trabajo para parches críticos del sistema operativo para equipos de escritorio y servidores Cómo programar parches críticos para equipos portátiles Flujo de trabajo para parches críticos en equipos portátiles Cómo programar parches no críticos Cómo utilizar las etiquetas inteligentes para la aplicación de parches Creación de etiquetas inteligentes para parches Creación de una etiqueta inteligente para parches críticos del sistema operativo Creación de una etiqueta inteligente para parches nuevos Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 3

4 Contenido Creación de etiquetas inteligentes para máquinas Creación de una etiqueta inteligente para equipos de escritorio Creación de una etiqueta inteligente para servidores Creación de una etiqueta inteligente para equipos portátiles Creación de programas de parches Edición de programas de parches Supervisión del estado de la aplicación de parches Visualización del estado de parches Visualización del estado del parche por máquina Búsqueda de paquetes individuales dentro de los parches Visualización de informes de parches Visualización de los parches no programados Administración de la reversión de parches Determinación de la reversión de un parche Deshacer la última aplicación del parche Administración del inventario de parches 53 Requisitos previos Visualización de la página Lista de parches Información sobre la página Lista de parches Estado del parche Estado de implementación y detección Tamaño de caché de parche Marca de parches como inactivos Ocultamiento de parches que no cumplen con los criterios de suscripción Visualización de la información sobre parches para los equipos en inventario Visualización de estadísticas de parches Visualización del registro de parches Implementación y administración del navegador seguro de Dell KACE 61 Acerca del navegador seguro de Dell KACE Versiones disponibles del navegador seguro Requisitos de software del sistema Descarga e instalación manual del navegador seguro Descarga y distribución del navegador seguro desde el dispositivo Incorporación de un navegador seguro a la biblioteca de software Creación de un elemento en la biblioteca de software para el navegador seguro Administración del Navegador seguro que utiliza el K Exportación del archivo de configuración de aislamiento Generación de un paquete MSI del Navegador seguro personalizado Administración centralizada de los ajustes del navegador seguro Control del uso del navegador seguro por parte de los usuarios Controlar qué sitios web puede visitar un usuario Cómo restablecer un navegador seguro a su configuración original Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

5 Contenido Apagado del navegador seguro en una máquina administrada Recursos adicionales Utilización de las funciones de seguridad de OVAL 75 Utilización de los controles de seguridad de OVAL Comprensión de las definiciones de OVAL Visualización de definiciones de OVAL Acerca de las definiciones de las pruebas de OVAL Ejecución de las pruebas de OVAL Utilización de etiquetas para restringir las pruebas de OVAL Comprensión de las actualizaciones de OVAL Configuración de ajustes de OVAL Especificación de ajustes de OVAL Utilización del informe sobre vulnerabilidad Acceso a los informes sobre vulnerabilidad de OVAL Cómo aplicar una etiqueta a las máquinas afectadas Visualización de todos los informes informáticos de OVAL Acceso a informes informáticos de OVAL Creación de políticas de seguridad Creación de políticas de seguridad basadas en Windows Creación de scripts para aplicar ajustes de Internet Explorer Creación de scripts para aplicar ajustes del firewall de XP SP Creación de scripts para aplicar ajustes de programas no permitidos Creación de scripts para aplicar ajustes de McAfee AntiVirus Configuración de scripts para el Actualizador de McAfee SuperDAT Creación de scripts para aplicar ajustes de Symantec Antivirus Creación de scripts para la política de cuarentena Creación de scripts para la política Acción terminar cuarentena Creación de políticas de seguridad basadas en Mac OS Creación de scripts para Aplicar ajustes del firewall Creación de scripts para Aplicar controles parentales Creación de scripts para Aplicar ajustes de seguridad Utilización de SCAP 95 Información general Plataformas compatibles con SCAP Definiciones Más información sobre el protocolo de automatización del contenido de seguridad (SCAP) Acerca de los bancos de pruebas Como funciona un análisis de SCAP Información general de la ficha Análisis de SCAP Ver bancos de pruebas Importar y cargar un banco de pruebas Programa de análisis de SCAP Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 5

6 Contenido Editar un programa de análisis de SCAP Ver los archivos XCCDF resueltos Ver la marca de tiempo de OVAL Ver tareas de script Resultados del análisis de SCAP Obtener el archivo del banco de pruebas Acceder al archivo del banco de pruebas Índice Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

7 1 Introducción al componente de administración de parches En esta sección se suministra información general sobre el componente de administración de parches del dispositivo de administración K1000. Temas de esta sección: Acerca del componente Administración de parches en la página 7 Flujo de trabajo de la aplicación de parches en la página 7 Acerca de los archivos de firma para parches en la página 8 Acerca de los paquetes de parches en la página 9 Acerca de las pruebas y la seguridad de parches en la página 9 Mejores prácticas para la aplicación de parches en la página 10 Acerca del componente Administración de parches El componente Administración de parches permite detectar e implementar los parches de seguridad y las actualizaciones de software más recientes e importantes en las máquinas con Windows y Macintosh que administra. Esto aumenta la seguridad, y protege a sus máquinas y a su red de vulnerabilidades. El componente Administración de parches solo se admite en máquinas que ejecutan los sistemas operativos Windows y Macintosh. La administración de parches no está disponible para máquinas que ejecutan los sistemas operativos Linux. Flujo de trabajo de la aplicación de parches El flujo de trabajo de la aplicación de parches implica estas tareas: 1. Suscripción a los parches que desea descargar. Si el componente Organización está instalado en su dispositivo, puede establecer los ajustes de suscripción para cada organización por separado. Otros detalles del flujo de trabajo están disponibles para la primera suscripción de parches. Consulte Suscripción a parches en la página Selección de los ajustes de descarga de parches en la página Ajustes de K1000: Aplicación de parches. Consulte Selección de los ajustes de descarga de parches en la página 20. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 7

8 1 Introducción al componente de administración de parches 3. Creación de etiquetas inteligentes para agrupar máquinas para aplicación de parches y parches para implementar. Consulte Creación de etiquetas inteligentes para parches en la página Creación de programas de parches para detectar e implementar paquetes. Si el componente Organización está instalado en su dispositivo, puede crear programas de parches para cada organización por separado. Consulte Creación de programas de parches en la página 36. La Figura 1-1 ilustra este flujo de trabajo. Figura 1-1: Flujo de trabajo de la aplicación de parches Los archivos de firma para los parches a los que se haya suscrito se descargan al dispositivo desde Lumension. Los paquetes de parches se descargan desde Lumension y desde proveedores de software. Las etiquetas inteligentes agrupan los parches descargados. Las etiquetas inteligentes seleccionan las máquinas a las que se aplicarán parches. Las máquinas que necesitan el parche se detectan de acuerdo con un programa.? Los parches se implementan en las máquinas de acuerdo con un programa. Acerca de los archivos de firma para parches Los archivos de firma para parches incluyen boletines de seguridad y otros archivos que definen parches. No incluyen los paquetes de parches que se utilizan para instalar parches. Los archivos de firma para parches se descargan desde Lumension de acuerdo con la suscripción y las opciones de descarga seleccionadas. Para obtener más información sobre la descarga de archivos de firma para parches, consulte Selección de los ajustes de descarga de parches en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

9 Introducción al componente de administración de parches 1 Acerca de los paquetes de parches Los paquetes de parches son los archivos requeridos para instalar parches. Los paquetes de parches se descargan desde Lumension de acuerdo con la suscripción y las opciones de descarga seleccionadas. En algunos casos, los paquetes de parches también se descargan directamente desde los proveedores, como Microsoft y Adobe. Hay dos opciones para descargar paquetes de parches: Descargar solo aquellos parches necesarios: Puede elegir descargar solo aquellos paquetes que se han detectado como requeridos por las máquinas que administra. Esto reduce el tiempo de descarga y el espacio en el disco, porque el dispositivo solo descarga aquellos paquetes que se detectan como requeridos. Además, puede elegir eliminar parches automáticamente después de un período específico si los resultados de detección muestran que no son necesarios. Mantenimiento de memoria caché completa de parches: Puede elegir mantener la caché completa de parches independientemente de si son requeridos por las máquinas que administra. Esto hace que los paquetes estén disponibles para su rápida implementación, pero requiere mayor tiempo de descarga y espacio en el disco que al descargar solo aquellos paquetes necesarios. Para obtener más información sobre las opciones de descarga de parches, consulte Selección de los ajustes de descarga de parches en la página 20. Acerca de las pruebas y la seguridad de parches Dell KACE colabora con Lumension Security, Inc. para suministrar firmas de parches seguras, oportunas y de alta calidad para todos los sistemas operativos más importantes y muchas aplicaciones populares. Antes de que las firmas de parches estén disponibles para el dispositivo, Lumension realiza los siguientes controles de seguridad: Verificación de los metadatos de parches producidos por cada equipo de desarrollo de contenidos. Validación de los procesos de instalación y desinstalación de parches. Confirmación de que el parche no altera la estabilidad de los sistemas operativos y las aplicaciones de destino. Además, Dell KACE realiza un control de estado de las fuentes de los parches después de que finalizan las pruebas de seguridad de Lumension. Para obtener más información, busque Lumension en Acerca del entorno de pruebas de parches La seguridad incorporada de Lumension utiliza VMWare ESX, vcenter Lab Manager y bancos de prueba de hardware personalizados. Los métodos de prueba incluyen: Verificación de que las convenciones de asignación de nombres a los parches cumplan con la política de Lumension. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 9

10 1 Introducción al componente de administración de parches Verificación de que el contenido del parche sea compatible con el proceso de replicación. Cada parche creado por el equipo de contenido es validado con los productos de distribución y del servidor de actualizaciones de Symantec Ghost Solution Suite. Acerca de las pruebas de evaluación Las pruebas de evaluación verifican lo siguiente: Que una máquina aplicable sin parche aparezca como aplicable y sin parche. Que una máquina con parche aparezca como instalada y no aplicable. Que no existan falsos positivos en la detección de la huella digital. Que el contenido del parche cumpla con los parámetros básicos obligatorios. Que la vulnerabilidad se muestre correctamente en el servidor de actualizaciones. Que todas las etiquetas inteligentes, los filtros, la función de ordenación y otras funciones visuales funcionen correctamente. Acerca de las pruebas de implementación Las pruebas de implementación verifican lo siguiente: Que el paquete se pueda implementar. Que la función suprimir reinicio funcione. Que la función de desinstalación funcione. Que el almacenamiento en caché de paquetes a pedido funcione. Que la programación de implementación automática funcione. Que la descarga de paquetes de agentes funcione. Que la suma de comprobación de redundancia cíclica (CRC) garantice la integridad del paquete. Que el agente ejecute automáticamente la evaluación después de la implementación del parche. Que el agente se inicie automáticamente después del reinicio. Mejores prácticas para la aplicación de parches Dell KACE recomienda las siguientes mejores prácticas para la aplicación de parches. Revisión de parches antes de implementarlos Revise los parches nuevos antes de implementarlos en las máquinas. Cree un filtro para mostrar los nuevos parches activos que se han descargado al dispositivo de administración K1000 dentro de un período específico. Para obtener instrucciones, busque el artículo 814 de la base de conocimientos de Dell KACE en category. 10 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

11 Introducción al componente de administración de parches 1 Prueba de parches antes de implementarlos Pruebe los parches en las máquinas seleccionadas antes de implementarlos en todas las máquinas. Esto asegura que los parches no causen daños antes de que se implementen ampliamente. Al seleccionar las máquinas de prueba, busque las siguientes características: Máquinas cuyos usuarios son técnicamente sofisticados y pueden comunicar problemas efectivamente. Máquinas que tengan acceso a los sistemas y al software que reflejen el entorno de trabajo. Para una prueba exhaustiva, las máquinas deben funcionar con normalidad por, al menos, una semana después de haber aplicado los parches. Si no se informan problemas después de una semana, se puede implementar el parche en el resto de las máquinas de la red. Use las etiquetas para organizar máquinas y parches Puede usar etiquetas inteligentes para agrupar automáticamente las máquinas por tipo, como equipo portátil, equipo de escritorio y servidor. Además, puede usar las etiquetas inteligentes para agrupar automáticamente los parches por importancia, como parches críticos de sistema operativo y parches de menor prioridad para otras aplicaciones. Puede crear programas de aplicación de parches para que coincidan con cada tipo de máquina y parche. Para obtener más información, consulte: Creación de etiquetas inteligentes para parches en la página 31 Creación y administración de programas de aplicación de parches en la página 27. Use Windows Update o el dispositivo K1000 para aplicar parches a los sistemas operativos Windows Hay dos opciones para aplicar parches a los sistemas operativos Windows en máquinas administradas: Usar Windows Update: Windows Update es una función de Microsoft que descarga e instala actualizaciones para los sistemas operativos Windows. Si habilita Windows Update en máquinas administradas, utilice el componente Administración de parches de K1000 solo para detectar parches del sistema operativo Windows, no para implementarlos. Windows Update implementará los parches. Usar el dispositivo K1000: Puede descargar e implementar parches para los sistemas operativos Windows mediante el componente Administración de parches de K1000. Si lo hace, deshabilite Windows Update en las máquinas administradas, debido a que K1000 implementará los parches. El dispositivo K1000 le permite crear una política que especifica si las máquinas administradas usan Windows Update. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K1000. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 11

12 1 Introducción al componente de administración de parches Minimización del tiempo de inactividad durante la aplicación de parches Programe la implementación de parches durante los períodos en los que el uso de la máquina sea menor para minimizar el tiempo de inactividad. Tenga en cuenta que el uso de la máquina varía en función del tipo de máquina: Servidores: Requieren actualizaciones cuidadosas y bien promocionadas. Cuando aplique parches a servidores, necesitará tener un plan adelantado para varias semanas. Equipos de escritorio: Tienen opciones más flexibles para aplicar parches porque, por lo general, quedan en ejecución cuando no están en uso. Equipos portátiles: Son los más difíciles en lo que respecta a la aplicación de parches porque, por lo general, solo están disponibles para la aplicación de parches mientras se están usando. Para obtener más información sobre cómo crear programas de parches para cada tipo de máquina, consulte: Cómo programar parches críticos del sistema operativo para equipos de escritorio y servidores en la página 27 Cómo programar parches críticos para equipos portátiles en la página 28 Notificación a usuarios cuando se están aplicando parches a las máquinas Asegúrese de notificar a los usuarios cuando se están aplicando parches a las máquinas que utilizan. Esto es especialmente importante si se deben reiniciar las máquinas como parte del proceso de aplicación de parches. Existen diversas maneras de informar a los usuarios sobre los programas de aplicación de parches: Envío de correo electrónico o uso de otros sistemas de mensajería: Notifique a los usuarios por adelantado mediante correo electrónico y otros sistemas de mensajería ajenos a la Interfaz del administrador del dispositivo. Esto es especialmente útil cuando la aplicación de parches puede evitar el acceso a sistemas críticos, como servidores, durante un período. Envío de un mensaje de alerta desde el dispositivo: Use la Interfaz del administrador del dispositivo para crear una alerta y emitirla a todas las máquinas o a las máquinas seleccionadas. Estas alertas se pueden usar para recordar a los usuarios que la aplicación de parches está por comenzar. Para obtener más información acerca de la creación de alertas, consulte la sección sobre informes en la Guía para el administrador de K1000. Alertas durante la aplicación de parches: Cuando programe una aplicación de parches, elija alertar a los usuarios antes de aplicarlos y avisar a los usuarios antes de reiniciar sus máquinas. También puede habilitar a los usuarios para que posterguen o pospongan los reinicios en caso de ser necesario. Para obtener más información, consulte Creación de programas de parches en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

13 Introducción al componente de administración de parches 1 Para obtener más información sobre la programación de aplicación de parches para varias máquinas, consulte: Cómo programar parches críticos del sistema operativo para equipos de escritorio y servidores en la página 27 Cómo programar parches críticos para equipos portátiles en la página 28 Establecimiento de límites de tiempo para trabajos de aplicación de parches para reducir el impacto en los usuarios Los trabajos de aplicación de parches pueden requerir el uso extenso del ancho de banda y de los recursos. Para reducir el impacto en los usuarios, puede establecer límites de tiempo para los trabajos de aplicación de parches. Por ejemplo, puede configurar que los trabajos de aplicación de parches comiencen a las 4:00 y se detengan a las 7:00. Se suspenderá cualquier trabajo de aplicación de parches que esté en progreso a las 7:00. Los trabajos se reanudan donde quedaron cuando comienza el próximo trabajo de aplicación del parche programado. Para obtener más información, consulte Creación de programas de parches en la página 36. Uso de recursos compartidos de replicación para optimizar recursos de la red Use recursos compartidos de replicación para optimizar los requisitos de recursos de la red y el tiempo de descarga. Los recursos compartidos de replicación son máquinas que mantienen copias de archivos para su distribución, lo que puede ser útil para las máquinas cliente de K1000 que están implementadas en diferentes ubicaciones geográficas. Por ejemplo, con un recurso compartido de replicación, una máquina en Nueva York podría descargar archivos de parches desde otra máquina en la misma oficina, en lugar de descargarlos desde un dispositivo K1000 en Los Ángeles. Para obtener más información sobre la configuración y el uso de recursos compartidos de replicación, consulte la Guía para el administrador de K1000. Búsqueda de información en la base de conocimientos de Dell KACE Dell KACE cuenta con una base de conocimientos de artículos sobre el Dispositivo de administración K1000, a los que puede tener acceso en resources/kb/category. La base de conocimientos se actualiza continuamente con soluciones para problemas reales del dispositivo de administración K1000 con los que se encuentran los administradores. Para ver los artículos de aplicación de parches, ingrese a la base de conocimientos y busque Seguridad. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 13

14 1 Introducción al componente de administración de parches Uso de ITNinja.com para conectarse con otros profesionales de TI Patrocinado por Dell KACE, ITNinja.com (anteriormente AppDeploy.com) es un sitio web de comunidad enfocado en TI para todo tipo de productos. Es el destino preferido de Internet donde los profesionales de TI pueden compartir información y hacer preguntas acerca de los temas relacionados con la administración de sistemas. El sitio web ofrece una sección de preguntas y respuestas, una plataforma de blog e integración con el Dispositivo de administración K1000 a través de AppDeploy Live. 14 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

15 2 Suscripción y descarga de parches En esta sección se explica cómo suscribirse a parches y programar descargas de parches al dispositivo. Acerca de la suscripción a parches y las descargas en la página 15 Información general del flujo de trabajo de la primera suscripción a parches en la página 16 Recopilación de información sobre sistemas operativos y aplicaciones instalados en la página 17 Suscripción a parches en la página 17 Selección de los ajustes de descarga de parches en la página 20 Visualización de los parches disponibles en la página 24 Visualización del estado de la descarga de parches en la página 25 Acerca de la suscripción a parches y las descargas La suscripción a parches es el proceso de seleccionar los sistemas operativos y las aplicaciones para los que desea recibir parches. Si el componente Organización está habilitado en su dispositivo, debe seleccionar los ajustes de suscripción para cada organización por separado. Una vez que se suscribió a los parches, el Dispositivo de administración K1000 los descarga de acuerdo al programa que estableció para el dispositivo. Una vez que se descargaron los parches, puede probarlos e implementarlos. También puede elegir implementarlos de forma automática, pero esto se recomienda solo para parches de bajo riesgo o que sean importantes en lo que respecta al tiempo. Para obtener más información, consulte: Selección de los ajustes de descarga de parches en la página 20. Creación de etiquetas inteligentes para parches en la página 31. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 15

16 2 Suscripción y descarga de parches Aplicaciones que K1000 debe admitir por contrato Dell KACE tiene acuerdos contractuales con los siguientes proveedores de software para la descarga de parches al Dispositivo de administración K1000: Software Adobe Acrobat y Reader La familia Symantec de software antivirus Norton La familia McAfee de software antivirus Mozilla Firefox La familia Machine Associates etrust de software antivirus Aplicaciones de Microsoft Office Aplicaciones de Apple, como el software de QuickTime, itunes e ilife. Aplicaciones en entornos Java Aplicaciones TrendMicro Información general del flujo de trabajo de la primera suscripción a parches Las firmas de detección de parches y los paquetes de parches no se descargan de forma predeterminada al dispositivo; debe suscribirse a los parches que desea descargar y después programar un momento para su descarga. Para ahorrar ancho de banda de la red y espacio en disco, Dell KACE recomienda que primero descargue las firmas de definición de parches porque son mucho más pequeñas en tamaño que los paquetes de parches. Después, puede detectar los parches que necesita y seleccionar los ajustes de descarga que mejor funcionen para su red. Este es el flujo de trabajo de la primera suscripción a parches: 1. Recopilación de información: Identifique los sistemas operativos, los paquetes de idiomas y las aplicaciones instaladas en las máquinas que administra para saber a qué parches suscribirse. Puede encontrar esta información en la página Resumen del dispositivo como también mediante la ejecución de informes. Consulte Recopilación de información sobre sistemas operativos y aplicaciones instalados en la página Selección de los ajustes de suscripción a parches iniciales: Suscríbase a los sistemas operativos y a los idiomas requeridos por las máquinas que administra. Consulte Suscripción a parches en la página Descarga de firmas de detección de parches: Las firmas de detección de parches son archivos más pequeños que se pueden descargar rápidamente y que no requieren gran cantidad de espacio en disco. Descargue las firmas de detección de parches de los parches a los que se suscribe. Esto le permite ver los parches disponibles e identificar aquellos que desea descargar más tarde. Consulte Selección de los ajustes de descarga de parches en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

17 Suscripción y descarga de parches 2 4. Ejecución de una operación de solo detección de aplicación de parches: Programe un trabajo de solo detección de aplicación de parches para identificar los parches requeridos por las máquinas que administra. Esta es una operación que se realiza por única vez para mostrarle el tamaño que tendrá su primera operación de aplicación de parches y para proporcionarle algunas instrucciones sobre cómo asignar recursos según la disponibilidad del sistema para las instalaciones de parches y los reinicios. Para hacer esto, cree un programa de parches que detecte parches en todas las máquinas. Consulte Creación de programas de parches en la página Selección de los ajustes de descarga de los paquetes de parches: Una vez que identificó los paquetes de parches que necesita, establezca una hora para que se realicen las descargas de estos. Consulte Selección de los ajustes de descarga de parches en la página 20. Recopilación de información sobre sistemas operativos y aplicaciones instalados Identifique los sistemas operativos, los paquetes de idiomas y software instalados en máquinas que administra para saber a qué parches suscribirse. Para recopilar información acerca de los sistemas operativos y las aplicaciones instalados 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Inicio. Aparece la página Resumen de K Desplácese hasta la parte inferior de la página Resumen y, a continuación, haga clic en Ver detalles. Aparece la página Detalles del resumen de K1000. La tabla Estadísticas del equipo muestra los sistemas operativos de las máquinas administradas. 4. En la tabla Estadísticas de software, haga clic en Títulos de software. El dispositivo ejecuta un informe que muestra el software instalado en las máquinas administradas. Para obtener más información acerca de la ejecución de informes, consulte la sección sobre informes en la Guía para el administrador de K1000. Suscripción a parches Suscríbase a los parches y configure los ajustes de descarga como se describe en esta sección. Antes de suscribirse y descargar los parches, identifique los sistemas operativos y las aplicaciones instalados en las máquinas que administra y verifique los requisitos para la aplicación de parches. Para obtener más información, consulte Información general del flujo de trabajo de la primera suscripción a parches en la página 16. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 17

18 2 Suscripción y descarga de parches Para suscribirse a parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Ajustes de suscripción. Aparece la página Ajustes de K1000: Suscripción de parches. 4. Haga clic en Modo Edición. 5. Seleccione los sistemas operativos de las máquinas que administra. El siguiente ejemplo muestra todos los sistemas operativos Windows Vista y Windows XP seleccionados. Las Plataformas actuales se actualizan una vez que guarda estos ajustes. 6. Especifique los siguientes ajustes: Opción Idiomas Descripción Los idiomas de las máquinas que administra. Para seleccionar varios idiomas, presione la tecla Ctrl o Comando y a continuación haga clic en los idiomas que desea seleccionar. 18 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

19 Suscripción y descarga de parches 2 Opción Descargar parches de la aplicación Incluir instaladores de software Limitar la descarga de parches a las etiquetas seleccionadas Descripción De manera opcional, puede incluir parches de software y de sistema operativo en su suscripción. Nota: Algunos parches de aplicación tienen la capacidad tanto de instalar aplicaciones en las máquinas como de actualizar las que ya están instaladas. Para evitar que la aplicación se instale en máquinas que ya la tienen, puede crear una etiqueta inteligente para identificar las máquinas que tienen la aplicación. Puede utilizar esa etiqueta para programar la implementación del parche y aplicarlo únicamente a las máquinas que ya tienen la aplicación instalada. De manera opcional, puede suscribirse a instaladores de software además de la suscripción a actualizaciones de aplicaciones. Los instaladores de software se utilizan para implementar aplicaciones en cualquier máquina independientemente de si hay una versión previa instalada. Si solo desea implementar las actualizaciones en las máquinas que ya tienen la aplicación instalada, no seleccione esta opción. Si se suscribe a los instaladores de software, es posible que desee: Excluir estos parches de otras etiquetas de aplicación de parches Crear un conjunto separado de etiquetas y programas de parches para implementar de forma selectiva ciertas aplicaciones usando los instaladores completos. En la página Lista de parches, aparece la palabra Software en la columna Impacto para los instaladores de software. Para actualizaciones de aplicaciones que no incluyen instaladores, aparece la palabra Crítico o Recomendado en la columna Impacto. De manera opcional, puede descargar solo aquellos parches que coinciden con las etiquetas seleccionadas. Esto es importante si el espacio en disco es limitado; si el espacio total en disco necesario para los parches seleccionados excede el espacio disponible en K1000, los parches no se pueden descargar. Nota: Si el dispositivo se queda sin espacio en disco, aparece el mensaje, No hay espacio disponible cuando hace clic en Actualizar aplicación de parches en la sección Actualizar parches de KACE. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 19

20 2 Suscripción y descarga de parches Opción Ocultar parches deshabilitados en la lista de parches Permitir la detección de parches deshabilitados Desactivar automáticamente todos los parches nuevos Desactivar automáticamente los parches reemplazados Descripción De manera opcional, puede evitar que los parches deshabilitados, que son aquellos que no cumplen con los criterios de plataforma, idioma, etiqueta, entre otros criterios de suscripción, aparezcan en la página Lista de parches. De manera opcional, puede habilitar el dispositivo para que identifique los parches deshabilitados cuando ejecuta una operación de detección. Si esta opción se encuentra seleccionada, las firmas para los parches deshabilitados se descargan solo para fines de detección. Los parches no se pueden implementar a menos que cumplan con los criterios de suscripción. De manera opcional, puede marcar todos los parches nuevos como inactivos. Esto evita que los parches se implementen de forma automática y le permite probarlos antes de implementarlos. Si está opción no está seleccionada, los parches que coincidan con un programa de implementación se implementarán de forma automática. De manera opcional, puede marcar los parches reemplazados con una X roja en la página Lista de parches. 7. Haga clic en Guardar. Los sistemas operativos e idiomas seleccionados aparecen en negrita debajo de los campos de selección. Los parches seleccionados se descargan de forma automática en el próximo momento de descarga programado. Después de la próxima descarga, los parches que se descargaron previamente pero que se identificaron en la página Lista de parches con una X gris porque no coincidían con los ajustes de suscripción, aparecen con una X roja si ahora coinciden con los ajustes de suscripción. Selección de los ajustes de descarga de parches Los parches a los que se suscribe se descargan al dispositivo según los ajustes que seleccionó. Tenga presente que la primera descarga de parches puede consumir una gran cantidad de ancho de banda de la red. En esta sección se explica cómo programar las descargas de parches. Para programar la detección y la implementación de parches para las máquinas que administra, consulte Creación y administración de programas de aplicación de parches en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

21 Suscripción y descarga de parches 2 Para programar la descarga de parches 1. Si el componente Organización está habilitado en el dispositivo, seleccione System de la lista desplegable que se encuentra en la esquina superior derecha de la página y, luego, haga clic en Ajustes de K1000. De lo contrario, haga clic en Ajustes. Aparece la página Ajustes de K1000: Panel de control. 2. Haga clic en Ajustes de parches. Aparece la página Ajustes de K1000: Aplicación de parches. 3. Haga clic en Modo Edición. 4. Seleccione la opción Descargar nuevas firmas de parches. Las firmas de parches incluyen los boletines de seguridad y otros archivos que definen a los parches descargados desde Lumension. Opción Deshabilitar la descarga de firmas de detección de parches Descargar cada Descargar el día de cada mes o de un mes específico a las HH:MM Descripción Evite la descarga de firmas de parches. Seleccione el día para descargar firmas de detección de parches todos los días o elija un día de la semana para realizar la descarga semanalmente. Seleccione la hora para iniciar la descarga. La hora se muestra en formato de 24 horas, donde 1 es 1:00 a.m. y 23 es 11:00 p.m. Nota: Cuando se ajustan las descargas de parches, la hora es importante. El registro de actividad del dispositivo se crea a las 00:30 y las tareas de mantenimiento se realizan entre la 1:00 y la 1:30. Dell KACE recomienda que programe las descargas de parches para que ocurran después de realizado el registro y de que las tareas de mantenimiento se hayan completado, lo cual es alrededor de las 3:00. Seleccione el día de cada mes en que desea descargar las firmas de detección de parches. 5. Seleccione Opciones de descarga de paquete. Los paquetes incluyen los instaladores que se necesitan para instalar los parches y se descargan de forma directa desde varios proveedores como Microsoft y Adobe. Opción Deshabilitar la descarga de paquetes de implementación de parches Descripción Evite la descarga de paquetes de parches. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 21

22 2 Suscripción y descarga de parches Opción Mantener la memoria caché de los paquetes suscritos completa en K1000 Determinar los paquetes que se descargarán mediante los resultados de la detección Descripción Mantener la memoria caché de los paquetes suscritos completa en el Dispositivo de administración K1000. Esto descarga todos los paquetes de implementación a los que se suscribe sin verificar si el entorno en realidad los necesita. Es importante que algunos entornos mantengan la memoria caché completa. Por ejemplo, si selecciona la opción Destino sin conexión u Origen conectado en el paso 8, a continuación, se requiere almacenamiento en caché completo. Para obtener más información sobre los ajustes de suscripción, consulte Suscripción a parches en la página 17. Habilite el dispositivo para que determine qué paquetes descargar según los resultados de las operaciones de detección. Si se ha detectado una firma de detección de parches como Sin parche en cualquier máquina administrada, el paquete de parches se descarga. Si no se detectan máquinas administradas como Sin parche, no se descargan paquetes para este parche. 6. En la sección Programa de descarga de paquetes, seleccione una de las siguientes opciones: Opción Ejecutar después de la descarga de firmas Ejecutar cada Descripción Descargue paquetes después de que se descargaron las firmas. Esta opción no está disponible si la descarga del paquete esta deshabilitada en la sección Opciones de descarga de paquete. Especifique la frecuencia con la que se descargarán las firmas y los paquetes. Esta opción está disponible solo si la opción Determinar los paquetes que se descargarán mediante los resultados de la detección en la sección Opciones de descarga de paquete está seleccionada. 22 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

23 Suscripción y descarga de parches 2 7. En la sección Detener la descarga de parches, seleccione una de las siguientes opciones: Opción Permitir que se complete la descarga de parches No descargar paquetes entre Descripción Permita que las descargas se completen independientemente de cuánto demoren. Si selecciona esta opción, el dispositivo continúa descargando parches hasta que se completa el proceso de descarga. Además, el dispositivo lleva a cabo verificaciones de validación y descarga las firmas de detección de parches y paquetes, según se especifique en los resultados de detección y los ajustes de descarga de paquetes. Especifique un período durante el cual no se pueden descargar las firmas de detección de parches. Por ejemplo, utilice una hora de detención temprano en la mañana para evitar que el proceso consuma una gran cantidad de ancho de banda de la red durante el horario laboral. Si selecciona esta opción, el dispositivo detiene las descargas de parches al momento especificado. No se reinician las descargas sino hasta la próxima hora de descarga especificada. Cuando la descarga se reanuda, comienza desde donde se detuvo. Las descargas que están incompletas pueden no aparecer en la página Lista de parches. 8. Seleccione Opciones de actualización sin conexión para especificar qué hacer si el Dispositivo de administración K1000 está desconectado en el momento en que está programado el inicio del proceso de actualización. Opción No habilitadas Destino desconectado Origen conectado Descripción Si las opciones de actualización sin conexión están habilitadas o deshabilitadas. Desactive esta casilla de verificación si el dispositivo está conectado a Internet y puede descargar parches de forma directa. El destino sin conexión que se utilizará si el dispositivo no está conectado a Internet y si desea cargar los archivos de parches desde un directorio local. Si tiene un dispositivo K1000 que está conectado a Internet, puede configurar el dispositivo como un Origen sin conexión. Después, puede copiar manualmente los archivos de parche del recurso compartido de archivos de parches de origen sin conexión al siguiente directorio en el destino sin conexión: \\k1000_host\patches. Si el dispositivo se utiliza como un origen para un dispositivo diferente. Cuando se selecciona esta opción, los archivos de parche se descargan al recurso compartido de parches del dispositivo. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 23

24 2 Suscripción y descarga de parches 9. Especifique los siguientes ajustes: Opción Actualizar parches de KACE Eliminar todos los archivos de parches Opciones de limpieza de caché Purgar de forma automática los parches no utilizados de la memoria caché después de: días Descripción Haga clic en Actualizar aplicación de parches para descargar de forma inmediata los parches a los que se ha suscrito, independientemente del programa. Haga clic en Eliminar todos los archivos de parches para eliminar de forma inmediata todos los archivos de parches del dispositivo. Esto puede ser útil si ya no necesita parches y desea recuperar rápidamente el espacio en disco que utilizan. Purgar parches activos que se han detectado como sin parche y que no se han implementado en la cantidad de días especificada. Esto ayuda a reducir la cantidad de espacio en disco que se necesita para parches en el dispositivo. Nota: Los parches inactivos y deshabilitados se eliminan de forma automática de la memoria caché cuando se ejecuta la descarga de parches. 10. Haga clic en Guardar los ajustes de parches. Visualización de los parches disponibles Una vez que descargó las firmas de detección de parches, puede revisar los parches disponibles y establecer los filtros adecuados de descarga de parches para descargar solo aquellos que necesita. Por ejemplo, puede tener una sola aplicación antivirus instalada en su red, así que no necesita parches tanto de McAfee como de Symantec. En los ajustes de suscripción, puede excluir uno o el otro. Para ver los parches disponibles 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Para buscar parches, haga clic en la ficha Búsqueda avanzada arriba de la lista, a la derecha. Aparece el panel Búsqueda avanzada. 5. En el menú Tipo de parche, seleccione Aplicación. 6. Haga clic en Buscar. 24 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

25 Suscripción y descarga de parches 2 Visualización del estado de la descarga de parches Una vez que programó las descargas de parches, puede ver el estado de las descargas. Para ver el estado de la descarga de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Realice una de las siguientes acciones: En la lista desplegable Ver por ubicada en la esquina superior derecha de la página, seleccione Estado de la descarga> Descargado o Estado de la descarga> No descargado. Haga clic en la ficha Búsqueda avanzada arriba de la lista, a la derecha, después utilice la lista desplegable Estado de la descargapara realizar la búsqueda. Para obtener más información, consulte Estado del parche en la página 54. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 25

26 2 Suscripción y descarga de parches 26 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

27 3 Creación y administración de programas de aplicación de parches En esta sección se describe cómo administrar los programas de aplicación de parches que detectan, implementan y revierten parches a los que se haya suscrito. Para obtener información sobre la suscripción a parches, consulte Suscripción y descarga de parches en la página 15. Temas de esta sección: Cómo programar parches críticos del sistema operativo para equipos de escritorio y servidores en la página 27 Cómo programar parches críticos para equipos portátiles en la página 28 Cómo programar parches no críticos en la página 29 Cómo utilizar las etiquetas inteligentes para la aplicación de parches en la página 30 Creación de etiquetas inteligentes para parches en la página 31 Creación de etiquetas inteligentes para máquinas en la página 33 Creación de programas de parches en la página 36 Edición de programas de parches en la página 48 Supervisión del estado de la aplicación de parches en la página 49 Visualización de informes de parches en la página 50 Visualización de los parches no programados en la página 50 Administración de la reversión de parches en la página 51 Cómo programar parches críticos del sistema operativo para equipos de escritorio y servidores En esta sección se explica cómo instalar de forma automática parches críticos del sistema operativo en equipos de escritorio y servidores. Los equipos de escritorio generalmente son menos cruciales que los servidores y menos móviles que los equipos portátiles; por lo tanto, es más sencillo programar un horario para aplicarles un parche. Por lo general, puede programar actualizaciones de rutina para las primeras horas de la mañana antes de que lleguen los usuarios. Los servidores ejecutan servicios críticos necesarios para la organización. Programe la aplicación de parches en servidores por adelantado y advierta a los usuarios sobre la Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 27

28 3 Creación y administración de programas de aplicación de parches interrupción temporal del servicio que requiere la aplicación de parches. Envíe los parches del servidor durante las primeras horas de la mañana o en otros horarios en los que haya la menor cantidad de usuarios que necesiten los recursos del servidor. Flujo de trabajo para parches críticos del sistema operativo para equipos de escritorio y servidores Identifique los equipos de escritorio: Cree una etiqueta inteligente que identifique todas las máquinas que son equipos de escritorio. Esto excluye los servidores y equipos portátiles. Consulte Creación de una etiqueta inteligente para equipos de escritorio en la página 33. Identifique los servidores: Cree una etiqueta inteligente que identifique todos los servidores. Creación de una etiqueta inteligente para equipos de escritorio en la página 33. Identifique parches críticos del sistema operativo: Cree una etiqueta inteligente que identifique todos los parches críticos del sistema operativo. Consulte Creación de una etiqueta inteligente para parches críticos del sistema operativo en la página 31. Programe acciones de detección e implementación: Programe un trabajo de detección e implementación que identifique si las máquinas de la etiqueta inteligente deben actualizarse, que implemente parches críticos en ellas y que fuerce un reinicio si es necesario. Consulte Creación de programas de parches en la página 36. Implemente parches a servidores de forma individual: Programe un trabajo que implemente parches a servidores según sea necesario. Consulte Creación de programas de parches en la página 36. Notifique a los usuarios: Cuando programe la aplicación de parches, asegúrese de notificar a los usuarios acerca de la programación para que sepan cuándo se aplicarán parches en las máquinas que utilizan. Esto es especialmente importante si las máquinas deben reiniciarse y quizás no estén disponibles durante el proceso de aplicación de parches. Puede notificar a los usuarios mediante un correo electrónico y otros servicios de mensajería ajenos a la Interfaz del administrador del dispositivo. Para obtener más información, consulte Notificación a usuarios cuando se están aplicando parches a las máquinas en la página 12. Cómo programar parches críticos para equipos portátiles Como, por lo general, los equipos portátiles están apagados o fuera de la red, es difícil encontrar un buen momento para aplicar un parche en ellos. Las dos opciones más populares para aplicar parches en los equipos portátiles son el inicio del día laboral o durante el almuerzo. La mayoría de los clientes de Dell KACE aplican los parches a los equipos portátiles con dos programas, uno para la detección y uno para la implementación. 28 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

29 Creación y administración de programas de aplicación de parches 3 Flujo de trabajo para parches críticos en equipos portátiles Para configurar acciones automáticas de detección e implementación: Identifique parches críticos: Cree una etiqueta inteligente de parche para identificar automáticamente los parches críticos para equipos portátiles. Consulte Creación de etiquetas inteligentes para parches en la página 31. Programe acciones de detección: Cree y ejecute un programa para detectar parches críticos periódicamente en los equipos portátiles. Consulte Creación de programas de parches en la página 36. Programe acciones de implementación: Cree y ejecute un programa para implementar parches críticos periódicamente en los equipos portátiles. Consulte Creación de programas de parches en la página 36. Compruebe el estado de la aplicación de parches: Compruebe periódicamente el estado de la aplicación de parches mediante informes y el parche. Consulte Visualización de los parches no programados en la página 50. Notifique a los usuarios: Notifique a los usuarios acerca del programa de aplicación de parches. Cómo programar parches no críticos Para programar parches no críticos: Detecte los parches: Cree un programa de aplicación de parches para detectar parches en todas las máquinas y así determinar el tamaño del trabajo de aplicación de parches. Consulte Creación de programas de parches en la página 36. Desactive los parches: Si hay parches que no desea implementar, márquelos como Inactivo. Pruebe los parches: Cree un programa para detectar e implementar parches para las máquinas de prueba. Consulte Creación de programas de parches en la página 36. Identifique los parches para equipos de escritorio y servidores: Cree una etiqueta inteligente de parche para capturar automáticamente los parches que se implementarán en los servidores. Consulte Creación de etiquetas inteligentes para parches en la página 31. Detecte e implemente parches de equipos de escritorio y servidores (consulte Creación de programas de parches en la página 36): Cree un programa para detectar e implementar periódicamente parches en los equipos de escritorio. Cree un programa para detectar e implementar periódicamente parches en los servidores. Detecte e implemente parches de equipos portátiles (consulte Creación de programas de parches en la página 36): Cree un programa para detectar parches periódicamente en los equipos portátiles. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 29

30 3 Creación y administración de programas de aplicación de parches Cree un programa para implementar parches periódicamente en los equipos portátiles. Compruebe el estado de la aplicación de parches: Compruebe el estado de aplicación de parches periódicamente. Consulte Supervisión del estado de la aplicación de parches en la página 49. Cómo utilizar las etiquetas inteligentes para la aplicación de parches Las etiquetas inteligentes son un tipo de etiqueta que se puede aplicar y eliminar automáticamente en función de los criterios que se especifiquen. Por ejemplo, para hacer un seguimiento de los equipos portátiles de una oficina específica, puede crear una etiqueta denominada "Oficina de San Francisco" y crear una etiqueta inteligente basada en la subred o el intervalo de direcciones IP para las máquinas ubicadas en la oficina de San Francisco. Cada vez que se registra una máquina que coincide con el intervalo de direcciones IP, se aplica automáticamente la etiqueta inteligente "Oficina de San Francisco". Cuando la máquina abandona el intervalo de direcciones IP, la etiqueta se elimina automáticamente. Puede utilizar etiquetas inteligentes para agrupar parches y máquinas de forma automática. También puede etiquetar parches y máquinas de forma manual, pero las etiquetas inteligentes generalmente son mejores porque se aplican automáticamente. Por ejemplo, puede crear una etiqueta inteligente de parche que busque coincidencias con todos los parches para el servidor de Windows XP. Cada vez que hay un parche nuevo para el servidor de Windows XP disponible para el Dispositivo de administración K1000, se agrega a la etiqueta. Si configura un programa de aplicación de parches para detectar e implementar en máquinas con esta etiqueta automáticamente, se aplica automáticamente a los servidores de Windows XP. Puede crear un esquema de etiquetado que organice los parches por sistema operativo e importancia, como P (patch)_<operating_system>_<importance>. Por ejemplo: P_Vista P_Vista_Critical P_Vista_Important P_MS_Office P_Leopard P_Mac10.4_Critical_Test De manera similar, crea etiquetas inteligentes de máquina para especificar las máquinas en las que desea instalar los parches: P_OS_Servers para la etiqueta de servidor M_Servers para capturar todos los servidores El Dispositivo de administración K1000 evalúa la información que proporcionan los agentes al registrarse y aplica etiquetas inteligentes de máquinas si los datos coinciden con los criterios de la etiqueta. 30 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

31 Creación y administración de programas de aplicación de parches 3 Las etiquetas inteligentes de parches se aplican inmediatamente a los parches existentes que cumplen con los criterios. La etiqueta se agrega a los parches nuevos que cumplen con los criterios cuando se los descarga. Consulte la Guía para el administrador de K1000 para obtener información detallada sobre las etiquetas, incluidas las etiquetas inteligentes y los grupos de etiquetas, y sobre cómo usar etiquetas en otros componentes del dispositivo. Creación de etiquetas inteligentes para parches Creación de una etiqueta inteligente para parches críticos del sistema operativo Para crear una etiqueta inteligente para parches críticos del sistema operativo 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. Si no tiene parches disponibles en su Dispositivo de administración K1000, consulte Selección de los ajustes de descarga de parches en la página 20. Si no se ha suscrito a los parches, consulte Suscripción y descarga de parches en la página Haga clic en la ficha Crear etiqueta inteligente en el lado derecho de la página. Aparece el formulario Crear etiqueta inteligente. 5. Escriba los criterios de búsqueda que capturen parches activos y críticos de sistema operativo Windows: Estado = Activo Y Impacto = Crítico Y Sistema operativo = Windows Y Tipo de parche = OS 6. Haga clic en Probar etiqueta inteligente. Se mostrarán los elementos que coincidan con los criterios de búsqueda. 7. Ajuste los criterios según sea necesario hasta que los resultados sean los esperados. 8. Escriba un nombre para el parche, como Crítico_Sistema_Operativo_Windows. 9. Haga clic en Crear etiqueta inteligente. La etiqueta inteligente se aplica a los parches existentes que cumplen con los criterios. La etiqueta se agrega a los parches nuevos que cumplen con los criterios cuando se los descarga. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 31

32 3 Creación y administración de programas de aplicación de parches 10. Para ver grupos de etiquetas, seleccione Mostrar grupos de etiquetas en el menú Elegir acción. Se muestran los grupos de etiquetas y [grupos ocultos] se elimina del encabezado de la columna. 11. Para ocultar grupos de etiquetas, seleccione Ocultar grupos de etiquetas en el menú Elegir acción. Los grupos de etiquetas no se muestran y [grupos ocultos] aparece en el encabezado de la columna. Creación de una etiqueta inteligente para parches nuevos Las etiquetas inteligentes pueden utilizarse para identificar rápidamente parches nuevos que deben implementarse. Para crear una etiqueta inteligente para parches nuevos 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Haga clic en la ficha Crear etiqueta inteligente en el lado derecho de la página. Aparece el formulario Crear etiqueta inteligente. 5. Escriba el criterio de búsqueda que identifica parches no críticos que se agregaron luego de una fecha especificada: Fecha de lanzamiento > (mayor que) <fecha>. Para la fecha, utilice el formato aaaamm-dd. Y Impacto!= (no es igual a) Crítico Y Estado = (Activo 6. Haga clic en Probar etiqueta inteligente. Se muestran los parches no críticos agregados después de la fecha especificada. 7. En el campo Elegir etiqueta, escriba un nombre para el parche nuevo, como Parches nuevos desde el Haga clic en Crear etiqueta inteligente. Se guarda la etiqueta. Se aplica automáticamente a los parches existentes y a los parches nuevos que cumplen con los criterios cuando se los descarga. 9. Para ver grupos de etiquetas, seleccione Mostrar grupos de etiquetas en el menú Elegir acción. 32 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

33 Creación y administración de programas de aplicación de parches 3 Se muestran los grupos de etiquetas y [grupos ocultos] se elimina del encabezado de la columna. 10. Para ocultar grupos de etiquetas, seleccione Ocultar grupos de etiquetas en el menú Elegir acción. Los grupos de etiquetas no se muestran y [grupos ocultos] aparece en el encabezado de la columna. Creación de etiquetas inteligentes para máquinas Puede crear etiquetas inteligentes para organizar máquinas por tipo, como equipo de escritorio, servidor y equipo portátil. Creación de una etiqueta inteligente para equipos de escritorio Para crear una etiqueta inteligente para equipos de escritorio 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Inventario. Aparece la página Inventario informático. 3. Haga clic en la ficha Crear etiqueta inteligente en el lado derecho de la página. Aparece el formulario Crear etiqueta inteligente. 4. Configure criterios de búsqueda para incluir todas las máquinas cuyo nombre de sistema operativo no incluya la palabra servidor y cuyo tipo de chasis no sea equipo portátil: El Nombre del sistema operativo no contiene la palabra Servidor Y el Tipo de chasis no contiene la palabra Equipo portátil Otros criterios útiles para identificar los equipos de escritorio incluyen: Nombres de sistemas, si les asigna a todos sus equipos de escritorio un nombre similar. Modelos de sistemas, tales como todos los sistemas con XPS en el nombre del modelo. Direcciones IP o direcciones IP parciales que utilizan los criterios contiene. Números de serie de BIOS, o utilice los criterios Incluye número de serie parcial. Esto es útil si ha comprado equipos de escritorio con números secuenciales. Para obtener más información, comuníquese con el proveedor. Título del software, si los equipos de escritorio tienen un título en común. 5. Haga clic en Probar etiqueta inteligente. Se mostrarán los elementos que coincidan con los criterios de búsqueda. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 33

34 3 Creación y administración de programas de aplicación de parches 6. En la lista desplegable Elegir etiqueta, seleccione un nombre de etiqueta o escriba un nombre para la etiqueta inteligente, como Todos_los_equipos_de_escritorio. 7. Haga clic en Crear etiqueta inteligente. Se crea la etiqueta inteligente. 8. (Opcional) Para confirmar que aparezca la etiqueta nueva en la lista Etiquetas, haga clic en Inicio > Etiqueta > Etiquetas inteligentes o Administración de etiquetas. La etiqueta nueva aparece vacía al principio. A medida que se registran las máquinas, se les aplica la etiqueta inteligente cuando coinciden con su criterio. 9. Para probar la etiqueta inteligente: a. Vaya a Inventario > Equipos. b. Haga clic en el nombre de una máquina que coincida con los criterios, pero a la que todavía no se le aplicó la etiqueta. c. En la página Equipos: Detalles, haga clic en Forzar actualización. Si la etiqueta inteligente funciona correctamente, la máquina se registra y se le aplica la etiqueta. Creación de una etiqueta inteligente para servidores Para crear una etiqueta inteligente para los servidores 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Inventario. Aparece la página Inventario informático. 3. Haga clic en la ficha Crear etiqueta inteligente en el lado derecho de la página. Aparecerá la ficha Crear etiqueta inteligente sobre la tabla Inventario. 4. Configure criterios de búsqueda para incluir todas las máquinas cuyo nombre de sistema operativo incluya la palabra "servidor" y cuyo tipo de chasis no sea equipo portátil: El Nombre del sistema operativo contiene la palabra Servidor Y el Tipo de chasis no contiene la palabra Equipo portátil Otros criterios útiles para identificar los servidores incluyen: Nombres de sistemas, si les asigna a todos sus servidores un nombre similar. Direcciones IP o direcciones IP parciales que utilizan los criterios contiene. Números de serie de BIOS, o utilice los criterios Incluye número de serie parcial. Esto es útil si ha comprado servidores con números secuenciales. Para obtener más información, comuníquese con el proveedor. Título del software, si los servidores tienen un título en común. 5. Haga clic en Probar etiqueta inteligente. Se mostrarán los elementos que coincidan con los criterios de búsqueda. 34 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

35 Creación y administración de programas de aplicación de parches 3 6. En la lista desplegable Elegir etiqueta, seleccione un nombre de etiqueta o escriba un nombre para la etiqueta inteligente, como Todos_los_servidores. 7. Haga clic en Crear etiqueta inteligente. Se crea la etiqueta inteligente. 8. (Opcional) Para confirmar que aparezca la etiqueta nueva en la lista Etiquetas, haga clic en Inicio > Etiqueta > Etiquetas inteligentes o Administración de etiquetas. La etiqueta nueva aparece vacía al principio. A medida que se registran las máquinas, se les aplica la etiqueta inteligente cuando coinciden con su criterio. 9. Para probar la etiqueta inteligente: a. Vaya a Inventario > Equipos. b. Haga clic en el nombre de una máquina que coincida con los criterios, pero a la que todavía no se le aplicó la etiqueta. c. En la página Equipos: Detalles, haga clic en Forzar actualización. Si la etiqueta inteligente funciona correctamente, la máquina se registra y se le aplica la etiqueta. Creación de una etiqueta inteligente para equipos portátiles Para crear una etiqueta inteligente para equipos portátiles 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Inventario. Aparece la página Inventario informático. 3. Haga clic en la ficha Crear etiqueta inteligente en el lado derecho de la página. Aparece el formulario Crear etiqueta inteligente. 4. Configure criterios de búsqueda para incluir todas las máquinas cuyo nombre de sistema operativo no incluya la palabra "servidor". El Nombre del sistema operativo no contiene la palabra Servidor Y el Tipo de chasis contiene la palabra Equipo portátil Otros criterios útiles para identificar los equipos portátiles incluyen: Nombres de sistemas, si les asigna a todos sus equipos portátiles un nombre similar. Direcciones IP o direcciones IP parciales que utilizan los criterios contiene. Números de serie de BIOS, o utilice los criterios Incluye número de serie parcial. Esto es útil si ha comprado equipos portátiles con números secuenciales. Para obtener más información, comuníquese con el proveedor. Título del software, si los equipos portátiles tienen un título en común. 5. Haga clic en Probar etiqueta inteligente. Se mostrarán los elementos que coincidan con los criterios de búsqueda. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 35

36 3 Creación y administración de programas de aplicación de parches 6. En la lista desplegable Elegir etiqueta, seleccione un nombre de etiqueta o escriba un nombre para la etiqueta inteligente, como Todos_los_equipos_de_escritorio. 7. Haga clic en Crear etiqueta inteligente. Se crea la etiqueta inteligente. 8. (Opcional) Para confirmar que aparezca la etiqueta nueva en la lista Etiquetas, haga clic en Inicio > Etiqueta > Etiquetas inteligentes o Administración de etiquetas. La etiqueta nueva aparece vacía al principio. A medida que se registran las máquinas, se les aplica la etiqueta inteligente cuando coinciden con su criterio. 9. Para probar la etiqueta inteligente: a. Vaya a Inventario > Equipos. b. Haga clic en el nombre de una máquina que coincida con los criterios, pero a la que todavía no se le aplicó la etiqueta. c. En la página Equipos: Detalles, haga clic en Forzar actualización. Si la etiqueta inteligente funciona correctamente, la máquina se registra y se le aplica la etiqueta. Creación de programas de parches En esta sección se explica cómo crear programas de aplicación de parches y configurar un horario para que ellos se ejecuten. Para crear programas de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Detección e implementación de parches. Aparece la página Programa de parches. 4. En el menú Elegir acción, seleccione Agregar nuevo elemento. Aparece la página Programa de parches: Editar detalle. 5. En el campo Descripción de programa, escriba una descripción para el programa. Esto aparece en la página Programas de parches. 6. En la lista desplegable Acción de parche, seleccione una acción de parche para el programa. El comportamiento de la acción de parche depende de la combinación resultante de la selección de acciones de reinicio, detección, implementación y reversión que haga. Cuando una acción de parche realiza un paso de detección y algo más (por ejemplo, Detectar e implementar y Detectar y revertir), la acción se repite en ciclos hasta que la acción de detección no encuentra más parches para implementar o revertir. Esto puede producir varias acciones de reinicio para una sola ejecución programada. 36 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

37 Creación y administración de programas de aplicación de parches 3 Además, el tipo de máquina a la que aplica los parches modifica el tipo de acción de parche que utiliza. Los trabajos de aplicación de parches de detección e implementación requieren una conexión AMP (Agent Messaging Protocol) entre la máquina y el Dispositivo de administración K1000; no se ejecutan sin conexión. Para obtener más información sobre el agente y las conexiones AMP, consulte la Guía para el administrador de K1000. Opción Detectar Detectar e implementar Detectar e implementar con Forzar el reinicio Descripción Realiza acciones solo de detección. Esto es útil cuando desea detectar parches que están instalados en las máquinas administradas o que no están presentes en ellas. Las acciones solo de detección son más útiles para los equipos portátiles. Las acciones de detección pueden ejecutarse en cualquier momento, pero debe ejecutarse al menos un día antes de las acciones de implementación, ya que es posible que estas requieran un reinicio del sistema. Realiza acciones de detección e implementación. Por lo general, esto es adecuado para los equipos de escritorio y los servidores. Nota: Si no se implementa el parche correctamente después de la cantidad máxima de intentos, la implementación genera error y se omite la máquina. Para obtener más información sobre la cantidad máxima de intentos de implementación, consulte Elija las opciones Implementar la selección de etiquetas de parche: en la página 44. Para obtener información sobre la visualización del estado del parche, incluidos los errores, consulte Visualización del estado del parche por máquina en la página 49. Cuando selecciona Detectar e implementar y elige Forzar el reinicio en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: Se ejecuta un trabajo de detección. Todos los parches se implementan y la máquina se reinicia según sea necesario. Después del último reinicio, se ejecuta un trabajo de detección final. Detectar e implementar con Forzar el reinicio funciona bien con los servidores debido a que, por lo general, no tienen usuarios dedicados. No obstante, es importante advertir a los usuarios que los servicios no estarán disponibles cuando se apliquen parches a los servidores y se los reinicie. Para obtener más información, consulte Notificación a usuarios cuando se están aplicando parches a las máquinas en la página 12. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 37

38 3 Creación y administración de programas de aplicación de parches Opción Detectar e implementar con Preguntar al usuario Descripción Cuando selecciona Detectar e implementar y elige Preguntar al usuario en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: Se ejecuta un trabajo de detección. Los parches se implementan hasta que se requiere un reinicio, luego se pregunta al usuario si desea reiniciar el sistema. Si ningún usuario inició sesión, la máquina se reinicia de inmediato. Si el usuario hace clic en Aceptar, la máquina se reinicia. El proceso de aplicación de parches continúa hasta que se requiere otro reinicio y se pregunta nuevamente al usuario. El patrón continúa hasta completar la lista de parches. Si el usuario posterga o cancela el reinicio, la aplicación de parches se detiene hasta que se reinicia el sistema. Cuando se reinicia el sistema, se continúa con la aplicación de parches hasta que sea necesario un nuevo reinicio y se pregunta nuevamente al usuario. El patrón continúa hasta completar la lista de parches. Se ejecuta un trabajo de detección final para verificar el estado del parche. Detectar e implementar con Preguntar al usuario es riesgoso porque implementar parches sin reiniciar el equipo cuando es necesario puede dejar inestables a los sistemas. Además, los parches que requieren solamente un reinicio se muestran como implementados después del reinicio. 38 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

39 Creación y administración de programas de aplicación de parches 3 Opción Detectar e implementar con No reiniciar Implementar Descripción Cuando selecciona Detectar e implementar y elige No reiniciar en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: Se ejecuta un trabajo de detección. Se implementan los parches. Si no se requiere un reinicio y se completa la lista de parches, se ejecuta un trabajo de detección final para verificar el estado del parche. Si se requiere un reinicio, la aplicación de parches se detiene. Cuando se reinicia la máquina, la aplicación de parches continúa hasta completar la lista de parches o se requiere un reinicio y la aplicación de parches se detiene. Cuando se completa la lista de parches, se ejecuta un trabajo de detección final para verificar el estado del parche. No se recomienda Detectar e implementar con No reiniciar porque implementar parches sin reiniciar el equipo cuando es necesario puede dejar inestables a los sistemas. Además, los parches que requieren un reinicio solamente se muestran como implementados después del reinicio. Realiza acciones solo de implementación. Esto es útil cuando se sabe que hay parches específicos que deben implementarse en máquinas administradas. Se ejecuta un trabajo de detección final después de que se implemente el parche o, si se debe reiniciar el sistema, después de que la máquina se reinicie y el agente se vuelva a conectar al dispositivo. Nota: Si no se implementa el parche correctamente después de la cantidad máxima de intentos, la implementación genera error y se omite la máquina. Para obtener más información sobre la cantidad máxima de intentos de implementación, consulte paso 9 en la página 44. Para obtener información sobre la visualización del estado del parche, incluidos los errores, consulte Visualización del estado del parche por máquina en la página 49. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 39

40 3 Creación y administración de programas de aplicación de parches Opción Implementar con Forzar el reinicio Implementar con No reiniciar Detectar y revertir Descripción Cuando selecciona Implementar y elige Forzar el reinicio en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: Todos los parches se implementan y la máquina se reinicia según sea necesario. Se ejecuta un trabajo de detección. Continúa la aplicación de parches en la siguiente implementación de parches programada. Se ejecuta un trabajo de detección final después de que se implemente el último parche o, si se debe reiniciar el sistema, después de que la máquina se reinicie y el agente se vuelva a conectar al dispositivo. Cuando selecciona Implementar y elige No reiniciar en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: Los parches se implementan hasta que se requiere un reinicio, luego la aplicación de parches se detiene. Se ejecuta un trabajo de detección. Continúa la aplicación de parches en la siguiente implementación de parches programada. Se ejecuta un trabajo de detección final después de que se implemente el último parche o, si se debe reiniciar el sistema, después de que la máquina se reinicie y el agente se vuelva a conectar al dispositivo. Encuentra y elimina parches no deseados. 40 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

41 Creación y administración de programas de aplicación de parches 3 Opción Detectar y revertir con Preguntar al usuario Revertir Descripción Cuando selecciona Detectar y revertir y elige Preguntar al usuario en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: Se ejecuta un trabajo de detección para identificar parches no deseados. Si se encuentran parches no deseados, el dispositivo intenta eliminarlos. Si no se eliminan los parches correctamente después de la cantidad máxima de intentos, la reversión genera un error y se omite la máquina. Para obtener más información sobre la cantidad máxima de intentos de implementación, consulte paso 9 en la página 44. Si la reversión se realiza correctamente, se pregunta al usuario si desea reiniciar el sistema. Si ningún usuario inició sesión, la máquina se reinicia de inmediato. Si el usuario hace clic en Aceptar, la máquina se reinicia. El proceso de reversión continúa hasta que se requiere otro reinicio y se pregunta nuevamente al usuario. El patrón continúa hasta completar la lista de parches. Si el usuario posterga o cancela el reinicio, la aplicación de parches se detiene hasta que se reinicia el sistema. Cuando se reinicia el sistema, se continúa con la reversión hasta que sea necesario un nuevo reinicio y se pregunta nuevamente al usuario. El patrón continúa hasta completar la lista de parches. Revierte parches que se han aplicado. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 41

42 3 Creación y administración de programas de aplicación de parches Opción Revertir con Preguntar al usuario Descripción Cuando selecciona Revertir y elige Preguntar al usuario en la sección Opciones de reinicio, ocurre lo siguiente según el programa de aplicación de parches: El dispositivo intenta quitar los parches no deseados. Si no se eliminan los parches correctamente después de la cantidad máxima de intentos, la reversión genera un error y se omite la máquina. Para obtener más información sobre la cantidad máxima de intentos de implementación, consulte paso 9 en la página 44. Si la reversión se realiza correctamente, se pregunta al usuario si desea reiniciar el sistema. Si ningún usuario inició sesión, la máquina se reinicia de inmediato. Si el usuario hace clic en Aceptar, la máquina se reinicia. El proceso de reversión continúa hasta que se requiere otro reinicio y se pregunta nuevamente al usuario. El patrón continúa hasta completar la lista de parches. Si el usuario posterga o cancela el reinicio, el proceso de reversión se detiene hasta que se reinicia el sistema. Cuando se reinicia el sistema, se continúa con la reversión hasta que sea necesario un nuevo reinicio y se pregunta nuevamente al usuario. El patrón continúa hasta completar la lista de parches. 7. Elija opciones de Selección de máquinas: Opción Ejecutar en todas las máquinas Descripción Ejecuta el programa en todas las máquinas en la organización seleccionada. Tenga cuidado con este ajuste. Por lo general, es mejor probar las acciones de parche en una cantidad limitada de máquinas y limitar las acciones de parche a máquinas seleccionadas o etiquetas de máquinas. Esto garantiza que las acciones de parche se apliquen correctamente. 42 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

43 Creación y administración de programas de aplicación de parches 3 Opción Limitar la ejecución a las etiquetas de máquinas seleccionadas Limitar la ejecución a máquinas Limitar la ejecución a las máquinas con sistemas operativos seleccionados Descripción Restringe las acciones de parche a las máquinas con las etiquetas que usted selecciona. Limitar la ejecución a determinadas etiquetas, especialmente las etiquetas inteligentes, permite garantizar que los parches se apliquen correctamente. Por ejemplo, algunos parches de aplicación tienen la capacidad tanto de instalar aplicaciones como de actualizar las que ya están instaladas. Para evitar que el dispositivo instale la aplicación en máquinas que todavía no tienen la aplicación instalada, puede crear una etiqueta inteligente para identificar las máquinas que tienen la aplicación. Entonces, puede limitar la acción de parche a máquinas que tienen esa etiqueta. Luego, el parche se aplica solo a máquinas que ya tienen la aplicación instalada. Para usar esta opción, ya debe tener etiquetas o etiquetas inteligentes. Para obtener más información, consulte Cómo utilizar las etiquetas inteligentes para la aplicación de parches en la página 30. Ejecuta, detecta e implementa acciones de aplicación de parches en un conjunto pequeño de máquinas que usted selecciona. Puede usar esta opción para un conjunto pequeño de usuarios que no necesitan una etiqueta. Seleccione Máquinas en la lista desplegable Seleccionar máquinas para agregar. Después de seleccionar esta opción, las máquinas aparecen en el cuadro Limitar la ejecución a las máquinas. También puede crear un filtro para seleccionar máquinas y escribirlo en el campo Filtro. Es la opción de selección de máquinas más usada. Limita las máquinas que aparecen en la lista solo a las que contienen los caracteres que escribe en el filtro. Crea un filtro "sobre la marcha" al seleccionar los sistemas operativos de las máquinas en las cuales desea ejecutar las acciones. La opción predeterminada es todos los sistemas operativos. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 43

44 3 Creación y administración de programas de aplicación de parches 8. Seleccione las opciones Detectar la selección de etiquetas de parches: Opción Detectar todos los parches Limitar la detección a las etiquetas de parche seleccionadas Descripción Detecta todos los parches disponibles. Este proceso puede llevar mucho tiempo y podría detectar parches que las máquinas administradas no requieren. Por ejemplo, si las máquinas administradas utilizan aplicaciones de antivirus de un solo proveedor, es posible que usted no deba detectar parches para todos los proveedores de antivirus. No obstante, la opción Detectar todos detecta todos los parches que faltan independientemente de que las máquinas administradas los requieran. Para restringir la detección de parches, configure etiquetas para los parches que desea detectar y, luego, utilice la opción Limitar la detección a las etiquetas de parche seleccionadas. Restringe la acción a los parches con las etiquetas que usted selecciona. Es la opción de detección de parches más usada. Para seleccionar etiquetas, haga clic en Editar. Para usar esta opción, ya debe tener etiquetas o etiquetas inteligentes para los parches que desea detectar. Para obtener más información, consulte Cómo utilizar las etiquetas inteligentes para la aplicación de parches en la página Elija las opciones Implementar la selección de etiquetas de parche: Opción Implementar todos los parches Limitar la implementación a las etiquetas de parche seleccionadas Descripción Implementa todos los parches. Esto puede llevar mucho tiempo. Para restringir la implementación de parches, configure etiquetas para los parches que desea implementar, luego utilice la opción Limitar la implementación a las etiquetas de parche seleccionadas. Restringe la acción a los parches con las etiquetas que usted selecciona. Es la opción de implementación de parches más usada. Para seleccionar etiquetas, haga clic en Editar. Para usar esta opción, ya debe tener etiquetas o etiquetas inteligentes para los parches que desea detectar. Para obtener más información, consulte Cómo utilizar las etiquetas inteligentes para la aplicación de parches en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

45 Creación y administración de programas de aplicación de parches 3 Opción Limitar los parches a las etiquetas de máquinas coincidentes Cantidad máxima de intentos de implementación Descripción Dell KACE recomienda que no seleccione esta opción, es para proporcionar compatibilidad con versiones anteriores en casos específicos y excepcionales. Cantidad máxima de intentos, entre 0 y 99, para indicar la cantidad de veces que el dispositivo debe intentar implementar el parche. Si especifica 0, el dispositivo intenta implementar el parche de forma indefinida. Como último paso en la implementación de parches, el dispositivo verifica si el parche se implementó correctamente. Si una implementación genera error, el dispositivo intenta implementar el parche nuevamente hasta que ocurra una de las siguientes opciones: La implementación se realiza correctamente. Se alcanza la cantidad máxima de intentos de implementación. Finaliza el período de implementación programado y se suspende la aplicación de parches. 10. En la sección Alertas, elija opciones de alertas: Opción Alertar al usuario antes de ejecutar Opciones del cuadro de diálogo de alerta Tiempo de espera del cuadro de diálogo (minutos) Descripción Permite al usuario ejecutar la acción, cancelarla o retrasarla. Esto resulta especialmente importante cuando se requieren reinicios. Si ningún usuario inició sesión, el script se ejecuta de inmediato. Opciones presentadas al usuario en el cuadro de diálogo de alerta: Aceptar: Se ejecuta inmediatamente. Cancelar: Se cancela hasta la próxima ejecución programada. Postergar: Se vuelve a preguntar al usuario luego de la duración de la postergación. El tiempo, en minutos, durante el cual se mostrará el cuadro de diálogo antes de que se lleve a cabo una tarea. Si transcurre este período sin que el usuario presione un botón, el dispositivo realiza la acción especificada en la lista desplegable Acción de tiempo de espera del cuadro de diálogo. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 45

46 3 Creación y administración de programas de aplicación de parches Opción Acción de tiempo de espera del cuadro de diálogo Duración de la postergación (minutos) Mensaje de alerta Mostrar el progreso del parche Mensaje de progreso del parche Mensaje de parche completado Descripción Acción que se llevará a cabo cuando transcurra el período del Tiempo de espera del cuadro de diálogo sin que el usuario haya elegido una opción. La cantidad de tiempo, en minutos, para el período luego de que el usuario hace clic en Postergar. Una vez transcurrido este período, vuelve a aparecer el cuadro de diálogo. El mensaje que se mostrará a los usuarios antes de que se ejecute la acción. Para personalizar el logotipo que aparece en el cuadro de diálogo, consulte la Guía para el administrador de K1000. La opción para mostrar el progreso de la instalación del parche. Si se selecciona Mostrar el progreso del parche, el mensaje que se muestra a los usuarios durante la instalación. Si se selecciona Mostrar el progreso del parche, el mensaje que se muestra a los usuarios cuando se completa el proceso. 11. En la sección Opciones de reinicio, utilice los siguientes ajustes para los equipos de escritorio: Opción Modo de reinicio Mensaje Descripción Opciones de reinicio: Preguntar al usuario: Espera a que el usuario acepte el reinicio antes de reiniciar la máquina. Se usa con los campos Tiempo de espera del mensaje y Mensaje de reinicio. No reiniciar. La máquina no se reinicia incluso si fuera necesario un reinicio para que el parche tenga efecto. Forzar el reinicio. Reinicia el sistema ni bien se implementa un parche que lo requiere. Los reinicios forzados no pueden cancelarse. Forzar el reinicio funciona bien para equipos de escritorio. Es recomendable no forzar el reinicio de los servidores ni de los equipos portátiles. El mensaje que se mostrará a los usuarios antes de que se reinicie la máquina. Para obtener información sobre la incorporación de un logotipo personalizado al diálogo de mensaje, consulte la Guía para el administrador de K Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

47 Creación y administración de programas de aplicación de parches 3 Opción Tiempo de espera del mensaje Intervalo de reiteración de solicitud Limitar la cantidad de solicitudes Acción de tiempo de espera Retraso del reinicio (cuenta regresiva) Reiniciar ahora Reiniciar más tarde Reiniciar automáticamente Descripción La cantidad de tiempo (en minutos) que espera el dispositivo para que el usuario responda al mensaje de reinicio. Si transcurre esta cantidad de tiempo especificada en el campo Tiempo de espera del mensaje sin que el usuario presione un botón, el dispositivo realiza la acción especificada en la sección Opciones de reinicio - Acción de tiempo de espera. El tiempo que transcurre antes de que se pregunte nuevamente al usuario si desea reiniciar el sistema. La cantidad de solicitudes que recibe el usuario antes de que se reinicie la máquina. Por ejemplo, si escribe un valor de 5, la quinta vez que el usuario reciba la solicitud de reinicio, la máquina se reinicia automáticamente. El usuario puede retrasar el reinicio solo cuatro veces. La acción que debe realizarse cuando transcurre el tiempo de espera para las opciones de reinicio. Posterga el reinicio mediante una cuenta regresiva. La cuenta regresiva es en minutos. Realiza el reinicio de inmediato. Realiza el reinicio más tarde. Reinicia el sistema automáticamente cuando no hay nadie conectado al dispositivo. 12. En la sección Programa de parches, especifique cuándo debe ejecutarse la acción de parche: Opción No ejecutar en un programación Ejecutar cada _ horas Ejecutar todos los días/un día específico a las HH:MM Ejecutar el día n de cada mes o de un mes específico a las HH:MM Ejecutar según personalización Descripción Se ejecuta en combinación con un evento y no en una fecha u hora específicas. Esto es útil si desea aplicar los parches a los servidores manualmente o realizar implementaciones de parches que no desea que se ejecuten en un ciclo programado. Ejecutar en un intervalo especificado. Ejecutar cada día a una hora especificada o ejecutar en un día de la semana designado a una hora específica. Ejecutar el mismo día de cada mes o un mes específico a una hora específica. Ejecutar de acuerdo con un programa personalizado. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 47

48 3 Creación y administración de programas de aplicación de parches Opción Programar según Ejecutar en la próxima conexión si está desconectado Retrasar el programa por... Suspender las tareas pendientes después de... Descripción La zona horaria que debe usarse para programar la acción. Seleccione Servidor para usar la zona horaria del dispositivo. Seleccione Agente para usar la zona horaria de la máquina cliente. Ejecuta la acción la próxima vez que la máquina cliente se conecta, si la máquina cliente se encuentra actualmente sin conexión. Si esta opción no está seleccionada, y el cliente se encuentra sin conexión, la acción no se ejecuta nuevamente hasta el próximo momento programado. Esta opción es útil para equipos portátiles y otras máquinas que se desconectan periódicamente. Retrasa el programa por una cantidad de tiempo especificada. El período de retraso comienza cuando se programa la ejecución de la acción de parche. El límite de tiempo para las acciones de aplicación de parches. Por ejemplo, si programa que se ejecuten parches a las 4:00, es posible que desee que todas las acciones de parches se detengan a las 7:00 para evitar inconvenientes con el ancho de banda cuando los usuarios comiencen a trabajar. Por lo tanto, puede seleccionar la casilla de verificación Suspender las tareas pendientes después de y, luego, especificar 180 en el cuadro de minutos. Cuando se alcanza este límite de tiempo, se suspenden todas las tareas de aplicación de parches en curso, y el estado en los registros de Seguridad es Suspendido. Las tareas suspendidas se reanudan donde quedaron cuando comienza la próxima acción programada de aplicación de parches. 13. Haga clic en Guardar. Se crea el programa. Si agrega equipos de escritorio que coincidan con los criterios de la etiqueta inteligente, se incluyen automáticamente en el programa de aplicación de parches. Para obtener detalles sobre el seguimiento del estado de la aplicación de parches, consulte Visualización de los parches no programados en la página 50. Edición de programas de parches Para editar programas de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. 48 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

49 Creación y administración de programas de aplicación de parches 3 Aparece la página Administración de parches. 3. Haga clic en Detección e implementación de parches. 4. En la lista de programas, haga clic en el nombre de un programa. Aparece la página Programa de parches: Editar detalle. 5. Edite el programa según sea necesario. Para obtener información sobre los ajustes del programa de parches, consulte Creación de programas de parches en la página Haga clic en Guardar. Supervisión del estado de la aplicación de parches Visualización del estado de parches Puede visualizar el estado de los parches, incluida una lista de las máquinas en las cuales se han implementado parches. Para visualizar el estado de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Haga clic en el título de un parche. Aparece la página Parche: Detalles. 5. Desplácese hacia abajo en la tabla Estado de implementación. En la tabla se muestran detalles sobre el parche, incluida una lista de las máquinas en las cuales se ha implementado el parche. Visualización del estado del parche por máquina Puede ver el estado de los parches para cada máquina administrada. Para visualizar el estado de parches por máquina 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Inventario. Aparece la página Inventario informático. 3. Haga clic en un nombre de equipo. Aparece la página Equipos: Detalle del elemento. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 49

50 3 Creación y administración de programas de aplicación de parches 4. Desplácese hacia abajo hasta la sección Seguridad y, luego, haga clic en el vínculo Estado de detección/implementación de parches. Se muestra la lista de los parches instalados en la máquina. Búsqueda de paquetes individuales dentro de los parches Para buscar paquetes individuales dentro de los parches 1. Haga clic en Seguridad. Aparece la página Administración de parches. 2. Haga clic en Lista de parches. Aparece la página Lista de parches. 3. Haga clic en el título de un parche. Aparece la página Parche: Detalles. 4. Desplácese hacia abajo a la tabla Paquetes incluidos en este parche. Visualización de informes de parches Para visualizar informes de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Informes. Aparece la página Informes de K1000 con Aplicación de parches seleccionado en la lista desplegable Ver por. En esta página se proporcionan vínculos a los informes relacionados con los parches. Para generar un informe, haga clic en el nombre del formato en la columna Generar informe: HTML, CSV o TXT. Para obtener más información sobre los informes, consulte la Guía para el administrador de K1000. La columna de la derecha indica si el parche admite una reversión. Visualización de los parches no programados Para determinar si los parches a los que está suscrito están en un programa, utilice la función de búsqueda para visualizar los parches no programados. 50 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

51 Creación y administración de programas de aplicación de parches 3 Para visualizar los parches no programados 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Haga clic en la ficha Búsqueda avanzada que se encuentra arriba de la lista a la derecha. Aparece el panel Búsqueda avanzada. 5. Seleccione la casilla de verificación No programada a la derecha de los criterios de búsqueda. 6. (Opcional) Escriba criterios de búsqueda adicionales. 7. Haga clic en Buscar. Se muestran los parches no programados. Administración de la reversión de parches En los casos donde pueda ser necesario revertir un parche implementado, debe determinar si se admiten las reversiones de parches. No todos los proveedores admiten reversiones. Por ejemplo, los parches de software importantes como los Service Packs no pueden revertirse. Determinación de la reversión de un parche Para determinar si un parche se puede revertir 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Haga clic en la ficha Búsqueda avanzada que se encuentra arriba de la lista a la derecha. Aparece el panel Búsqueda avanzada. 5. Seleccione la casilla de verificación Soporte de reversión a la derecha de los criterios de búsqueda. 6. (Opcional) Escriba criterios de búsqueda adicionales. 7. Haga clic en Buscar. Se muestran los parches que admiten la reversión. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 51

52 3 Creación y administración de programas de aplicación de parches Deshacer la última aplicación del parche Si el proveedor del parche admite una reversión, usted puede deshacer la última implementación del parche al crear y ejecutar un programa de aplicación de parches, seleccionando Revertir o Detectar y revertir. Para deshacer la última aplicación del parche 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Detección e implementación de parches. Aparece la página Programa de parches. 4. En la columna Descripción, haga clic en un programa de parches. Aparece la página Programa de parches: Editar detalle para el parche seleccionado. 5. En la sección Acción de parche, seleccione Revertir o Detectar y revertir. 6. Seleccione los parches para revertir, de la misma forma que los especificó en el programa original, mediante la creación de una etiqueta inteligente. Consulte Creación de etiquetas inteligentes para parches en la página 31. Esta opción se admite solo para quitar el último parche instalado en una aplicación de software. Consulte Administración de la reversión de parches en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

53 4 Administración del inventario de parches En esta sección se explica cómo administrar el inventario de parches. Temas de esta sección: Requisitos previos en la página 53 Visualización de la página Lista de parches en la página 53 Información sobre la página Lista de parches en la página 54 Marca de parches como inactivos en la página 56 Ocultamiento de parches que no cumplen con los criterios de suscripción en la página 56 Visualización de la información sobre parches para los equipos en inventario en la página 57 Visualización de estadísticas de parches en la página 58 Visualización del registro de parches en la página 59 Requisitos previos Para poder administrar el inventario de parches, necesita suscribirse y descargar parches. Para obtener más información, consulte: Suscripción a parches en la página 17 Selección de los ajustes de descarga de parches en la página 20 Visualización de la página Lista de parches La página Lista de parches muestra las firmas de detección de parches para las plataformas a las que se suscribe. Para ver la página Lista de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad53

54 4 Administración del inventario de parches 3. Haga clic en Lista de parches. 4. Aparece la página Lista de parches. 5. Para filtrar la lista de parches, seleccione una de las siguientes opciones en la lista desplegable Ver por, arriba de la lista de parches a la derecha: Todos los parches: Se muestran todos los parches. Etiqueta: Se muestran los parches asignados a una etiqueta seleccionada. Estado: Se muestran los parches Activos o Inactivos. Estado de la descarga: Se muestran los parches Descargados o No descargados. Impacto: Se filtra la lista de parches según Crítico, Recomendado, etc. Año: Se filtra la lista de parches según el año en que fue lanzado el parche. Sistema operativo: Se filtra la lista de parches según el sistema operativo. Información sobre la página Lista de parches La página Lista de parches brinda información sobre: Estado del parche Estado de implementación y detección Tamaño de caché Estado del parche La página Lista de parches muestra el estado de cada parche. Para ver la página Lista de parches, consulte Visualización de la página Lista de parches en la página 53. Estado Icono Definición Suscripción? Ajuste Detectado? Implementado? Activo (ninguno) Los parches a los que se ha suscrito, los que se han descargado y los que están listos para ser detectados o implementados. Estos parches no tienen ningún icono junto a su nombre en la página Lista de parches. Sí Sí Sí 54Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

55 Administración del inventario de parches 4 Estado Icono Definición Suscripción? Ajuste Sí, si está seleccionad a la opción Permitir la detección de parches deshabilitados Detectado? Implementado? Inactivo Deshabilitado Parches a los que se ha suscrito, pero que han sido marcados como inactivos para evitar que sean detectados o implementados automáticamente. Firmas de detección de parches para los parches a los que no se suscribió. Los paquetes de parches (archivos de instalación) no se descargaron al dispositivo. Sí No No No, solo el registro del parche Sí Estado de implementación y detección La página Lista de parches muestra la cantidad de máquinas que han recibido un parche, esperan un parche o encontraron errores durante la aplicación de parches. Para ver la página Lista de parches, consulte Visualización de la página Lista de parches en la página 53. Columna Descripción La cantidad de máquinas que han recibido el parche. La cantidad de máquinas detectadas que necesitan el parche y están esperando la implementación. La cantidad de máquinas que no han alcanzado la cantidad máxima de intentos de implementación. La cantidad máxima de intentos de implementación se configura en el programa de parches. Consulte Creación de programas de parches en la página 36. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad55

56 4 Administración del inventario de parches Tamaño de caché de parche La columna Tamaño de cachéde la página Lista de parches indica la cantidad de espacio en disco que utilizan los parches en la caché local del dispositivo. Para ver la página Lista de parches, consulte Visualización de la página Lista de parches en la página 53. Indicador Negro Rojo Cero (0) Tamaño real (diferente a cero) Descripción Parches inactivos o deshabilitados. Parches a los que se ha suscrito; sin embargo, no se ha descargado ningún paquete asociado para este parche en este momento. Para ver qué paquetes asociados faltan, haga clic en el nombre del parche para ver la página de detalles del parche. No se ha descargado ninguno de los paquetes de parches. Se ha descargado al menos uno de los paquetes de parches. Marca de parches como inactivos Para marcar parches como inactivos 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Lista de parches. Aparece la página Lista de parches. 4. Active la casilla de verificación que aparece junto a un parche. 5. En el menú Elegir acción, seleccione Cambiar estado a > Inactivo. Los parches marcados como Inactivos se purgan automáticamente desde la memoria caché durante la próxima descarga de parches programada. Ocultamiento de parches que no cumplen con los criterios de suscripción Puede evitar que los parches aparezcan en la página Lista de parches cuando no cumplen con los criterios de plataforma, idioma, etiqueta y otros criterios de suscripción establecidos. Para ocultar los parches que no cumplen con los criterios de suscripción 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 56Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

57 Administración del inventario de parches 4 2. Haga clic en Seguridad. Aparece la página Administración de parches. 3. Haga clic en Ajustes de suscripción. Aparece la página Ajustes de K1000: Suscripción de parches. 4. Haga clic en Modo Edición. 5. En la sección Opciones de parches deshabilitados, haga lo siguiente: a. Active la casilla de verificación Ocultar parches deshabilitados en la lista de parches. b. Desactive la casilla de verificación Permitir la detección de parches deshabilitados. 6. Desplácese a la parte inferior de la página y haga clic en Guardar. Después de la próxima descarga, los parches que no cumplan con los criterios de suscripción ya no aparecerán en la página Lista de parches. Visualización de la información sobre parches para los equipos en inventario La ficha Inventario contiene información de parches detallada sobre los equipos que administra. Incluye: La lista de parches implementados en la máquina. Detalles de los programas de parches que se aplican a la máquina. Información sobre los intentos correctos y errores de reversión y de aplicación de parches. Para visualizar información sobre parches para un equipo 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Inventario. Aparece la página Inventario informático. 3. Haga clic en el nombre de una máquina. Aparece la página Equipos: Elemento detallado. 4. Desplácese hacia abajo en la sección Seguridad. 5. Haga clic en Estado de detección/implementación de la aplicación de parches. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad57

58 4 Administración del inventario de parches Se expanden los detalles para Estado de detección/implementación de parches. 6. Para obtener más información, haga clic en los iconos de signo de interrogación junto a Estado de la tarea programada y Estado de implementación. Visualización de estadísticas de parches Para visualizar estadísticas de parches 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad. Aparece la página Administración de parches, que muestra las estadísticas de parches. 58Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

59 Administración del inventario de parches 4 Visualización del registro de parches Para asegurarse de que no haya ningún error en el proceso de descarga de parches, obtenga acceso al registro de parches. Para ver el registro de parches 1. Si el componente Organización está habilitado en el dispositivo, seleccione System de la lista desplegable que se encuentra en la esquina superior derecha de la página y, luego, haga clic en Ajustes de K1000. De lo contrario, haga clic en Ajustes. Aparece la página Ajustes de K1000: Panel de control. 2. Haga clic en Registros. Aparece la página Registros del servidor de K En la lista desplegable Registro actual, seleccione Servidor > Registro de descarga de parches. Aparecerá el registro de parches. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad59

60 4 Administración del inventario de parches 60Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

61 5 Implementación y administración del navegador seguro de Dell KACE En esta sección se explican las tareas para configurar, implementar y administrar el navegador seguro de Dell KACE. Temas de esta sección: Acerca del navegador seguro de Dell KACE en la página 61 Descarga e instalación manual del navegador seguro en la página 62 Descarga y distribución del navegador seguro desde el dispositivo en la página 62 Incorporación de un navegador seguro a la biblioteca de software en la página 66 Administración del Navegador seguro que utiliza el K1000 en la página 68 Recursos adicionales en la página 74 Acerca del navegador seguro de Dell KACE El navegador seguro de Dell KACE es una herramienta gratuita que suministra una versión segura del navegador web Firefox. Esta herramienta utiliza tecnología de virtualización para suministrar una experiencia web más segura. Cuando accede a sitios web mediante el navegador seguro, cualquier archivo malintencionado descargado de Internet queda contenido dentro del navegador seguro, lo que protege al sistema operativo del equipo. Para obtener más información sobre el navegador seguro de Dell KACE, visite El navegador seguro de Dell KACE le permite: Contener todas las descargas de la web, intencionales y no intencionales, en un único directorio. Esto ayuda a evitar daños y conflictos en el sistema. Utilizar "listas blancas" y "listas negras" para controlar los procesos que los navegadores pueden ejecutar y los sitios web a los que pueden acceder. Visualizar las estadísticas relacionadas con la cantidad de procesos detectados y bloqueados. Restablecer el navegador con facilidad a su estado de instalación al eliminar todas las descargas y los complementos instalados. Implementar y administrar el navegador de forma remota desde el Dispositivo de administración de sistemas Dell KACE K1000. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 61

62 5 Implementación y administración del navegador seguro de Dell KACE Versiones disponibles del navegador seguro Dell KACE actualmente ofrece el siguiente Navegador seguro: Mozilla Firefox 3.6 con complementos de Adobe Flash y Adobe Reader Requisitos de software del sistema Dell KACE El Navegador seguro es compatible con las siguientes plataformas: Windows 7 Windows Vista Windows XP SP3 Descarga e instalación manual del navegador seguro Puede descargar manualmente el navegador seguro desde el sitio web de Dell KACE e instalarlo en máquinas como se describe en esta sección. Para descargar e instalar manualmente el navegador seguro en las máquinas 1. Inicie sesión en una máquina que cumpla con los Requisitos de software del sistema en la página Descargue el navegador seguro desde index.php?action=artikel&cat=63&id=1014&artlang=en. 3. Haga doble clic en el archivo de instalación del navegador seguro y, luego, siga las instrucciones del asistente para completar la instalación. Cuando finalice la instalación, aparecerá el icono del Navegador seguro en el escritorio. Descarga y distribución del navegador seguro desde el dispositivo Esta sección explica cómo descargar y distribuir el navegador seguro desde el dispositivo de administración de sistemas de K1000 para máquinas administradas que cumplen con los Requisitos de software del sistema en la página 62. Para descargar y distribuir el navegador seguro a través de la Interfaz del administrador 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Navegadores seguros > Actualizaciones. Aparece la página Actualizaciones de navegador seguro. 62 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

63 Implementación y administración del navegador seguro de Dell KACE 5 3. Seleccione la casilla de verificación de la versión del navegador seguro que desea descargar. 4. En el menú Elegir acción, seleccione Descargar navegador seguro. Se programa la descarga, y aparece Descarga pendiente o Descargando en la columna Estado. Cuando finaliza la descarga, aparece Disponible en Instalaciones administradas en la columna Estado. 5. Haga clic en Distribución > Instalaciones administradas. Aparece la página Instalaciones administradas. 6. Haga clic en el nombre de la versión del navegador seguro que desea distribuir. Aparece la página Instalación administrada de software: Editar detalle. La versión del navegador seguro que seleccionó aparece en la lista desplegable Software. 7. Especifique la siguiente información: Opción Mostrar también software sin un archivo asociado Cargar y asociar nuevo archivo Comando de instalación Ejecutar parámetros Eliminar archivos descargados Usar descarga alternativa AppDeploy Live Notas Descripción Muestra las aplicaciones de software independientemente de si tienen un archivo ejecutable asociado. Cuando selecciona esta opción, la lista desplegable Software se actualiza para mostrar la cantidad nueva de aplicaciones de software. Haga clic en Examinar o Elegir archivo, luego navegue hacia la ubicación del archivo ejecutable que desea asociar con el software. Seleccione la opción Utilizar predeterminado. No se necesitan parámetros de ejecución. Elimina los archivos de instalación cuando finaliza la instalación. Restablecer esta opción Consejos sobre implementación de AppDeploy Live, disponibles solamente si está habilitado AppDeploy Live. Para obtener más información sobre AppDeploy Live, consulte la Guía para el administrador de K1000. (Opcional) Cualquier otro tipo de información que desee proporcionar. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 63

64 5 Implementación y administración del navegador seguro de Dell KACE Opción Acción administrada Descripción Seleccione un momento apropiado para implementar el paquete. Las opciones son: Deshabilitado: No implementa el paquete. Ejecutar en cualquier momento (próximo disponible): Implementa el paquete en la próxima oportunidad, como la próxima vez que el agente de K1000 transmita información de inventario al dispositivo. Ejecutar antes del inicio de sesión (en el arranque de la máquina): Implementa el paquete la próxima vez que se inicie la máquina. Nota: Si una máquina tiene un ajuste de Active Directory o de objeto de política grupal que muestra un mensaje que el usuario debe confirmar antes de iniciar sesión, los paquetes no se implementan ni los scripts se ejecutan hasta que el mensaje se confirma. Ejecutar después del inicio de sesión (antes de las cargas de escritorio): Implementa el paquete una vez que el usuario inicie sesión, pero antes de las cargas de escritorio. Ejecutar mientras el usuario tiene sesión iniciada: Implementa el paquete mientras el usuario tiene sesión iniciada. Ejecutar mientras el usuario no tiene sesión iniciada: Implementa el paquete únicamente cuando la máquina se esté ejecutando y el usuario esté desconectado. 8. Especifique los siguientes ajustes: Opción Implementar en todas las máquinas Limitar la implementación a etiquetas seleccionadas Descripción Implementar en todas las máquinas. Desactive la casilla de verificación para limitar la implementación a etiquetas o máquinas específicas. Limite la implementación a los elementos asignados a las etiquetas seleccionadas. Para seleccionar varias etiquetas, mantenga presionada la tecla Ctrl y haga clic sobre cada elemento; en sistemas Mac, use la tecla Comando. 64 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

65 Implementación y administración del navegador seguro de Dell KACE 5 Opción Limitar implementación a máquinas enumeradas Orden de implementación Cantidad máxima de intentos Período de implementación (reloj de 24 horas) Descripción Limita la implementación a máquinas específicas. En la lista desplegable, seleccione la máquina o las máquinas en las que desea realizar la implementación. Si la lista de máquinas es larga, puede utilizar el campo Filtro para filtrar la lista escribiendo unos pocos caracteres del nombre de la máquina. El orden en que se debe instalar o desinstalar el software. El valor más bajo se implementa primero. Si una acción de instalación y una de desinstalación tienen ambas el mismo valor de orden, la de desinstalación se lleva a cabo primero. Cantidad máxima de intentos, entre 0 y 99, para indicar la cantidad de veces que el dispositivo debe intentar instalar el paquete. Si especifica 0, el dispositivo intenta instalarlo de forma indefinida. La hora, en formato de 24 horas, para la implementación de paquetes. La hora de la ventana Implementación afecta a todas las opciones de Acción administrada. Además, los intervalos de ejecución definidos en la Interfaz del administrador, en Ajustes de K1000, para esta organización específica, reemplazan el período de implementación de un paquete en particular o interactúan con ella. 9. Especifique los ajustes de interacción del usuario. Estas opciones se muestran al seleccionar la opción Implementar en todas las máquinas. Opción Permitir postergación Descripción Habilita las funciones de postergación. Al seleccionar esta opción, aparecen los siguientes campos: Mensaje de postergación: Mensaje que se muestra en la máquina administrada durante la postergación. Tiempo de espera de postergación: El período, en minutos, durante el que se mostrará el mensaje. Acción de tiempo de espera de postergación: La acción que tendrá lugar una vez transcurrido el tiempo de espera. Seleccione Instalar ahora para instalar el software de inmediato o Instalar más tarde para postergar la instalación hasta que responda un usuario. La opción "Instalar más tarde" es útil cuando desea notificar a los usuarios acerca de una instalación o un reinicio antes de que ocurra. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 65

66 5 Implementación y administración del navegador seguro de Dell KACE Opción Mensaje previo a la instalación personalizada Descripción Muestre un mensaje en las máquinas administradas antes de la instalación. Al seleccionar esta opción, aparecen los siguientes campos: Mensaje de usuario previo a la instalación: Mensaje que aparece en las máquinas administradas antes de que la instalación comience. Tiempo de espera del mensaje previo a la instalación: El período, en minutos, durante el que se mostrará el mensaje. Acción de tiempo de espera previo a la instalación: La acción que se lleva a cabo al finalizar el Tiempo de espera del mensaje previo a la instalación. Las opciones son Instalar más tarde o Instalar ahora. Seleccione Instalar ahora para instalar el software de inmediato o Instalar más tarde para postergar la instalación hasta que responda un usuario. La opción "Instalar más tarde" es útil cuando desea notificar a los usuarios acerca de una instalación o un reinicio antes de que ocurra. Mensaje posterior a la instalación personalizada Muestre un mensaje en las máquinas administradas una vez que finaliza la instalación. Al seleccionar esta opción, aparecen los siguientes campos: Mensaje de usuario posterior a la instalación: Mensaje que aparece en las máquinas administradas cuando finaliza la instalación. Tiempo de espera del mensaje posterior a la instalación: El período, en minutos, durante el que se mostrará el mensaje. El resumen que aparece en la parte inferior de la página muestra el estado de instalación del navegador seguro. 10. Haga clic en Guardar. El navegador seguro se implementa según los ajustes seleccionados. Incorporación de un navegador seguro a la biblioteca de software Puede agregar un software de navegador seguro a la biblioteca de software en el Portal de usuario de K1000. Esto permite a los usuarios descargar e instalar el software de navegador seguro en las máquinas desde el Portal de usuario. Todo el software o los scripts que desee incluir en la biblioteca de software deben existir en las secciones Inventario > Software o Scripts; no se puede cargar software ni scripts de autor en la biblioteca de software. Para obtener más información sobre la biblioteca de software y el Portal de usuario, consulte la Guía para el administrador de la mesa de servicio. 66 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

67 Implementación y administración del navegador seguro de Dell KACE 5 Creación de un elemento en la biblioteca de software para el navegador seguro Para crear un elemento en la biblioteca de software para el navegador seguro 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Mesa de servicio > Biblioteca de software. Aparece la página Biblioteca de software. 3. En el menú Elegir acción, seleccione Agregar nuevo elemento. Aparece la página Biblioteca de software: Editar detalle. 4. Seleccione la casilla de verificación Habilitado para que el elemento esté visible en el Portal de usuario. 5. En la sección Tipo de paquete, seleccione Instalar. 6. Seleccione Navegador seguro de Dell en la lista desplegable. 7. Escriba la línea de comandos para ejecutar la instalación en el campo Instalar línea de comandos. 8. En la página Portal de usuario, sección Detalles, especifique la información que debe incluir con el navegador seguro: Opción Instrucciones de instalación Clave de producto Enviar la clave de producto por correo electrónico al usuario Solicitar notificación del administrador Notas adicionales Texto de licencia corporativa Texto de licencia de proveedor Costo unitario Descripción Instrucciones, avisos legales o cualquier otra información que desee cargar a la biblioteca de software junto con el elemento de software. No se aplica al navegador seguro. No se aplica al navegador seguro. Solicite a los usuarios que escriban la dirección de correo electrónico de su administrador para permitirles descargar o instalar software. (Opcional) Cualquier otro tipo de información que desee proporcionar. (Opcional) Escriba cualquier texto de licencia corporativa. (Opcional) Escriba cualquier texto de licencia de proveedor. (Opcional) Escriba un costo por unidad. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 67

68 5 Implementación y administración del navegador seguro de Dell KACE Opción Archivo de documentación y (tamaño) de archivo de documentación Descripción (Opcional) El archivo que se incluirá como documentación. El tamaño del archivo aparece una vez que se guarda el elemento. 9. Especifique las restricciones de distribución en la sección Control de acceso. Opción Limitar el acceso a etiquetas de usuario También restringir por etiqueta de máquina Descripción (Opcional) Haga clic en Editar para seleccionar una etiqueta y limitar la implementación de software a los usuarios incluidos en la etiqueta. (Opcional) Restrinja el acceso a etiquetas de máquinas específicas. 10. Haga clic en Guardar. El navegador seguro se encuentra disponible en la biblioteca de software en el Portal de usuario de K1000 como se especifica. Administración del Navegador seguro que utiliza el K1000 En esta sección se explica cómo administrar el navegador seguro mediante el uso del Dispositivo de administración K1000. Exportación del archivo de configuración de aislamiento El archivo de configuración de aislamiento permite que el Dispositivo de administración K1000 administre de forma centralizada los ajustes de acceso a la red y de control de procesos del Navegador seguro. El archivo de configuración se puede insertar periódicamente desde el dispositivo a los clientes del Navegador seguro. Dell KACE recomienda configurar el Navegador seguro en un nodo de red aprovisionado, con los permisos de acceso adecuados y, luego, exportar el archivo de configuración de aislamiento para utilizarlo en la Interfaz del administrador del Dispositivo de administración K1000. Para generar un archivo de configuración, debe hacer lo siguiente: 1. Inicie sesión en una máquina que tenga instalado el navegador seguro e inícielo. 2. En la barra de herramientas del navegador seguro en la parte superior de la ventana del navegador, haga clic en el icono de configuración. 68 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

69 Implementación y administración del navegador seguro de Dell KACE 5 3. Haga clic en la ficha Avanzada. Aparecerán las opciones avanzadas. 4. Haga clic en Exportar. Los ajustes de configuración de red y de procesos del Navegador seguro aparecen en formato XML. 5. Haga clic en Copiar y, luego, en Cerrar. 6. Inicie sesión en la Interfaz del administrador del Dispositivo de administración K Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 8. Haga clic en Seguridad > Navegador seguro > Administrar. Aparece la página Administración de navegador seguro. 9. En el menú Elegir acción, haga clic en Editar ajustes predeterminados. 10. Desplácese hasta el campo XML de configuración de aislamiento y pegue los datos que exportó del Navegador seguro. 11. Haga clic en Guardar. Todos los Navegador seguro administrados por el Dispositivo de administración K1000 ahora tienen los mismos ajustes de acceso a la red y de control de procesos. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 69

70 5 Implementación y administración del navegador seguro de Dell KACE Generación de un paquete MSI del Navegador seguro personalizado Puede hacer una copia exacta de una instancia del Navegador seguro y cargarlo al Dispositivo de administración K1000 para implementarlo o instalarlo directamente en otro equipo. Esta instalación incluye el historial, los favoritos y las cookies disponibles en la instancia original del Navegador seguro. En equipos con Windows 7, debe utilizar privilegios elevados para generar el MSI. Utilice la opción Ejecutar como administrador para abrir el Navegador seguro. Para generar un paquete MSI personalizado, debe hacer lo siguiente: 1. Abra la instancia del navegador seguro que desea copiar. 2. Haga clic en el icono de configuración y, luego, haga clic en la ficha Avanzada. Aparecerán las opciones avanzadas. 3. Haga clic en Generar. En un equipo con Windows 7, si aparece el menú Permisos, cierre el navegador y vuelva a abrirlo utilizando la opción Ejecutar como administrador. 70 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

71 Implementación y administración del navegador seguro de Dell KACE 5 Aparecerá el cuadro de diálogo Generar paquete de implementación personalizado. 4. En el campo Archivo MSI original del Navegador seguro, especifique la ruta de acceso al MSI original del Navegador seguro. Si el Navegador seguro se implementó desde el Dispositivo de administración K1000, el instalador está ubicado en la carpeta de instalación del Agente de K En el campo Directorio del Navegador seguro implementado, especifique la ruta de acceso a la ubicación de instalación. De manera predeterminada, el campo contiene la ruta de acceso a la ubicación de la instalación del Navegador seguro. 6. En el campo Archivo MSI nuevo del Navegador seguro, especifique la ruta de acceso y el nombre del nuevo paquete personalizado del Navegador seguro, incluida la extensión de archivo (MSI). 7. Especifique las propiedades del archivo MSI. 8. Haga clic en Crear. El instalador del nuevo Navegador seguro se crea y se guarda en la ubicación que usted indique. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 71

72 5 Implementación y administración del navegador seguro de Dell KACE Administración centralizada de los ajustes del navegador seguro Para administrar de forma centralizada los ajustes del navegador seguro desde el K1000, se deben agregar las máquinas a la lista de máquinas administradas en la página Navegador seguro. Para administrar de forma centralizada los ajustes del navegador seguro 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Navegadores seguros > Administrar. Aparece la página Administración de navegador seguro. 3. Seleccione la casilla de verificación junto al navegador en la lista. 4. En el menú Elegir acción, seleccione Editar ajustes predeterminados. Aparece la página Navegadores seguros: Editar ajustes. 5. En Agregar máquinas, seleccione las máquinas en las que desea administrar navegadores seguros desde la lista desplegable Seleccionar máquinas para agregar. Las máquinas aparecen en la lista Administración limitada a máquinas enumeradas. 6. Haga clic en Guardar. Para las máquinas que no están administradas por el K1000, los ajustes del navegador seguro no pueden administrarse de forma centralizada; pueden administrarse únicamente en la máquina local. Control del uso del navegador seguro por parte de los usuarios Para controlar cuándo los usuarios pueden utilizar el navegador seguro 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Navegadores seguros > Administrar. Aparece la página Administración de navegador seguro. 3. Seleccione la casilla de verificación junto al navegador en la lista. 4. En el menú Elegir acción, haga clic en Editar ajustes predeterminados. Aparece la página Navegadores seguros: Editar ajustes. 72 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

73 Implementación y administración del navegador seguro de Dell KACE 5 5. Utilice los ajustes en la sección Iniciar restricciones: Opción Se necesita conexión de red a K1000. Restringir a días de la semana Restringir a hora del día Descripción Permite que el navegador seguro se inicie únicamente cuando la máquina esté conectada al dispositivo. Permite que el navegador seguro se inicie únicamente en los días seleccionados. Permite que el navegador seguro se inicie únicamente durante las horas especificadas. Controlar qué sitios web puede visitar un usuario Esta sección describe cómo controlar que los sitios web puedan visitarse mediante el uso del navegador seguro. Para controlar qué sitios web puede visitar un usuario 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Navegadores seguros > Administrar. Aparece la página Administración de navegador seguro. 3. Seleccione la casilla de verificación junto al navegador en la lista. 4. En el menú Elegir acción, seleccione Editar ajustes predeterminados. Aparece la página Navegadores seguros: Editar ajustes. 5. Copie y pegue el XML de aislamiento en el campo de texto XML de configuración de aislamiento. 6. Haga clic en Guardar. Cómo restablecer un navegador seguro a su configuración original Si un navegador seguro se daña o se configura de forma incorrecta, es posible regresarlo a su configuración original. Para restablecer un navegador seguro a su configuración original 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Navegadores seguros > Administrar. Aparece la página Administración de navegador seguro. 3. Para seleccionar una fila de navegador seguro, haga doble clic sobre ella. Los detalles de la instancia del navegador seguro aparecen debajo de la tabla. Desplácese a la parte inferior de la pantalla para ver los detalles. Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad 73

74 5 Implementación y administración del navegador seguro de Dell KACE 4. Haga clic en Restablecer navegador seguro. Se restablece el navegador seguro a su configuración original. Apagado del navegador seguro en una máquina administrada Puede apagar instancias del navegador seguro que se ejecutan en máquinas administradas como se describe en esta sección. Alerte a los usuarios antes de apagar el navegador seguro. Para apagar el navegador seguro en una máquina administrada 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Navegadores seguros > Administrar. Aparece la página Administración de navegador seguro. 3. Seleccione una fila de navegador seguro. Los detalles de la instancia aparecen debajo de la tabla. 4. Haga clic en Finalizar. Se apagan las instancias del navegador seguro que se están ejecutando en las máquinas administradas. Recursos adicionales Para obtener más información sobre el Navegador seguro, como videos y recorridos guiados, un foro dedicado al Navegador seguro, preguntas frecuentes o para informar sobre problemas y solicitar nuevas funciones, visite 74 Dispositivo de administración de sistemas Dell KACE K1000 Version 5.4, Guía de aplicación de parches y seguridad

75 6 Utilización de las funciones de seguridad de OVAL En esta sección se describe cómo usar las funciones de seguridad del lenguaje abierto de evaluación y vulnerabilidad (Open Vulnerability and Assessment Language, OVAL) dentro del dispositivo de administración Dell KACE K1000 para ejecutar pruebas de vulnerabilidad en su red. Temas de esta sección: Utilización de los controles de seguridad de OVAL en la página 75 Comprensión de las definiciones de OVAL en la página 76 Configuración de ajustes de OVAL en la página 78 Utilización del informe sobre vulnerabilidad en la página 81 Visualización de todos los informes informáticos de OVAL en la página 82 Creación de políticas de seguridad en la página 82 Utilización de los controles de seguridad de OVAL OVAL es un estándar reconocido internacionalmente para la detección de vulnerabilidades a la seguridad y problemas de configuración en equipos. Los controles de seguridad de OVAL determinan los activos que están fuera de cumplimiento y le permiten personalizar políticas de seguridad para implementar reglas, programar pruebas para que se ejecuten automáticamente y ejecutar informes según los resultados. OVAL es compatible con la lista de vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE). La junta editorial de CVE, compuesta por expertos de la comunidad internacional en seguridad de la información, es quien determina el contenido de CVE. La nueva información sobre vulnerabilidades a la seguridad analizada en el Foro Comunitario se envía a la Iniciativa CVE para su posible adición a la lista. Para obtener más información sobre CVE, MITRE Corporation o la Junta de OVAL, visite La capacidad de describir vulnerabilidades y exposiciones en un idioma común facilita compartir datos de seguridad con otras bases de datos y herramientas compatibles con CVE. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 75

76 6 Utilización de las funciones de seguridad de OVAL Comprensión de las definiciones de OVAL El Dispositivo de administración K1000 busca actualizaciones para las definiciones de OVAL disponibles. Las definiciones se muestran en la página Pruebas de OVAL, junto con el id. de OVAL y el número de CVE asociados. Visualización de definiciones de OVAL Para ver las definiciones de OVAL 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Evaluación de OVAL. Aparece la página Evaluación de vulnerabilidad de OVAL. 3. Haga clic en Pruebas de OVAL. Aparece la página Pruebas de OVAL. 4. (Opcional) Limite qué pruebas se muestran utilizando la lista desplegable Ver por o el campo Buscar para encontrar pruebas de OVAL por el id. de OVAL, el número de CVE, el sistema operativo o texto. 5. Haga clic en un vínculo Descripción de la lista Pruebas de OVAL. Aparece la página Pruebas de OVAL: Definición con la siguiente información: Campo Id. de OVAL Clase Id. de ref. Descripción Definición Descripción El estado de la vulnerabilidad de acuerdo con los valores posibles de id. de OVAL. Estos son Borrador, Intermedio o Aceptada. La naturaleza de la vulnerabilidad. Los valores posibles son: Cumplimiento, Obsoleto, Parche y Vulnerabilidad. Vínculo a detalles adicionales sobre la vulnerabilidad. La definición común de la vulnerabilidad según figura en la lista de CVE. Los pasos utilizados para probar si existe la vulnerabilidad. La tabla de la parte inferior de la página Pruebas de OVAL: Definición muestra la lista de máquinas de su red que contienen la vulnerabilidad. Para su comodidad, hay una versión disponible de estos datos que se puede imprimir. 76 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

77 Utilización de las funciones de seguridad de OVAL 6 Acerca de las definiciones de las pruebas de OVAL Las definiciones de las pruebas de OVAL pasan a través de una serie de fases antes de ser aprobadas. Según la ubicación de una definición en este proceso, se asigna uno de los siguientes valores de estado: Estado Borrador Intermedio Aceptada Descripción Indica que la definición está asignada a un número de id. de OVAL y que está siendo analizada por el Foro Comunitario y por la Junta de OVAL. Indica que la definición está siendo revisada por la Junta de OVAL y que está disponible para su análisis en el Foro Comunitario. Por lo general, las definiciones se asignan a este estado por dos semanas, a menos que se requieran cambios o análisis adicionales. Indica que la definición ha aprobado la etapa intermedia y que está subida a las páginas de definición de OVAL. Se vincula todo el historial de los análisis correspondientes a las definiciones aceptadas desde la definición de OVAL. Otros valores de estado posibles incluyen: Envío inicial Obsoleto Para obtener más información sobre las etapas de las definiciones de OVAL, consulte Cuando las pruebas de OVAL están habilitadas, se ejecutan todas las pruebas de OVAL disponibles en las máquinas de destino. Los detalles de la prueba de OVAL no indican la gravedad de la vulnerabilidad. Use su propio criterio para determinar si debe analizar su red para detectar la presencia de una vulnerabilidad en particular. Ejecución de las pruebas de OVAL El Dispositivo de administración K1000 ejecuta pruebas de OVAL que se basan automáticamente en el programa especificado en Ajustes de OVAL. Debido a que las pruebas de OVAL consumen una gran cantidad de memoria y CPU, influyen en el rendimiento de las máquinas de destino. Las pruebas de OVAL tardan entre 5 y 20 minutos en ejecutarse. Para minimizar las molestias a los usuarios, ejecute las pruebas de OVAL semanal o mensualmente y durante horas en las que hay menos probabilidades de que los usuarios sufran molestias. Utilización de etiquetas para restringir las pruebas de OVAL Si ejecuta pruebas de OVAL periódicamente, o si desea obtener resultados de las pruebas de OVAL solo para algunas máquinas, puede asignar una etiqueta a esas máquinas. Puede usar la función Ejecutar ahora para ejecutar la prueba de OVAL solo en esas máquinas. Consulte la Guía para el administrador de K1000. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 77

78 6 Utilización de las funciones de seguridad de OVAL Comprensión de las actualizaciones de OVAL El Dispositivo de administración K1000 consulta para obtener nuevas definiciones de OVAL todas las noches, pero usted debería esperar nuevas definiciones cada mes. Si se habilitan las pruebas de OVAL, el dispositivo descarga nuevas definiciones de OVAL en todas las máquinas cliente durante la aplicación de scripts siguiente, siempre que haya un nuevo paquete disponible e independientemente de los ajustes del programa de OVAL. El archivo ZIP de actualización puede tener hasta 2 MB, lo suficientemente pesado para influir en el rendimiento de máquinas con conexiones lentas. Habilite las pruebas de OVAL únicamente cuando necesite ejecutarlas. Configuración de ajustes de OVAL Use las siguientes configuraciones para ajustar los controles de la prueba de OVAL. Las actualizaciones de OVAL se descargan cuando las pruebas de OVAL están deshabilitadas y se almacenan en el dispositivo. Solo se envían a las máquinas de destino cuando se vuelven a habilitar. Puede configurar los ajustes del análisis de OVAL mediante este vínculo. Tenga cuidado en el momento de aplicar los ajustes de OVAL. Especificación de ajustes de OVAL Para especificar ajustes de OVAL 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Evaluación de OVAL. Aparece la página Evaluación de vulnerabilidad de OVAL. 3. Haga clic en Ajustes de OVAL. Aparece la página Ajustes y programa de OVAL. 4. Especifique los ajustes de configuración: Ajuste Habilitado Permitir ejecución sin inicio de sesión Descripción Ejecutar en máquinas de destino. Solo se pueden ejecutar configuraciones habilitadas. Se ejecuta incluso si ningún usuario ha iniciado sesión. Desactive esta casilla de verificación para ejecutar el elemento únicamente cuando un usuario inicia sesión en la máquina. 78 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

79 Utilización de las funciones de seguridad de OVAL 6 5. Especifique los siguientes ajustes: Ajuste Implementar en todas las máquinas Limitar implementación a etiquetas seleccionadas Limitar implementación a máquinas enumeradas Sistemas operativos compatibles Descripción Implementar en todas las máquinas. Desactive la casilla de verificación para limitar la implementación a etiquetas o máquinas específicas. Se limita la implementación a las máquinas que pertenecen a etiquetas especificadas. Para seleccionar etiquetas, haga clic en Editar, seleccione las etiquetas de la lista y, luego, haga clic en Aceptar. Si selecciona una etiqueta que tiene un recurso compartido de replicación o una ubicación de descarga alternativa, el dispositivo copia los activos digitales desde allí, en lugar de descargarlos directamente desde el dispositivo. Nota: El dispositivo siempre utiliza la Ubicación alternativa de KACE antes de utilizar un recurso compartido de replicación. Limita la implementación a máquinas específicas. En la lista desplegable, seleccione la máquina o las máquinas en las que desea realizar la implementación. Si la lista de máquinas es larga, puede utilizar el campo Filtro para filtrar la lista escribiendo unos pocos caracteres del nombre de la máquina. Seleccione los sistemas operativos en los que desea realizar la implementación. Para seleccionar varios elementos, mantenga presionada la tecla Ctrl y haga clic sobre cada elemento; en sistemas Mac, use la tecla Comando. Nota: Deje todos los sistemas operativos sin seleccionar para implementar en todos los sistemas operativos admitidos. 6. En el área Programación, especifique la hora y la frecuencia para la ejecución de OVAL: Ajuste No ejecutar en un programación Ejecutar cada n minutos/ horas Ejecutar todos los días/un día específico a las... Ejecutar el n día de cada mes/de un mes específico a las... Descripción Se ejecuta en combinación con un evento y no en una fecha u hora específicas. Ejecutar en un intervalo especificado. Ejecutar cada día a una hora especificada o ejecutar en un día de la semana designado a una hora específica. Ejecutar el mismo día de cada mes o un mes específico a una hora específica. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 79

80 6 Utilización de las funciones de seguridad de OVAL Ajuste Programa personalizado Descripción Use el formato cronológico de cinco campos estándar (no se admite el formato cron. extendido): * * * * * día de la semana (0-6) (domingo=0) mes (1-12) día del mes (1-31) hora (0-23) minutos (0-59) Acerca del formato cronológico estándar: Use un espacio para separar los campos. Por ejemplo, Use una coma para separar los valores dentro de un campo. Por ejemplo, 1,3,7. Use un guion para indicar un rango de valores dentro de un campo. Por ejemplo, 0-5. Use un asterisco (*) para incluir el todo el rango de valores en un campo. Por ejemplo, * en la columna de minutos especifica Use una barra (/) para repetir una acción en intervalos determinados. Por ejemplo, si especifica el valor 0-23/2 en el campo de horas, la acción se realizará cada dos horas. Esto tiene el mismo efecto que escribir los valores de hora como 0,2,4,6,8,10,12,14,16,18,20,22. Use un asterisco con una barra (*/) y un valor para repetir una acción en un intervalo determinado. Por ejemplo, */5 en la columna de minutos repite la acción cada 5 minutos. Esto tiene el mismo efecto que 0/5 y 1-59/5. Ejemplos: * * * * * Ejecutar cada un minuto */30 * * * Ejecutar cada 30 minutos * Ejecutar a las 8:30 a. m. el 6 de febrero * 1 Ejecutar el primer lunes de cada mes a las 9:00 a. m. 80 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

81 Utilización de las funciones de seguridad de OVAL 6 7. Haga clic en Ejecutar ahora para ejecutar el script inmediatamente. Pruebas ejecutadas en las máquinas seleccionadas en la sección Implementación. Utilización del informe sobre vulnerabilidad El informe sobre vulnerabilidad muestra todas las pruebas de OVAL que se ejecutaron. Acceso a los informes sobre vulnerabilidad de OVAL Para acceder a los informes sobre vulnerabilidad de OVAL 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Evaluación de OVAL. Aparece la página Evaluación de vulnerabilidad de OVAL. 3. Haga clic en Informe sobre vulnerabilidad. Aparece la página Informe de OVAL que contiene una lista de informes sobre vulnerabilidad. Cómo aplicar una etiqueta a las máquinas afectadas Desde la vista Detalle de la prueba, puede ver todas las máquinas que reprobaron la prueba de OVAL y puede asignar una etiqueta a esas máquinas para aplicarles un parche más adelante. Para aplicar una etiqueta a las máquinas afectadas 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Evaluación de OVAL. Aparece la página Evaluación de vulnerabilidad de OVAL. 3. Haga clic en Informe sobre vulnerabilidad. Aparece la página Informes de OVAL. 4. Seleccione la casilla de verificación junto a la prueba a la que desea aplicar una etiqueta. 5. En el menú Elegir acción, seleccione la etiqueta apropiada dentro de Aplicar etiqueta a máquinas afectadas. También puede buscar pruebas haciendo la selección apropiada en los menús Ver por y Ver por clase ubicados en la esquina superior derecha de la página. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 81

82 6 Utilización de las funciones de seguridad de OVAL Visualización de todos los informes informáticos de OVAL El vínculo Informes informáticos ofrece una lista de máquinas con resultados de oval. Aquí puede ver un resumen de las pruebas que se ejecutaron en máquinas específicas. La etiqueta en la columna Máquina de la página Informe sobre equipos sobre OVAL es el id. de inventario del Dispositivo de administración K1000 asignada por el componente Inventario. Para obtener más información sobre cualquiera de las máquinas en el informe, haga clic en el nombre de la máquina vinculada para navegar hasta la página Detalles del inventario de la máquina. Acceso a informes informáticos de OVAL Para acceder a informes informáticos de OVAL 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Evaluación de OVAL. Aparece la página Evaluación de vulnerabilidad de OVAL. 3. Haga clic en Informe sobre equipos. Aparece la página Informe sobre equipos de OVAL que contiene una lista de informes sobre equipos de OVAL. Creación de políticas de seguridad El componente Seguridad incluye asistentes que puede utilizar para crear políticas de seguridad para la implementación en máquinas con Windows y Mac de su red. Creación de políticas de seguridad basadas en Windows En las siguientes secciones se suministran detalles acerca de las políticas predeterminadas basadas en Windows. Creación de scripts para aplicar ajustes de Internet Explorer en la página 83. Creación de scripts para aplicar ajustes del firewall de XP SP3 en la página 84. Creación de scripts para aplicar ajustes de programas no permitidos en la página 86. Creación de scripts para aplicar ajustes de McAfee AntiVirus en la página 87. Configuración de scripts para el Actualizador de McAfee SuperDAT en la página 88. Creación de scripts para aplicar ajustes de Symantec Antivirus en la página 89. Creación de scripts para la política de cuarentena en la página 91. Creación de scripts para la política Acción terminar cuarentena en la página Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

83 Utilización de las funciones de seguridad de OVAL 6 Creación de scripts para aplicar ajustes de Internet Explorer La política Aplicar ajustes de Internet Explorer le permite controlar las preferencias de Internet Explorer de los usuarios. Puede controlar preferencias específicas a la vez que mantiene a otras como definidas por el usuario. Los ajustes de políticas sobrescriben las preferencias de Internet Explorer del usuario correspondiente. Debido a que el script modifica los ajustes del usuario, prográmelo para ejecutarse cuando el usuario ha iniciado sesión. Para crear scripts para ajustes de Internet Explorer 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Aplicar ajustes de Internet Explorer. Aparece la página Política de seguridad: Política de Internet Explorer. 4. En la sección Página principal del usuario, seleccione la casilla de verificación Aplicar la política de la página principal del usuario y, luego, especifique la dirección URL que utilizará como página principal. La política de la Página principal del usuario fuerza las páginas principales del usuario a la página indicada. 5. En la sección Seguridad, seleccione la casilla de verificación Aplicar la política de ajustes de la zona de Internet y, luego, elija el nivel de seguridad de la lista desplegable Nivel de seguridad. Las políticas de la zona de seguridad permiten especificar el nivel de seguridad para cada zona. 6. Seleccione la casilla de verificación Aplicar la política de ajustes de la zona de intranet local y, luego, elija el nivel de seguridad de la lista desplegable Nivel de seguridad. 7. Especifique los siguientes ajustes: Incluir todos los sitios locales (intranet) no enumerados en otras zonas. Incluir todos los sitios que omiten al servidor proxy. Incluir todas las rutas de acceso de la red (UNC). 8. Seleccione la casilla de verificación Aplicar la política de ajustes de la zona de Confianza y, luego, elija el nivel de seguridad de la lista desplegable Nivel de seguridad. 9. Seleccione la casilla de verificación Aplicar mapa de zona y, luego, especifique las direcciones IP o los intervalos para las siguientes zonas: Sitios de Restricción Sitios de Intranet local Sitios de Confianza Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 83

84 6 Utilización de las funciones de seguridad de OVAL El mapa de zonas permite asignar dominios e intervalos IP específicos a las zonas. Los dominios que no están enumerados se dirigen a la zona de Internet de manera predeterminada. 10. En la sección Privacidad, seleccione la casilla de verificación Aplicar la política de ajustes de privacidad y, luego, establezca la Política de cookies. Las políticas de privacidad le permiten controlar qué cookies acepta Internet Explorer de la zona de Internet. 11. Seleccione la casilla de verificación Aplicar la política de ajustes de elementos emergentes. 12. Especifique los siguientes ajustes: Nivel del filtro de elementos emergentes Sitios web que se permiten 13. Haga clic en Guardar. Aparece la página Script: Editar detalle. 14. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Creación de scripts para aplicar ajustes del firewall de XP SP3 La política Aplicar ajustes del firewall XP SP3 le permite aplicar ajustes de firewall en las máquinas de destino que ejecutan Windows XP con Service Pack 3. Puede aplicar diferentes políticas, ya sea que la máquina de destino está autenticada con un controlador de dominio o que accede a la red de manera remota. Si su máquina de destino se ha autenticado con un controlador de dominio, usa la política de dominio. De lo contrario, usa la política estándar. Por lo tanto, es recomendable configurarlo para imponer restricciones más severas. Para crear scripts para aplicar ajustes del firewall de XP SP3 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Aplicar ajustes del firewall de XP SP3. Aparece la página Política de seguridad: Configurador de firewall de XP. Existen dos tipos de políticas descritas dentro de la sección Configurador del firewall de Windows XP SP3: 84 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

85 Utilización de las funciones de seguridad de OVAL 6 Política de dominio: Se usa cuando la máquina de escritorio está autenticada por un controlador de dominio. Si no tiene un controlador de dominio, use la configuración de política estándar. Política estándar: Se usa cuando la máquina de escritorio no está autenticada por un controlador de dominio, por ejemplo, cuando un usuario con un equipo portátil está en su casa o usa una zona con cobertura inalámbrica. Esta configuración es más restrictiva que la política de dominio. 4. En el área Política de dominio o Política estándar, indique si el firewall está Habilitado, Deshabilitado o Sin política. Si el firewall está habilitado, los ajustes de la política reemplazarán cualquier ajuste establecido por el usuario. Si el firewall está deshabilitado, el usuario no podrá habilitar el firewall. Si el firewall está configurado en Sin política, se usará la configuración del firewall del usuario. Los siguientes campos están disponibles solo si selecciona la opción Habilitado para el firewall. 5. Seleccione o deseleccione la casilla de verificación Habilitar registro y, a continuación, especifique una ubicación y un nombre para el archivo de registro. De manera predeterminada, el registro se almacena en: C:\Program Files\KACE\firewall.log. Seleccionar la casilla de verificación Habilitar registro permitirá que el firewall registre información sobre los mensajes entrantes no solicitados que recibe. El firewall también registra información sobre los mensajes que bloquea y los mensajes entrantes y salientes correctos. 6. Especifique los siguientes ajustes: Ajuste Descripción Permitir tráfico WMI Permitir que el tráfico TCP entrante en los puertos 135 y 445 pase a través del firewall. Estos puertos son necesarios para usar herramientas de administración remota como Microsoft Management Console (MMC) e Instrumental de administración de Windows (WMI). Permitir escritorio remoto Permitir uso compartido de archivos e impresoras Permitir Universal Plug and Play (UPnP) Permitir que el tráfico TCP entrante en el puerto 3389 pase a través del firewall. Este puerto es necesario para que la máquina reciba solicitudes de Escritorio remoto. Permitir el tráfico TCP entrante en los puertos 139 y 445, y el tráfico UDP entrante en los puertos 137 y 138. Estos puertos son necesarios para que la máquina se desempeñe como servidor para compartir archivos o impresoras. Habilita el tráfico TCP entrante en el puerto 2869 y el tráfico UDP entrante en el puerto Estos puertos son necesarios para que la máquina reciba mensajes de dispositivos de red Plug and Play, como enrutadores con firewall integrados. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 85

86 6 Utilización de las funciones de seguridad de OVAL 7. Para especificar las excepciones de puerto entrante, haga clic en Agregar excepción de puerto. 8. Las excepciones de puerto entrantes permiten que se abran puertos adicionales en el firewall. Estos pueden ser necesarios para que la máquina ejecute otros servicios de red. Se agrega una excepción de puerto entrante automáticamente para el puerto para el cliente de escucha de KACE, que es necesario para usar la función Ejecutar ahora. Especifique un Nombre, un Puerto, un Protocolo y un Origen para la excepción. 9. Haga clic en Guardar. Aparece la página Script: Editar detalle. 10. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Creación de scripts para aplicar ajustes de programas no permitidos La política Aplicar ajustes de programas no permitidos le permite crear, rápidamente, un script que evita que determinados programas se ejecuten en las máquinas de destino. Esta política entra en vigencia solamente cuando se ejecuta el script resultante en una máquina de destino y se reinicia la máquina. En Windows XP o 2000, puede agregar un comando de apagado como el último paso del script para forzar un reinicio. El script creado como resultado de este asistente sobrescribe cualquier ajuste de programa no permitido en las máquinas de destino. Para crear scripts para aplicar ajustes de programas no permitidos 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Aplicar ajustes de programas no permitidos Aparece la página Política de seguridad: Aplicar programas no permitidos. 4. Escriba un nombre para la política en el campo Nombre de política. 5. Seleccione o deseleccione la casilla de verificación No permitir programas. Cuando está seleccionada, no se pueden ejecutar todos los programas no permitidos. Cuando se deselecciona, se pueden ejecutar todos los programas. 6. Agregar programas no permitidos. Por ejemplo, para evitar que el Bloc de notas se ejecute, escriba notepad.exe. Puede agregar más de un programa. 86 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

87 Utilización de las funciones de seguridad de OVAL 6 7. Haga clic en Guardar. Aparece la página Script: Editar detalle. 8. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Creación de scripts para aplicar ajustes de McAfee AntiVirus La política Aplicar ajustes de McAfee AntiVirus le permite configurar características de McAfee VirusScan selectivas para instalarlas en todas las máquinas. Esta política verifica que el software se instale con la configuración que se indique. Esta política también confirma que el escáner de acceso (McShield) se está ejecutando. Comprima el directorio de instalación de McAfee VirusScan y cárguelo en el dispositivo. Si aún no existe, se crea automáticamente un elemento de inventario de software. Para crear scripts para ajustes de McAfee AntiVirus 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Comprima el directorio de instalación de McAfee VirusScan. 3. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 4. Haga clic en Aplicar ajustes de McAfee AntiVirus Aparece la página Política de seguridad: Cumplimiento de políticas de McAfee. 5. Haga clic en Examinar o en Buscar archivo para buscar el archivo comprimido de McAfee. 6. Use la lista desplegable Intervención del usuario para especificar la manera en que la instalación se presentará a sus usuarios. Para obtener una descripción de las opciones disponibles, consulte la documentación de McAfee. 7. Seleccione las Características de McAfee que se instalarán. Para seleccionar varias funciones, mantenga presionada la tecla Ctrl y haga clic sobre cada elemento; en sistemas Mac, use la tecla Comando. Para instalar el Administrador de alertas, use las herramientas de McAfee a fin de incluir los archivos de instalación del Administrador de alertas en el paquete de implementación. Consulte la documentación de McAfee para obtener información específica sobre las funciones disponibles aquí. 8. Seleccione o deseleccione las casillas de verificación según su configuración: Habilitar escáner de acceso Bloquear accesos directos de VirusScan Preservar ajustes de la versión anterior Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 87

88 6 Utilización de las funciones de seguridad de OVAL Eliminar otro software antivirus 9. Especifique la ubicación de la máquina de destino en donde se instalarán los siguientes archivos: Directorio de instalación (directorio de instalación de McAfee) Ruta de acceso de origen del administrador de alertas Ruta de acceso de origen de SITELIST.XML Ruta de acceso de origen del firewall de escritorio Ruta de acceso de origen de EXTRA.DAT 10. En la lista Inicio de sesión, seleccione la información que desea registrar. Para seleccionar varios elementos, mantenga presionada la tecla Ctrl y haga clic sobre cada elemento; en sistemas Mac, use la tecla Comando. 11. Escriba un nombre de archivo para el registro en el campo Nombre de archivo de registro. 12. Escriba cualquier argumento adicional en el campo Argumentos adicionales. 13. Seleccione la opción de reinicio correspondiente en la lista desplegable Reiniciar. 14. Escriba el comportamiento posterior a la instalación mediante la lista desplegable Después de la instalación. Las opciones incluyen Ejecutar AutoUpdate o Ejecutar AutoUpdate silenciosamente. También puede seleccionar Analizar todas las unidades locales o Analizar todas las unidades locales silenciosamente. 15. Haga clic en Guardar. Aparece la página Script: Editar detalle. 16. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Configuración de scripts para el Actualizador de McAfee SuperDAT La política Actualización de McAfee SuperDAT permite crear un script para aplicar a las actualizaciones McAfee SuperDAT o XDAT. Existen diversos pasos en la creación de este script: Especificar los archivos de actualización y el comportamiento de reinicio en las máquinas de destino. Seleccionar los paquetes de software para enviar a las máquinas de destino durante la actualización. Verificar el estado del análisis de redes. Para crear scripts para el Actualizador de McAfee SuperDAT 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 88 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

89 Utilización de las funciones de seguridad de OVAL 6 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Actualizador de McAfee SuperDAT. Aparece la página Política de seguridad: McAfee SuperDAT Configurator. 4. Escriba un nombre de archivo en el campo Archivo SDAT o XDAT. 5. Haga clic en Examinar o en Elegir archivo para buscar el archivo SDAT o XDAT. 6. Establezca las opciones de actualización: Ajuste Instalar silenciosamente Solicitud para reiniciar Reiniciar si es necesario Forzar actualización Descripción Instalar el archivo sin suministrar comentarios sobre la instalación ni el progreso en la máquina del usuario. Si la instalación requiere que se reinicie la máquina, preguntar al usuario antes de reiniciar. Reiniciar la máquina si es necesario. Si no se usa esta opción, una instalación silenciosa no reinicia la máquina. Actualizar todas las versiones de archivos, aunque la máquina parezca tener las versiones más recientes. 7. Haga clic en Guardar. Aparece la página Script: Editar detalle. 8. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Creación de scripts para aplicar ajustes de Symantec Antivirus El script Aplicar ajustes de Symantec AntiVirus permite configurar qué funciones de Symantec Antivirus se instalarán. Verifica que el software se instale con la configuración que se indique aquí. Esta política tiene el objetivo de ejecutarse periódicamente para asegurar que Symantec AntiVirus esté configurado y que se ejecute correctamente. Para crear scripts para aplicar ajustes de Symantec AntiVirus 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Aplicar ajustes de Symantec AntiVirus. Aparece la página Política de seguridad: Symantec AntiVirus. 4. En la lista desplegable Acción, especifique la acción que se va a realizar: Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 89

90 6 Utilización de las funciones de seguridad de OVAL Instalar Desinstalar Reparar archivos faltantes Reinstalar todos los archivos 5. Seleccione el paquete de software que usará para este script desde la lista desplegable Software. 6. Si el paquete de software está comprimido, escriba el nombre del archivo MSI en el campo Nombre de archivo MSI. 7. Use la lista desplegable Intervención del usuario para especificar la manera en que la instalación se debe presentar a sus usuarios. 8. Especifique el directorio de instalación en el campo Directorio de instalación. 9. Especifique cualquier modificador adicional en el campo Modificadores adicionales. 10. Especifique cualquier propiedad adicional en el campo Propiedades adicionales. 11. Especifique el comportamiento posterior a la instalación en el campo Después de la instalación. 12. Seleccione una opción de reinicio desde la lista desplegable Opciones de reinicio. 13. Seleccione la información que desea registrar de la lista Registro. Para seleccionar varios elementos, mantenga presionada la tecla Ctrl y haga clic sobre cada elemento; en sistemas Mac, use la tecla Comando. 14. Escriba un nombre de archivo para el registro en el campo Nombre de archivo de registro. 15. Seleccione un tipo de red desde la lista desplegable Administración de red. 16. Especifique el nombre del servidor, si se solicita, en el campo Nombre del servidor. Este campo es obligatorio si selecciona Administrado desde la lista desplegable Administración de red. 17. Ajuste la opción AutoProtect mediante la lista desplegable Habilitar AutoProtect. 18. Ajuste la opción deshabilitar SymProtect mediante la lista desplegable Deshabilitar SymProtect. 19. Ajuste el comportamiento de Live Update mediante la lista desplegable Ejecutar Live Update. 20. Seleccione las funciones que desea instalar desde la lista Características a instalar. Para seleccionar varias funciones, mantenga presionada la tecla Ctrl y haga clic sobre cada elemento; en sistemas Mac, use la tecla Comando. Consulte la documentación de Symantec para obtener información específica sobre las opciones disponibles aquí. Debe incluir la función SAVMain para que este script funcione correctamente (a pesar de que este asistente no aplica este requisito). 21. Haga clic en Guardar. Aparece la página Script: Editar detalle. 22. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

91 Utilización de las funciones de seguridad de OVAL Haga clic en Guardar. Creación de scripts para la política de cuarentena Use el asistente Política de cuarentena para crear un script que pueda usar para poner las máquinas en cuarentena. El script creado como resultado de este asistente es simplemente una plantilla. Use el editor de script para modificar el script de plantilla y agregar los pasos de verificación correspondientes a fin de decidir qué máquinas serán puestas en cuarentena. Cuando una máquina está en cuarentena, se bloquea toda la comunicación, menos la comunicación al Dispositivo de administración K1000. Tenga cuidado al realizar esta acción. Si lo implementa de manera accidental en todas las máquinas de su red, podría desactivar la red rápidamente. Después de haber puesto la máquina de un usuario en cuarentena, este estado no podrá revertirse sin la intervención del administrador de Dispositivo de administración K1000. El usuario no se puede recuperar de este estado sin que usted realice una acción. Las máquinas en cuarentena solo tienen acceso al Dispositivo de administración K1000 para recibir un evento Ejecutar ahora que termine la cuarentena. Para crear scripts para la política de cuarentena 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Política de cuarentena Aparece la página Política de seguridad: Cuarentena. 4. (Opcional) Escriba un nombre para la política en el campo Nombre de política. Escriba un nombre significativo que se relacione con la vulnerabilidad, de manera que pueda terminar la cuarentena posteriormente después de haber resuelto esa vulnerabilidad. 5. No cambie la Dispositivo de administración K1000 dirección IP del servidor en el campo IP del servidor de K Especifique la dirección IP del servidor de DNS en el campo IP del servidor DNS. 7. Modifique el texto del diálogo de mensaje según sea necesario en el campo Diálogo de mensaje. Los usuarios verán este mensaje antes de que el dispositivo ponga su máquina en cuarentena. 8. Modifique el campo de descripción en el campo Descripción según sea necesario. 9. Haga clic en Guardar. Aparece la página Script: Editar detalle. 10. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K1000. Modifique los pasos de Verificar en la página Script: Editar detalle para determinar las condiciones bajo las cuales desea que entre en vigencia la cuarentena. A pesar de que no se habilita automáticamente, está configurada para implementarse a todos. Para Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 91

92 6 Utilización de las funciones de seguridad de OVAL obtener más información sobre cómo modificar los pasos de Verificar consulte la Guía para el administrador de K1000. Por ejemplo, puede agregar un paso en Verificar para controlar si el archivo K1000Client.exe existe en la máquina de destino. Puede definir un mensaje de registro, crear una ventana de mensaje o iniciar un archivo. El archivo kbq2.exe se inicia para la cuarentena. 11. Haga clic en Guardar. Creación de scripts para la política Acción terminar cuarentena Para crear scripts para la política Acción terminar cuarentena 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. Haga clic en Acción terminar cuarentena. Aparece la página Política de seguridad: Acción terminar cuarentena 4. En la lista desplegable Etiquetas, seleccione la etiqueta (dentro de la sección Máquinas etiquetadas) para las máquinas en cuarentena, o seleccione la máquina específica de la lista Máquinas de la sección Máquinas específicas para eliminar la cuarentena. Para filtrar la lista de máquinas, aplique cualquiera de las opciones de filtro. 5. Haga clic en Enviar Terminar cuarentena ahora. Si hay muchas máquinas en cuarentena, puede demorar un tiempo hasta que todas ellas reciban y procesen la solicitud. Creación de políticas de seguridad basadas en Mac OS El componente Seguridad incluye asistentes que puede utilizar para crear las siguientes políticas de seguridad para implementar en máquinas Mac OS de su red: Creación de scripts para Aplicar ajustes del firewall en la página 92 Creación de scripts para Aplicar controles parentales en la página 93 Creación de scripts para Aplicar ajustes de seguridad en la página 93 Creación de scripts para Aplicar ajustes del firewall Los scripts para Aplicar ajustes del firewall son una política de seguridad que permite proteger sus sistemas Mac OS. 92 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

93 Utilización de las funciones de seguridad de OVAL 6 Para crear scripts para Aplicar ajustes del firewall 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. En la sección Macintosh, haga clic en Aplicar ajustes del firewall. 4. Aparece la página Política de seguridad: Firewall de la capa de aplicaciones de Mac. 5. Elija los ajustes del firewall. 6. En la sección Aplicaciones de confianza, escriba la ruta de acceso completo a los binarios de la aplicación, por ejemplo: /Applications/Safari.app/Contents/MacOS/ 7. Haga clic en Guardar. Aparece la página Script: Editar detalle. 8. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Creación de scripts para Aplicar controles parentales Para crear scripts para Aplicar controles parentales 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. En la sección Macintosh, haga clic en Aplicar controles parentales. 4. Haga clic en Guardar. Aparece la página Script: Editar detalle. 5. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. Creación de scripts para Aplicar ajustes de seguridad Para crear scripts para Aplicar ajustes de seguridad 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 93

94 6 Utilización de las funciones de seguridad de OVAL 2. Haga clic en Scripts > Política de seguridad. Aparece la página Política de seguridad. 3. En la sección Macintosh, haga clic en Aplicar ajustes de seguridad. 4. Haga clic en Guardar. Aparece la página Script: Editar detalle. 5. Seleccione las opciones Implementación y Programación. Para obtener más información, consulte la sección Scripts de la Guía para el administrador de K Haga clic en Guardar. 94 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

95 7 Utilización de SCAP En esta sección se brinda información sobre la utilización del componente Análisis de configuración de SCAP/FDCC del Dispositivo de administración de sistemas Dell KACE K1000 para analizar las máquinas cliente que utilizan el protocolo de automatización del contenido de seguridad (SCAP, Secure Content Automation Protocol). Temas de esta sección: Información general en la página 95 Más información sobre el protocolo de automatización del contenido de seguridad (SCAP) en la página 97 Acerca de los bancos de pruebas en la página 98 Como funciona un análisis de SCAP en la página 98 Información general de la ficha Análisis de SCAP en la página 100 Programa de análisis de SCAP en la página 102 Editar un programa de análisis de SCAP en la página 103 Resultados del análisis de SCAP en la página 107 Obtener el archivo del banco de pruebas en la página 109 Información general El componente Análisis de configuración de SCAP/FDCC del dispositivo de administración K1000 importa una lista de comprobación de configuración de seguridad desde el repositorio nacional de listas de comprobación. Luego de la importación, el dispositivo de administración K1000 verifica la lista de comprobación y realiza un control de cumplimiento con el agente de K1000 en cada máquina cliente. El análisis implementa el control de cumplimiento de un flujo de datos de SCAP 1.1 escrito en formatos XML con los siguientes estándares de SCAP: XCCDF, CCE, CPE, y OVAL (la definición está en la próxima sección: Definiciones en la página 96). El agente realiza el control de cumplimiento a una hora programada y genera varios archivos en formato OVAL con pruebas CPE y CCE. Estos archivos de resultados se cargan en la base de datos de la organización del dispositivo K1000 y se ordenan en un único archivo de resultados para informar a una agencia de gobierno (si se solicita). Los resultados también se muestran para cada máquina en la página Resultados del análisis de configuración de SCAP del dispositivo. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 95

96 7 Utilización de SCAP Plataformas compatibles con SCAP Se ha certificado a SCAP para que se ejecute en estas plataformas de Windows: Windows 7, Windows Vista y Windows XP. Definiciones Esta sección proporciona definiciones de cada protocolo SCAP y describe brevemente cómo se implementa en el Dispositivo de administración K1000. Estándar SCAP XCCDF CCE Definición El protocolo de automatización del contenido de seguridad es un conjunto de estándares abiertos que enumera imperfecciones de software, supervisa las configuraciones relacionadas con la seguridad y los nombres de los productos, y examina las máquinas para determinar la presencia de vulnerabilidades y clasificar (calificar) el impacto de los problemas de seguridad que se descubren. SCAP se describe con más detalle en Más información sobre el protocolo de automatización del contenido de seguridad (SCAP) en la página 97. El formato de descripción de la lista de comprobación de configuración extensible (XCCDF) es un lenguaje de especificación para escribir las listas de comprobación de seguridad, los bancos de pruebas y los documentos relacionados. Un archivo XCCDF contiene una colección estructurada de reglas de configuración de seguridad para un conjunto de máquinas de destino. La especificación está diseñada para admitir el intercambio de información, la generación de documentos, la adaptación organizativa y circunstancial, las pruebas de cumplimiento automatizadas, y el puntaje de cumplimiento. La información sobre cómo se implementa XCCDF en el Dispositivo de administración K1000 se describe en Como funciona un análisis de SCAP en la página 98. La enumeración de configuración común (CCE) proporciona identificadores únicos a los problemas de configuración del sistema para facilitar la rápida y precisa correlación de los datos de configuración a través de múltiples fuentes y herramientas de información. Los resultados del control de cumplimiento generados por el análisis de SCAP del dispositivo de administración K1000 incluyen las referencias de id. de CCE significativas para las definiciones de XCCDF y de OVAL para cada regla marcada como designada en la definición de la lista de comprobación. La información CCE está disponible en el archivo de resultados XCCDF y en la página Resultados del análisis de configuración de SCAP del dispositivo. 96 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

97 Utilización de SCAP 7 Estándar CPE OVAL Definición La enumeración de plataforma común (CPE) es un esquema de nombres estructurados para sistemas de tecnología de la información, plataformas y paquetes. CPE se basa en la sintaxis general de los identificadores uniformes de recursos (URI). Incluye un formato de nombres formal, un lenguaje para describir plataformas complejas, un método para controlar nombres con un sistema, y un formato de descripción para el texto de enlace y las pruebas para un nombre. En esencia, CPE asegura que se aplique la lista de comprobación de seguridad a la plataforma correcta. Esta información está disponible en el archivo de resultados de XCCDF y en la página Resultados del análisis de configuración de SCAP del dispositivo. El lenguaje abierto de evaluación y vulnerabilidad (OVAL) es un estándar internacional de la comunidad de seguridad de la información para promover el contenido de seguridad disponible de forma pública y abierta. Estandariza la transferencia de esta información a través de todo el espectro de herramientas y servicios de seguridad. Los resultados de cada prueba de OVAL se escriben en varios archivos en la máquina de destino y, luego, se compilan en un solo archivo de resultados en el dispositivo y se muestran en la página Resultados del análisis de configuración de SCAP. Más información sobre el protocolo de automatización del contenido de seguridad (SCAP) El protocolo de automatización del contenido de seguridad (SCAP) es un conjunto de estándares abiertos que enumera imperfecciones de software, supervisa las configuraciones relacionadas con la seguridad y los nombres de los productos, y examina los sistemas para determinar la presencia de vulnerabilidades y clasificar (calificar) el impacto de los problemas de seguridad que se descubren. SCAP proporciona: Supervisión de la configuración de seguridad de máquinas que tienen aplicaciones de software y sistemas operativos diferentes. Estado de seguridad del sistema en cualquier momento. Cumplimiento de varios conjuntos de requisitos de seguridad. Una forma estándar y automática de realizar las tareas de seguridad. Interoperabilidad entre las herramientas de seguridad. Estas funciones mejoran la seguridad del software y ayudan a evitar demoras en la evaluación de amenazas, en la toma de decisiones y en la corrección de vulnerabilidades. SCAP utiliza la base de datos nacional de vulnerabilidad (NVD). NVD es el repositorio de datos de administración de vulnerabilidad basado en estándares del gobierno de Estados Unidos. NVD incluye bases de datos de listas de comprobación de seguridad, de imperfecciones de software relacionadas con la seguridad, de configuraciones incorrectas, de Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 97

98 7 Utilización de SCAP nombres de productos y de métricas de impacto. Para obtener más información sobre SCAP y NVD, consulte los sitios web del Instituto Nacional de Estándares y Tecnología (NIST) en y Acerca de los bancos de pruebas Un banco de pruebas es una lista de comprobación de configuración de seguridad. (Los términos banco de pruebas y lista de comprobación se pueden intercambiar). Un banco de pruebas es una serie de reglas para evaluar las vulnerabilidades de una máquina en un entorno operativo particular. NIST mantiene el repositorio nacional de listas de comprobación ( que contiene una variedad de listas de comprobación de configuración de seguridad para productos informáticos específicos y para categorías de productos informáticos. Es posible navegar y buscar en el repositorio para ubicar una lista de comprobación particular con una variedad de criterios. Es posible adaptar estas listas de comprobación para que reúnan requerimientos operativos y de seguridad particulares. Las listas de comprobación son documentos XML. Actualmente existen dos estándares: FDCC (configuración central de escritorio federal): Se dirige a los sistemas operativos Microsoft Windows Vista y XP. USGCB (línea de base de configuración del gobierno de los Estados Unidos): Evolucionó a partir de la FDCC y, actualmente, se dirige a Windows 7 e Internet Explorer 8. Una lista de comprobación consiste en un archivo ZIP que contiene varios archivos XML denominados flujo SCAP. El archivo principal del flujo es el archivo XCCDF. El archivo XCCDF es una colección estructurada de reglas de configuración de seguridad para un conjunto de máquinas de destino. Fundamentalmente, es una lista de pruebas de OVAL que se deben ejecutar. Los otros archivos XML contienen las pruebas de OVAL que se especifican en el archivo XCCDF. Para obtener información detallada acerca de la especificación de XCCDF, visite Un banco de pruebas puede contener uno o más perfiles. Un perfil especifica las reglas que se ejecutan en tipos de máquinas específicos. Por ejemplo, un banco de pruebas puede contener un conjunto de reglas para equipos de escritorio y otro conjunto para servidores. Como funciona un análisis de SCAP El Dispositivo de administración K1000 importa un banco de pruebas al servidor de K1000. Durante el proceso de importación, el banco de pruebas se verifica. Después de importarse, el banco de pruebas se carga en el servidor y el archivo XCCDF atraviesa un proceso denominado resolución. Durante la resolución, se genera el archivo oval-command.zip. Este archivo ZIP contiene los archivos de entrada necesarios para ejecutar un perfil particular. Es posible ver los archivos en la página Script: Editar detalle. Consulte Programa de análisis de SCAP en la página 102. El análisis de SCAP se controla con un KScript. Cuando se ejecuta el análisis, se descargan los siguientes archivos al cliente como dependencias de script: 98 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

99 Utilización de SCAP 7 benchmark.zip: Contiene los archivos de banco de pruebas, es decir, el flujo de SCAP que se cargó en el Dispositivo de administración K1000. (El cliente en realidad no utiliza el archivo XCCDF). oval-command.zip: Contiene los archivos de entrada generados por el XCCDF. oval.ref.zip: Contiene el motor de análisis de OVAL (ovaldi.exe). El KScript inicia los análisis de OVAL en la máquina cliente y genera varios archivos de resultados. El motor de análisis de OVAL se ejecuta dos o tres veces: La primera ejecución controla que la máquina de destino sea la plataforma correcta para ese perfil de banco de pruebas con archivos CPE dentro del banco de pruebas. La segunda ejecución controla la vulnerabilidad de la máquina con las reglas definidas en el banco de pruebas. Implementa el estándar CCE. La tercera ejecución controla que los parches de seguridad estén actualizados. Cada ejecución genera un archivo de resultados. Estos archivos se nombran según la ejecución. Por ejemplo, el archivo de la primera ejecución denomina scap-profile-10- result-1.xml y el de la segunda se denomina scap-profile-10-result-2.xml. Estos archivos se ubican en los siguientes directorios: Windows XP: C:\Documents and Settings\All Users\Dell\KACE\kbots_cache\packages\kbots\<working directory> Windows Vista y Windows 7: C:\ProgramData\Dell\KACE\kbots_cache\packages\kbots\<working directory> Para encontrar el directorio de trabajo del agente, haga clic en Registros de scripts en Inventario > Equipos > página Equipos: Detalle del elemento > Registros. Estos archivos de resultados se cargan en el servidor de K1000 y se ordenan en un único archivo de resultados (xccdf-results.xml). Es posible usar este archivo para informar los resultados a una agencia de gobierno como la OMB (Oficina de Administración y Presupuesto). El servidor de K1000 y la máquina cliente solo retienen los últimos archivos de resultados. En el último paso de una ejecución, se extrae un subconjunto de archivos de resultados, que se almacena en la base de datos de la organización para realizar informes y que se muestra en la página Resultados del análisis de configuración de SCAP de cada máquina. Las tablas de las bases de datos que contienen esta información son SCAP_RESULT, SCAP_RESULT_RULE, y SCAP_RESULT_SCORE. Consulte Resultados del análisis de SCAP en la página 107. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 99

100 7 Utilización de SCAP Información general de la ficha Análisis de SCAP La ficha Análisis de SCAP es la página principal para acceder a la función Dispositivo de administración K1000 SCAP. Para acceder a la ficha Análisis de SCAP 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Análisis de SCAP. La página Análisis de configuración de SCAP/FDCC tiene tres vínculos: Bancos de pruebas: Muestra el estado de los bancos de pruebas de SCAP. Además, desde esta página es posible importar, eliminar y exportar a un formato CSV listas de comprobación. Programa de análisis: Muestra el nombre de los bancos de pruebas y cuándo están programados para ejecutarse. Además, desde esta página es posible agregar y eliminar, habilitar o deshabilitar, y exportar a un formato CSV bancos de pruebas. Resultados del análisis: Muestra los resultados generales de los análisis de SCAP. En esta página también se muestra un panel con los resultados por banco de pruebas. Para que una máquina apruebe un banco de pruebas, debe obtener una calificación del 100 %. Ver bancos de pruebas Las siguientes instrucciones proporcionan información para acceder a la página Bancos de pruebas de SCAP, en donde se puede administrar las listas de comprobación de XCCDF, consultar la fecha y la hora del análisis, y ver los resúmenes del análisis. Además, con el botón Elegir acción es posible importar, eliminar y exportar a un formato CSV listas de comprobación. 100 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

101 Utilización de SCAP 7 Para ver los bancos de pruebas: 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Análisis de SCAP > Bancos de pruebas. Aparece la página Banco de pruebas de SCAP. 3. (Opcional) Especifique qué bancos de pruebas se muestran con la lista desplegable Ver por o con el campo Búsqueda. Es posible buscar por cadena parcial en el título o en el identificador. 4. (Opcional) Para ordenar los bancos de pruebas, haga clic en el encabezado de una columna. 5. Haga clic en Banco de pruebas - Perfil para ver más información sobre un banco de pruebas particular. Aparece la página Banco de pruebas de SCAP. La página Banco de pruebas de SCAP contiene información general sobre del banco de pruebas seleccionado y la fecha y la hora en que se cargaron los datos de SCAP (XCCDF, CCE, CPE, y OVAL) en el Dispositivo de administración K1000. Consulte Obtener el archivo del banco de pruebas en la página 109. Importar y cargar un banco de pruebas Es posible descargar bancos de pruebas desde el repositorio nacional de listas de comprobación Es posible modificar los bancos de pruebas descargados o crear bancos de prueba propios. Luego de descargar los bancos de pruebas y de que estén listos para usarse, impórtelos al Dispositivo de administración K1000. Para importar y cargar un banco de pruebas: 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Análisis de SCAP > Bancos de pruebas. Aparece la página Banco de pruebas de SCAP. 3. En el menú Elegir acción, seleccione Importar nuevas listas de comprobación. Aparece la página Ajustes de análisis de configuración de SCAP, que muestra Paso 1. Selección de banco de pruebas del Asistente de importación. 4. Haga clic en Examinar o en Elegir archivo para importar el archivo ZIP del banco de pruebas desde su máquina. 5. Haga clic en Siguiente. Aparece un cuadro de diálogo que indica que el archivo se está cargando. Después de cargar un archivo, aparece un mensaje en la página Ajustes de análisis de configuración de SCAP que indica que la importación se realizó correctamente. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 101

102 7 Utilización de SCAP El Dispositivo de administración K1000 comprueba que el archivo ZIP contenga bancos de pruebas válidos. Si no hay bancos de pruebas válidos, aparece un mensaje de error y el archivo no se carga. 6. Seleccione un banco de pruebas desde la lista desplegable Seleccionar un perfil para analizar y, luego, haga clic en Siguiente. El asistente muestra Paso 2. Motor de análisis de Oval. 7. Seleccione el motor de OVAL que desea usar de la lista desplegable Analizar mediante un motor existente. El motor predeterminado es el intérprete de OVAL de MITRE (ovaldi.exe). El K1000 descarga de forma automática las actualizaciones de este motor cuando Dell KACE certifica y publica nuevas versiones del motor y definiciones de OVAL. 8. (Opcional) Haga clic en Examinar o en Elegir archivo para encontrar y cargar un motor personalizado y sus archivos de configuración. Aparece un cuadro de diálogo que indica que el archivo se está cargando y un mensaje en la página Ajustes de análisis de configuración de SCAP que indica que el motor se importó correctamente. Use un motor personalizado si necesita un control local del motor OVAL o si no desea actualizaciones automáticas para cambiar el motor. El motor personalizado debe ser un archivo ZIP de una carpeta que contenga el ovaldi.exe personalizado y cualquier archivo de configuración necesario para ejecutar el motor. El archivo ZIP reemplaza al archivo de dependencia ovalref.zip en el script de análisis de SCAP. Consulte Ver los archivos XCCDF resueltos en la página Haga clic en Siguiente. Aparece un cuadro de diálogo que indica que el archivo del banco de pruebas se está cargando, seguido por la página Script: Editar detalle. Consulte Editar un programa de análisis de SCAP en la página 103. Programa de análisis de SCAP La página Programas de análisis de SCAP proporciona información sobre los archivos de banco de pruebas cargados en el Dispositivo de administración K1000. En esta página es posible habilitar, deshabilitar, ejecutar, exportar a un formato CSV y acceder a la página Script: Editar detalle. La página Programas de análisis de SCAP muestra una lista de KScripts para ejecutar los análisis de SCAP. Después de importar una lista de comprobación y de cargarla en un KScript, use esta página para acceder a la página Script: Editar detalle. 102 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

103 Utilización de SCAP 7 Para usar el programa de análisis de SCAP 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Análisis de SCAP > Programas de análisis. Aparece la página Programas de análisis de SCAP. 3. Use el botón Elegir acción para agregar y eliminar, habilitar o deshabilitar, y exportar bancos de pruebas a un formato CSV. 4. Haga clic en un banco de pruebas para editar su programa. Aparece la página Script: Editar detalle. 5. Desplácese hacia abajo en la página hasta la sección Programación y realice los cambios necesarios. Editar un programa de análisis de SCAP Es posible ver o editar un programa de banco de pruebas en la página Script: Editar detalle. Esta página permite administrar y personalizar scripts para configurar, programar y especificar en qué máquinas se ejecuta el análisis de SCAP. Los scripts para SCAP son KScripts periódicos. Esta sección no proporciona información sobre cada función disponible en la página Script: Editar detalle; solo contiene información sobre el uso y la comprensión de un análisis de SCAP. Para obtener información más detallada sobre la edición de un KScript, consulte la Guía para el administrador de K1000. Es posible acceder a la página Script: Detalle desde el Asistente de banco de pruebas, como se describe en Información general de la ficha Análisis de SCAP en la página 100, y desde la página Programas de análisis de SCAP, como se describe en Resultados del análisis de SCAP en la página 107. Ver los archivos XCCDF resueltos Como se menciona en Como funciona un análisis de SCAP en la página 98, el banco de pruebas se carga en el servidor y el archivo XCCDF atraviesa un proceso llamado resolución, que genera los archivos de entrada necesarios para ejecutar un perfil específico. Esta sección describe cómo ver estos archivos. Para ver los archivos XCCDF resueltos 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts. Aparece la página Scripts. 3. Haga clic en el nombre de un script. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 103

104 7 Utilización de SCAP 4. En la página Script: Editar detalle, desplácese hacia abajo hasta la sección Dependencias. 5. (Opcional) Para agregar archivos ejecutables de respaldo necesarios para ejecutar el script, haga clic en Agregar dependencia nueva y, luego, en Examinar o en Elegir archivo. 6. (Opcional) Para ver los detalles de estos archivos, haga clic en el archivo ZIP seleccionado y descárguelo. 7. Para ver cómo se ejecutan estos archivos de dependencia, visite las secciones Tareas. Figura 7-1 en la página 106 muestra acciones específicas de cómo el script ejecuta el análisis. Ver la marca de tiempo de OVAL Esta sección proporciona información sobre cómo ver la marca de tiempo de OVAL (la hora en que se compiló el documento de OVAL). Para ver la marca de tiempo de OVAL: 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts. Aparece la página Scripts. 3. Haga clic en el nombre de un script. En la página Script: Editar detalle, desplácese hacia abajo hasta la sección Dependencias. 4. Haga clic en benchmark.zip. y extraiga el archivo XML de OVAL. Por ejemplo, fdcc-winxp-oval.xml. 104 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

105 Utilización de SCAP 7 5. En el archivo de OVAL, busque <oval:timestamp>. Ver tareas de script Para ver las tareas de script 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Scripts. Aparece la página Scripts. 3. Haga clic en el nombre de un script. 4. En la página Script: Detalle, desplácese hacia abajo hasta las secciones Tareas. Las secciones de tareas se muestran en la página Script: Detalle, como se muestra en Figura 7-1 en la página 106. La sección Tarea 1 muestra la ejecución del archivo ovalcommand.bat, que ejecuta el motor de análisis de OVAL. La Tarea 2 comprueba que los archivos de resultados existan y, si resulta correcta, esos archivos se cargan al servidor de K1000. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 105

106 7 Utilización de SCAP Figura 7-1: Secciones de tareas de SCAP 106 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad

107 Utilización de SCAP 7 Resultados del análisis de SCAP La página Resultados del análisis muestra los resultados del análisis de SCAP por máquina. En esta página es posible acceder a la información detallada acerca de cada análisis. Para ver los resultados del análisis de SCAP 1. Si corresponde, seleccione una organización de la lista desplegable en la esquina superior derecha de la página. 2. Haga clic en Seguridad > Análisis de SCAP > Resultados del análisis. Aparece la página Resultados del análisis de configuración de SCAP. 3. (Opcional) Para mostrar los resultados de un banco de pruebas específico, seleccione el banco de pruebas deseado en la lista desplegable Ver por. La página de resultados contiene la siguiente información: Sección Máquina Banco de pruebas - Perfil Analizado el Superado No superado Otro Total Porcentaje aprobado Puntuación Descripción La máquina en la que se ejecutó el análisis. El perfil particular en un banco de pruebas utilizado. La fecha y la hora en que se ejecutó el análisis. La cantidad de reglas que la máquina superó. La cantidad de reglas que la máquina no superó. La cantidad de reglas con otros valores como error, desconocido, sin marcar, no corresponde y de información. La especificación de XCCDF también define no seleccionado, que se excluye de los resultados. La cantidad total de reglas que se ejecutaron. El porcentaje de reglas que se superaron. La puntuación predeterminada definida por el banco de pruebas. 4. Para ver detalles acerca de una máquina particular, haga clic sobre el nombre en la columna Máquina. Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad 107

108 7 Utilización de SCAP Aparece una página que contiene detalles del resultado del análisis para la máquina seleccionada. La siguiente tabla describe cada sección con más detalle: Sección Resumen Resultados de la prueba Puntuaciones Resultados por CCE Descripción Información general sobre el banco de pruebas. Los resultados de la prueba en una estructura de árbol que representa la agrupación de las reglas. Los símbolos muestran el estado de aprobado o no aprobado de una regla. Es posible hacer clic en una regla para abrir un cuadro de diálogo con los detalles de la regla. Las puntuaciones de cumplimiento para cada modelo de puntuación según se define para el banco de pruebas. Los resultados de aprobado o no aprobado por CCE. El FDCC requiere que el cumplimiento se informe mediante CCE. 108 Dispositivo de administración de sistemas Dell KACE K1000 Versión 5.4, Guía de aplicación de parches y seguridad